Políticas de firewall hierárquicas

As políticas hierárquicas de firewall permitem criar e aplicar uma política de firewall consistente em toda a organização. É possível atribuir políticas hierárquicas de firewall à organização como um todo ou a pastas individuais. Essas políticas contêm regras que podem negar ou permitir conexões explicitamente, assim como as regras de firewall da nuvem privada virtual (VPC). Além disso, as regras das políticas hierárquicas de firewall delegam a avaliação a políticas de nível inferior ou de firewall de rede VPC com uma ação goto_next.

As regras de nível inferior não substituem uma regra de um lugar mais alto na hierarquia de recursos. Isso permite que os administradores de toda a organização gerenciem regras de firewall importantes em um só lugar.

Especificações

  • As políticas hierárquicas de firewall são criadas no nível da organização e da pasta. A criação de uma política não aplica automaticamente as regras à organização ou pasta.
  • Depois de criadas, as políticas podem ser aplicadas a qualquer recurso (associado) da organização.
  • As políticas hierárquicas de firewall são contêineres para regras de firewall. Quando você associa uma política à organização ou a uma pasta, todas as regras são aplicadas imediatamente. É possível trocar políticas para um recurso, que troca todas as regras de firewall aplicadas às instâncias de máquina virtual (VM) nesse recurso.
  • A avaliação da regra é hierárquica e baseada na hierarquia de recursos. Todas as regras associadas à organização são avaliadas, seguidas pelas regras do primeiro nível de pastas e assim por diante.
  • As regras hierárquicas da política de firewall têm uma nova ação goto_next que pode ser usada para delegar a avaliação de conexão a níveis mais baixos da hierarquia.
  • As regras hierárquicas da política de firewall podem ser usadas para configurar a inspeção da camada 7 do tráfego correspondente, como o serviço de prevenção de intrusões.

    Crie uma regra de política de firewall usando a ação apply_security_profile_group e o nome do grupo de perfis de segurança. O tráfego correspondente à regra da política de firewall é interceptado e encaminhado de modo transparente para o endpoint do firewall para inspeção da camada 7 e vice-versa. Para saber como criar uma regra de política de firewall, consulte esta página.

  • As regras da política hierárquica de firewall podem ser segmentadas para redes VPC e VMs específicas usando recursos de destino para redes e contas de serviço de destino para VMs. Isso permite criar exceções para grupos de VMs. As regras da política hierárquica de firewall não são compatíveis com o direcionamento por tags de instância.
  • Cada regra de política hierárquica de firewall pode incluir intervalos IPv4 ou IPv6, mas não ambos.
  • Para ajudar na conformidade e na depuração, as regras de firewall aplicadas a uma instância de VM podem ser auditadas usando a página de detalhes da rede VPC e a página de detalhes da interface de rede da instância de VM.

Hierarquia de recursos

As regras de firewall são criadas e aplicadas em etapas separadas. É possível criar e aplicar políticas de firewall nos níveis da organização ou da pasta da hierarquia de recursos. Uma regra de política de firewall pode bloquear conexões, permitir conexões ou adiar a avaliação de regras de firewall para pastas de nível inferior ou regras de firewall VPC definidas em redes VPC.

  • Organização é o recurso de nível superior na hierarquia de recursos no Google Cloud em que é possível criar ou associar políticas hierárquicas de firewall. Todas as pastas e redes VPC na organização herdam essa política.

  • As pastas são nós de nível médio na hierarquia de recursos do Google Cloud, entre a organização e os projetos, em que é possível criar ou atribuir políticas hierárquicas de firewall. Todas as pastas e redes VPC em uma pasta herdam a política associada.

  • Um projeto fica em uma pasta ou na organização. É possível mover projetos entre recursos em uma organização. Os projetos contêm redes VPC. Não é possível atribuir as políticas hierárquicas de firewall a projetos, apenas à organização ou a pastas.

  • Uma rede VPC é a partição do Google Cloud para comunicação de espaço IP interno isolado. Esse é o nível em que rotas, políticas de firewall de rede e regras de firewall de VPC tradicionais são especificadas e aplicadas. As regras da política hierárquica de firewall podem substituir ou delegar a avaliação de conexão a regras e políticas de firewall de rede.

Por padrão, todas as regras de política hierárquica de firewall se aplicam a todas as VMs em todos os projetos na organização ou na pasta em que a política estiver associada. No entanto, é possível restringir quais VMs receberão uma determinada regra especificando redes de destino ou contas de serviço de destino.

Os níveis da hierarquia em que as regras de firewall agora são aplicadas estão representados no diagrama a seguir. Os quadros amarelos representam políticas hierárquicas de firewall que contêm regras de firewall, enquanto o quadros brancos representam regras de firewall da VPC.

Políticas hierárquicas de firewall contendo regras (quadros amarelos) nos níveis da organização e da pasta e regras do firewall da VPC no nível da rede VPC
Políticas de firewall hierárquicas que contêm regras (caixas amarelas) são aplicadas nos níveis da organização e da pasta. As regras de firewall da VPC são aplicadas no nível da rede VPC.

