Hierarchische Sicherheitsrichtlinien konfigurieren

Auf dieser Seite finden Sie Informationen zum Konfigurieren hierarchischer Sicherheitsrichtlinien zum Schutz Ihrer Organisation, Ihrer Ordner oder Ihrer Projekte. Bevor Sie hierarchische Sicherheitsrichtlinien konfigurieren, sollten Sie sich mit den Informationen in der Übersicht über hierarchische Sicherheitsrichtlinien vertraut machen.

IAM-Berechtigungen für hierarchische Sicherheitsrichtlinien einrichten

Für die folgenden Vorgänge benötigen Sie die IAM-Rolle (Identity and Access Management) Compute Organization Security Policy Admin (roles/compute.orgSecurityPolicyAdmin) für den Zielressourcenhierarchieknoten oder für die Richtlinie selbst, falls sie bereits vorhanden ist:

  • Neue hierarchische Sicherheitsrichtlinie erstellen
  • Hierarchische Sicherheitsrichtlinie durch Hinzufügen, Aktualisieren oder Löschen von Regeln ändern
  • Hierarchische Sicherheitsrichtlinie löschen

Für die folgenden Vorgänge benötigen Sie zusätzlich zur Rolle Compute-Organisationsressourcenadministrator (roles/compute.orgSecurityResourceAdmin) für den Zielressourcenhierarchieknoten entweder die Rolle Administrator von Compute Engine-Sicherheitsrichtlinien für die Organisation (roles/compute.orgSecurityPolicyAdmin) oder die Rolle Nutzer von Compute Engine-Sicherheitsrichtlinien für die Organisation (roles/compute.orgSecurityPolicyUser) für den Zielressourcenhierarchieknoten oder für die Richtlinie selbst:

  • Hierarchische Sicherheitsrichtlinie mit einem Knoten der Ressourcenhierarchie verknüpfen

In der folgenden Tabelle finden Sie eine Liste mit verschiedenen Vorgängen, die Sie ausführen können, wenn Sie eine der aufgeführten Rollen haben:

Vorgänge Rollen
Alle gültigen Google Cloud Armor-Regeln für eine Back-End-Ressource ansehen
Effektive Backend-Ressourcen ansehen, die von einem organizationSecurityPolicy abgedeckt sind

Hierarchische Sicherheitsrichtlinien konfigurieren

In den folgenden Abschnitten wird erläutert, wie Sie hierarchische Sicherheitsrichtlinien erstellen, sie Knoten in der Ressourcenhierarchie zuordnen, sie zwischen Knoten verschieben, sie löschen und alle Google Cloud Armor-Sicherheitsrichtlinienregeln ansehen, die für eine geschützte Ressource gelten.

Hierarchische Sicherheitsrichtlinie erstellen

Sie erstellen eine hierarchische Sicherheitsrichtlinie mit dem Befehl gcloud beta compute org-security-policies create. Sie erstellen die hierarchische Sicherheitsrichtlinie unter einer Organisation oder einem Ordner mit dem Flag --organization oder --folder sowie dem entsprechenden ORGANIZATION_ID oder FOLDER_ID. Verwenden Sie die folgenden Beispiele, um hierarchische Sicherheitsrichtlinien zu erstellen. Ersetzen Sie POLICY_NAME durch den Namen, den Sie der neuen Sicherheitsrichtlinie geben möchten:

  • So erstellen Sie eine hierarchische Sicherheitsrichtlinie auf Organisationsebene:

    gcloud beta compute org-security-policies create \
    --organization=ORGANIZATION_ID \
    --type=CLOUD_ARMOR \
    --short-name=POLICY_NAME

  • So erstellen Sie eine hierarchische Sicherheitsrichtlinie auf Ordnerebene:

    gcloud beta compute org-security-policies create \ 
    --folder=FOLDER_ID \
    --type=CLOUD_ARMOR \
    --short-name=POLICY_NAME

Vorhandene Sicherheitsrichtlinie mit einem Knoten der Ressourcenhierarchie verknüpfen

Wenn Sie eine vorhandene Sicherheitsrichtlinie haben, können Sie sie mit dem Befehl gcloud beta compute org-security-policies associations create einem Knoten in der Ressourcenhierarchie zuordnen. Ersetzen Sie Folgendes:

  • POLICY_ID: Die ID der Sicherheitsrichtlinie
  • POLICY_NAME: der Name der Sicherheitsrichtlinie
  • ORGANIZATION_ID: die ID der Organisation
  • FOLDER_ID: die ID des Ordners

  • PROJECT_ID: die ID des Projekts.