Detalhes da política hierárquica de firewall

As regras da política hierárquica de firewall são definidas em um recurso de política de firewall que atua como contêiner para regras de firewall. As regras definidas em uma política de firewall não são aplicadas até que a política seja associada a um recurso (uma organização ou uma pasta).

É possível associar uma única política a vários recursos. Se você modificar uma regra em uma política, essa alteração será aplicada a todos os recursos associados.

Só é possível associar uma política de firewall a um recurso. As regras hierárquicas da política de firewall e as regras de firewall da VPC são avaliadas em uma ordem bem definida.

Uma política de firewall que não está associada a nenhum recurso é uma política de firewall hierárquica não associada.

Nomes de políticas

Ao criar uma nova política, o Google Cloud gera automaticamente um ID para a política. Além disso, um nome curto para a política também é especificado. Ao usar a interface gcloud para atualizar uma política, é possível referenciar o ID gerado pelo sistema ou uma combinação do nome curto e do ID da organização. Ao usar a API para atualizar a política, é necessário fornecer o ID gerado pelo sistema.

Detalhes da regra da política hierárquica de firewall

As regras da política de firewall hierárquica funcionam da mesma forma que as regras da política de firewall e as regras de firewall de VPC, mas há algumas diferenças:

  • As políticas de firewall hierárquicas são compatíveis com redes de destino, enquanto as políticas de firewall de rede global não são. É possível especificar redes de destino para restringir uma regra da política hierárquica de firewall às VMs nas redes especificadas. A especificação de redes VPC na regra permite que você controle quais redes são configuradas com essa regra.

    Em combinação com goto_next ou allow, a especificação de redes de destino permite criar exceções para redes específicas quando você quiser definir uma política restritiva.

  • As políticas de firewall hierárquicas não têm integração de tag segura.

  • As políticas de firewall hierárquicas são recursos da organização, enquanto as políticas de firewall de rede global são recursos do projeto.

Regras predefinidas

Quando você cria uma política hierárquica de firewall, o Cloud Firewall de de última geração adiciona regras predefinidas com a menor prioridade. Essas regras são aplicadas a todas as conexões que não correspondem a uma regra definida explicitamente na política, fazendo com que essas conexões sejam transmitidas para políticas de nível inferior ou regras de rede.

Para saber mais sobre os vários tipos de regras predefinidas e as características delas, consulte Regras predefinidas.

papéis do Identity and Access Management (IAM)

Os papéis do IAM regem as seguintes ações em relação a políticas de firewall hierárquicas:

  • Como criar uma política que reside em um recurso específico
  • Como associar uma política a um recurso específico
  • Como modificar uma política atual
  • Como visualizar as regras de firewall efetivas para uma rede ou VM específica

A tabela a seguir descreve quais papéis são necessários para cada etapa:

Habilidade Papel necessário
Criar uma nova política de firewall hierárquica Papel compute.orgFirewallPolicyAdmin no recurso em que a política residirá
Associar uma política a um recurso papel compute.orgSecurityResourceAdmin no recurso de destino e papel compute.orgFirewallPolicyAdmin ou compute.orgFirewallPolicyUser no recurso em que a política reside ou na própria política
Modifique a política adicionando, atualizando ou excluindo regras de firewall. papel compute.orgFirewallPolicyAdmin no recurso em que a política reside ou na própria política
Exclua a política: papel compute.orgFirewallPolicyAdmin no recurso em que a política reside ou na própria política
Veja as regras de firewall efetivas de uma rede VPC Qualquer um dos seguintes papéis para a rede:
compute.networkAdmin
compute.networkViewer
compute.securityAdmin
compute.viewer
Veja as regras de firewall efetivas de uma VM em uma rede Qualquer um dos seguintes papéis para a VM:
compute.instanceAdmin
compute.securityAdmin
compute.viewer

Os papéis a seguir são relevantes para políticas hierárquicas de firewall.

Nome do papel Descrição
compute.orgFirewallPolicyAdmin Pode ser concedido em um recurso ou em uma política individual. Se concedido em um recurso, permite que os usuários criem, atualizem e excluam políticas de firewall hierárquicas e suas regras. Se concedida em uma política individual, permite que o usuário atualize as regras, mas não crie ou exclua a política. Esse papel também permite que o usuário associe uma política a um recurso se também tiver o papel compute.orgSecurityResourceAdmin nesse recurso.
compute.orgSecurityResourceAdmin Concedido no nível da organização ou a uma pasta, permite que os administradores no nível da pasta associem uma política a esse recurso. Os administradores também precisam ter o papel compute.orgFirewallPolicyUser ou compute.orgFirewallPolicyAdmin no recurso que é proprietário da política ou na própria política para usá-la.
compute.orgFirewallPolicyUser Concedido em um recurso ou em uma política individual, permite que os administradores usem a política individual ou as políticas associadas ao recurso. Os usuários também precisam ter o papel compute.orgSecurityResourceAdmin no recurso de destino para associar uma política a ele.
compute.securityAdmin
compute.viewer
compute.networkUser
compute.networkViewer
Permite que os usuários visualizem as regras de firewall aplicadas à rede ou à instância.
Inclui a permissão compute.networks.getEffectiveFirewalls para redes e compute.instances.getEffectiveFirewalls para instâncias.