  • Hierarchische Sicherheitsrichtlinie mit einer Organisation verknüpfen:

    gcloud beta compute org-security-policies associations create \
    --security-policy=POLICY_ID \
    --organization=ORGANIZATION_ID \
    --name=ASSOCIATION_NAME

  • Hierarchische Sicherheitsrichtlinie mit einem Ordner verknüpfen:

    gcloud beta compute org-security-policies associations create \
    --security-policy=POLICY_ID \
    --folder=FOLDER_ID \
    --name=ASSOCIATION_NAME

  • Hierarchische Sicherheitsrichtlinie mit einem Projekt verknüpfen:

    gcloud beta compute org-security-policies associations create \
  --security-policy=POLICY_ID \
  --project-number=PROJECT_ID \
  --name=ASSOCIATION_NAME

Projekte aus hierarchischen Sicherheitsrichtlinien ausschließen

Außerdem können Sie Projekte aus Ihren hierarchischen Sicherheitsrichtlinien auf Ordnerebene und sowohl Projekte als auch Ordner aus Ihren hierarchischen Sicherheitsrichtlinien auf Organisationsebene ausschließen:

  • Sie können Projekte aus einer hierarchischen Sicherheitsrichtlinie ausschließen, indem Sie den Befehl beta compute org-security-policies associations create mit dem Flag --excluded-projects verwenden.

    Mit dem folgenden Beispielbefehl wird die Sicherheitsrichtlinie example-policy der Organisation 10000001 zugewiesen, wobei das Projekt mit der ID 2000000002 ausgeschlossen wird:

    gcloud beta compute org-security-policies associations create \
    --security-policy=example-policy \
    --excluded-projects="projects/2000000002" \
    --organization=10000001

  • Sie können Ordner aus einer hierarchischen Sicherheitsrichtlinie auf Organisationsebene ausschließen, indem Sie den Befehl beta compute org-security-policies associations create mit dem Flag --excluded-folders verwenden.

    Mit dem folgenden Beispielbefehl wird die Sicherheitsrichtlinie example-policy der Organisation 10000001 zugewiesen, wobei der Ordner mit der ID 3000000003 ausgeschlossen wird:

    gcloud beta compute org-security-policies associations create \
    --security-policy=example-policy \
    --excluded-folders="folders/3000000003" \
    --organization=10000001

Hierarchische Sicherheitsrichtlinie verschieben

Sie können das übergeordnete Element einer hierarchischen Sicherheitsrichtlinie ändern, indem Sie mit gcloud beta compute org-security-policies move die hierarchische Sicherheitsrichtlinie unter einen anderen Knoten der übergeordneten Ressourcenhierarchie verschieben. Sie geben die Quelle als erstes und das Ziel als zweites Flag an. Durch das Verschieben einer hierarchischen Sicherheitsrichtlinie ändert sich der Inhaber, nicht die Ressourcen, mit denen sie verknüpft ist. Nur Organisationen und Ordner können hierarchische Sicherheitsrichtlinien enthalten. Sie können sie also nicht in Projekte verschieben.

Im folgenden Beispiel wird eine hierarchische Sicherheitsrichtlinie von der Organisation ORGANIZATION_ID in den Ordner FOLDER_ID verschoben:

gcloud beta compute org-security-policies move policy-1 \
    --organization ORGANIZATION_ID \
    --folder FOLDER_ID

Hierarchische Sicherheitsrichtlinie löschen

Bevor Sie eine hierarchische Sicherheitsrichtlinie löschen können, müssen Sie zuerst alle Verknüpfungen der Richtlinie mit Knoten der Ressourcenhierarchie löschen. Im folgenden Beispiel wird mit dem Befehl beta compute org-security-policies associations delete die Zuordnung mit dem Namen ASSOCIATION_NAME zwischen der hierarchischen Sicherheitsrichtlinie mit dem Namen POLICY_NAME und der Organisation ORGANIZATION_ID entfernt:

gcloud beta compute org-security-policies associations delete ASSOCIATION_NAME \
    --security-policy=POLICY_NAME \
    --organization=ORGANIZATION_ID

Wenn dies nicht die einzige Verknüpfung der Sicherheitsrichtlinie ist, wiederholen Sie den vorherigen Schritt für jede Verknüpfung. Wenn die hierarchische Sicherheitsrichtlinie keine Zuordnungen hat, können Sie sie mit dem Befehl compute org-security-policies delete löschen, wie im folgenden Beispiel:

gcloud beta compute org-security-policies delete POLICY_NAME \
    --organization=ORGANIZATION_ID

Alle effektiven Google Cloud Armor-Regeln für eine geschützte Ressource ansehen

Mit dem Befehl gcloud beta compute backend-services get-effective-security-policies können Sie alle Google Cloud Armor-Sicherheitsrichtlinienregeln aufrufen, die für eine geschützte Ressource gelten. Ersetzen Sie im folgenden Beispiel RESOURCE_NAME durch den Namen der geschützten Ressource, die Sie prüfen möchten:

gcloud beta compute backend-services get-effective-security-policies PROTECTED_RESOURCE

Wenn Sie den Befehl gcloud beta compute get-effective-security-policies für einen Backend-Dienst in einem Projekt ausführen, das eine hierarchische Sicherheitsrichtlinie übernimmt, kann die Antwort die hierarchische Sicherheitsrichtlinie enthalten, auch wenn der Typ des jeweiligen Backend-Dienstes nicht von hierarchischen Sicherheitsrichtlinien unterstützt wird. Eine Liste der unterstützten Backend-Konfigurationen für hierarchische Sicherheitsrichtlinien finden Sie in der Übersicht über hierarchische Sicherheitsrichtlinien.

Anwendungsfälle

In den folgenden Abschnitten werden Anwendungsfälle für hierarchische Sicherheitsrichtlinien beschrieben.

Traffic von einer Reihe von IP-Adressen für alle Application Load Balancer in Ihrer Organisation ablehnen

Mit hierarchischen Sicherheitsrichtlinien können Sie eine Liste von IP-Adressen verwalten, die nicht auf das gesamte Netzwerk Ihrer Organisation zugreifen dürfen, oder den Traffic aus einer bestimmten Region oder einem bestimmten Land blockieren. So können Sie unternehmensspezifische Sicherheitsbedenken ausräumen oder die Compliance aufrechterhalten. In den folgenden Schritten wird beschrieben, wie Sie eine hierarchische Sicherheitsrichtlinie auf Organisationsebene erstellen, die Traffic aus dem IP-Adressbereich 192.0.2.0/24 ablehnt:

  1. Erstellen Sie eine hierarchische Sicherheitsrichtlinie mit dem Namen org-level-deny-ip-policy, die an eine Organisation mit der ID 1000000001 angehängt ist:

     gcloud beta compute org-security-policies create \
     --organization=1000000001 \
     --type=CLOUD_ARMOR \
     --description= "this is an org policy to deny a set of IP addresses for all resources" \
     --short-name=org-level-deny-ip-policy

  2. Fügen Sie eine Regel mit der Priorität 1000, einer Abgleichsbedingung für den IP-Adressbereich 192.0.2.0/24 und einer deny-Aktion hinzu:

     gcloud beta compute org-security-policies rules create 1000 \
     --action=deny \
     --security-policy=org-level-deny-ip-policy \
     --organization=1000000001 \
     --description "Deny traffic from 192.0.2.0/24" \
     --src-ip-ranges "192.0.2.0/24"

  3. Verknüpfen Sie schließlich die Sicherheitsrichtlinie mit der Organisation und lehnen Sie Anfragen von der IP-Adresse 192.0.2.0/24 für alle Dienste in der Organisation ab:

     gcloud beta compute org-security-policies associations create \
     --security-policy=org-level-deny-ip-policy \
     --organization=ORGANIZATION_ID

Einer Reihe von Quell-IP-Adressen Zugriff auf einige Projekte in Ihrer Organisation gewähren

Sie können einer IP-Adresse oder mehreren IP-Adressen Zugriff auf einige Projekte in Ihrer Organisation gewähren. Das ist beispielsweise sinnvoll, wenn Sie einen vertrauenswürdigen Upstream-Proxy haben, den Sie nur für einige Ihrer Projekte von der Regelauswertung ausschließen möchten. Im folgenden Cloud CDN-basierten Beispiel verwenden Sie eine hierarchische Sicherheitsrichtlinie auf Ordnerebene, um dem IP-Adressbereich 192.0.2.0/24 Zugriff auf die Projekte mit den Namen project-1, project-2 und project-3 in der Organisation 10000001 zu gewähren:

  1. Verwenden Sie die folgenden Befehle, um project-1, project-2 und project-3 in einen Ordner mit der ID 20000002 zu verschieben:

    gcloud projects move project-1 --folder=20000002
gcloud projects move project-2 --folder=20000002
gcloud projects move project-3 --folder=20000002

  2. Verwenden Sie den folgenden Befehl, um eine Sicherheitsrichtlinie mit dem Namen org-level-proxy-filtering zu erstellen:

     gcloud beta compute org-security-policies create \
     --folder=20000002 \
     --type=CLOUD_ARMOR \
     --short-name=org-level-proxy-filtering

  3. Fügen Sie eine Regel mit der Priorität 1000, einer Abgleichsbedingung für den IP-Adressbereich 192.0.2.0/24 und einer goto_next-Regelaktion hinzu. Wenn eine Anfrage mit dieser Bedingung übereinstimmt, beendet Google Cloud Armor die Auswertung von Regeln in dieser Sicherheitsrichtlinie:

     gcloud beta compute org-security-policies rules create 1000 \
     --action=goto_next \
     --security-policy=org-level-proxy-filtering \
     --organization=10000001 \
     --src-ip-ranges="192.0.2.0/24"

  4. Optional: Wenn Sie Sicherheitsrichtlinienregeln auf diese Projekte für Anfragen anwenden möchten, die nicht von 192.0.2.0/24 stammen, fügen Sie weitere Regeln mit einer niedrigeren Priorität als 1000 hinzu. Sie können diesen Schritt auch später ausführen.

  5. Verwenden Sie den folgenden Befehl, um die Richtlinie dem Ordner mit der ID 20000002 zuzuordnen, in den Sie die Projekte in Schritt 1 verschoben haben:

     gcloud beta compute org-security-policies associations create \
     --security-policy=org-level-proxy-filtering \
     --folder=20000002

Nächste Schritte