No exemplo a seguir, João pode criar, modificar e excluir qualquer política hierárquica de firewall na pasta policies, mas não pode anexar a política hierárquica de firewall a uma pasta porque não tem o papel orgSecurityResourceAdmin em nenhuma pasta.

No entanto, como João concedeu a Maria permissões para usar policy-1, ela pode listar e associar essa política hierárquica de firewall à pasta dev-projects ou a qualquer um dos descendentes dela. O papel orgFirewallPolicyUser não concede permissão para associar as políticas a nenhuma pasta. Também é preciso que o usuário tenha o papel orgSecurityResourceAdmin na pasta de destino.

Exemplo de policy-1
Exemplo de policy-1

Gerenciar recursos da política de firewall hierárquica

Como uma política hierárquica de firewall define apenas um conjunto de regras de firewall e não onde elas são aplicadas, é possível criar esses recursos em uma parte diferente da hierarquia dos recursos a que se aplicam. Isso permite associar um único recurso da política hierárquica de firewall a várias pastas na organização.

No exemplo a seguir, policy-1 é aplicado às pastas dev-projects e corp-projects e, portanto, vale para todos os projetos nessas pastas.

Localização e associação da política
Localização e associação da política

Modificar as regras de uma política

É possível adicionar, remover e modificar regras em uma política. Cada alteração é feita individualmente. Não há mecanismo para regras de atualização em lote em uma política. As alterações são aplicadas aproximadamente na ordem em que os comandos são executados, embora isso não seja garantido.

Se você estiver fazendo alterações abrangentes em uma política hierárquica de firewall e precisar garantir que elas sejam aplicadas ao mesmo tempo, clone a política a uma política temporária e atribua a política temporária aos mesmos recursos. Faça as alterações no original e, então, o atribua novamente aos recursos. As etapas para fazer isso estão disponíveis em Como copiar regras de uma política para outra.

No exemplo a seguir, policy-1 está anexado à pasta dev-projects, e você quer fazer várias alterações que se aplicam atomicamente. Crie uma nova política chamada scratch-policy e copie todas as regras existentes de policy-1 para scratch-policy para editá-las. Depois de concluir a edição, copie todas as regras de scratch-policy de volta para policy-1.

Modificar uma política
Modificar uma política

Mover uma política

As políticas hierárquicas de firewall, como projetos, são compartilhadas por uma pasta ou um recurso da organização. À medida que o esquema da pasta evolui, talvez seja necessário mover uma política hierárquica de firewall para uma nova pasta antes excluir uma pasta. As políticas de propriedade de uma pasta são excluídas se a pasta for excluída.

O diagrama a seguir ilustra como mover uma política entre as associações de recursos ou a avaliação de regras na política.

Mover uma política
Mover uma política

Como associar uma política hierárquica de firewall a uma pasta

Uma política hierárquica de firewall não é aplicada, a menos que esteja associada a uma organização ou pasta. Depois de associada, ela será aplicada a todas as VMs em todas as redes dessa organização ou pasta.

Associar uma política
Associar uma política

Alterações na hierarquia de recursos

Talvez leve algum tempo até que as alterações na hierarquia de recursos sejam propagadas pelo sistema. É recomendável evitar atualizações simultâneas nos anexos da política hierárquica de firewall e na hierarquia de recursos, porque as redes talvez não herdem imediatamente a política hierárquica de firewall definida no novo local na hierarquia.

Como mover uma política
Como mover uma política

Por exemplo, se você mover a pasta dept-A da pasta dev-projects para a pasta eng-projects e alterar a associação de policy-1 para eng-projects em vez de dev-projects, não desassocie policy-1 de dev-projects ao mesmo tempo. Se a pasta dev-projects perder a associação de política hierárquica de firewall antes que todas as redes VPC dela tenham a ancestralidade atualizada, por um curto período, essas redes VPC não estarão protegidas por policy-1.

Como usar políticas hierárquicas de firewall com a VPC compartilhada

Em cenários de VPC compartilhada, uma interface de VM conectada a uma rede de projetos host é regida pelas regras da política hierárquica de firewall do projeto host, não do projeto de serviço.

VM na VPC compartilhada
VM na VPC compartilhada

Mesmo que os projetos de serviço estejam em uma pasta diferente do projeto host, as interfaces de VM na rede compartilhada ainda herdam as regras de pastas do projeto host.

VMs do projeto de serviço herdam as regras do projeto host
VMs do projeto de serviço herdam as regras do projeto host

Como usar políticas hierárquicas de firewall com peering de rede VPC

Em cenários de peering de rede VPC, a interface de VM associada a cada uma das redes VPC herda as políticas na hierarquia nas respectivas redes VPC. Veja a seguir um exemplo de peering de rede VPC em que as redes com peering de VPC pertencem a diferentes organizações.

VMs herdam das respectivas redes
VMs herdam das respectivas redes

A seguir