Configura i criteri di sicurezza perimetrale della rete

I criteri di sicurezza del perimetro della rete ti consentono di configurare regole per consentire o bloccare il traffico sul perimetro della rete di Google. Puoi configurare i criteri di sicurezza di edge della rete per i seguenti tipi di frontend:

  • Bilanciatori del carico di rete passthrough esterni
  • Forwarding del protocollo
  • VM con indirizzi IP pubblici

Puoi utilizzare i criteri di sicurezza perimetrali di rete per filtrare in base agli intervalli di indirizzi IP di origine e di destinazione, come per Cloud Next Generation Firewall, ma senza consumare risorse. Inoltre, un criterio di sicurezza perimetrale della rete è l'unico tipo di criterio di sicurezza con il supporto del filtro di offset in byte.

Configurare regole personalizzate per i criteri di sicurezza perimetrale della rete

Come per i criteri di sicurezza di backend ed edge, puoi configurare regole personalizzate per i criteri di sicurezza perimetrali della rete. Nell'esempio seguente, crei un criterio di sicurezza perimetrale della rete, configuri una regola personalizzata per consentire il traffico solo da un determinato intervallo di indirizzi IP di origine e colleghi il criterio al servizio di backend.

I criteri di sicurezza Edge di rete supportano diversi filtri di Google Cloud Armor, inclusi filtri unici come il filtro dell'offset in byte. Per ulteriori informazioni sulle funzionalità supportate dai criteri di sicurezza di Edge della rete, consulta la panoramica dei criteri di sicurezza. Inoltre, puoi eseguire il deployment dei criteri di sicurezza perimetrale della rete in modalità di anteprima.

Prima di procedere, devi registrarti a Google Cloud Armor Enterprise e configurare la protezione DDoS di rete avanzata. Non puoi utilizzare regole personalizzate per i criteri di sicurezza perimetrale della rete senza un abbonamento attivo a Cloud Armor Enterprise e la protezione DDoS di rete avanzata.

Per configurare le regole personalizzate:

  1. Crea un nuovo criterio di sicurezza perimetrale della rete con il nome POLICY_NAME nella regione REGION. Non utilizzare lo stesso criterio di sicurezza utilizzato per attivare la protezione DDoS di rete avanzata.

    gcloud compute security-policies create POLICY_NAME \
       --type=CLOUD_ARMOR_NETWORK \
       --region=REGION
    
  2. Modifica la regola predefinita dei criteri da allow a deny per bloccare il traffico non consentito esplicitamente da altre regole.

    gcloud compute security-policies rules update 2147483647 \
       --security-policy=POLICY_NAME \
       --action=deny \
       --region=REGION
    
  3. Nella stessa policy di sicurezza, aggiungi una regola con priorità RULE_PRIORITY che consenta le richieste nell'intervallo di indirizzi IP di origine RANGE.

    gcloud compute security-policies rules create RULE_PRIORITY \
       --security-policy=POLICY_NAME \
       --network-src-ip-ranges=RANGE \
       --action=allow \
       --region=REGION
    
  4. Associa il criterio di sicurezza al servizio di backendBACKEND_SERVICE_NAME.

    gcloud compute backend-services update BACKEND_SERVICE_NAME \
       --security-policy=POLICY_NAME \
       --region=REGION
    

    In alternativa, puoi associare il criterio di sicurezza a una singola istanza VM utilizzando il seguente comando:

    gcloud beta compute instances network-interfaces update VM_NAME \
       --security-policy=POLICY_NAME \
       --security-policy-region=REGION \
       --network-interface=NETWORK_INTERFACE \
       --zone=ZONE_NAME
    
  5. (Facoltativo) Puoi verificare che il criterio di sicurezza sia allegato utilizzando il seguente comando. In caso di esito positivo, il campo securityPolicy nell'output contiene un link alla risorsa del criterio di sicurezza.

    gcloud compute instances describe VM_NAME --zone=ZONE_NAME
    

Dopo aver creato l'esempio precedente, puoi continuare ad aggiungere regole al criterio di sicurezza di confine della rete utilizzando il comando security-policies rules update. I campi supportati per i criteri di sicurezza perimetrale della rete sono i seguenti:

Campo Bandiera Descrizione
Indirizzo IP di origine --network-src-ip-ranges Indirizzi IPv4/6 di origine o prefissi CIDR in formato di testo standard.
Porte di origine --network-src-ports Numeri di porte di origine per TCP/UDP/SCTP. Ogni elemento può essere un numero (a 16 bit) (ad esempio "80") o un intervallo (ad esempio "0-1023").
Codici regione di origine --network-src-region-codes Codice paese di due lettere (ISO 3166-1 alpha-2).
ASN di origine --network-src-asns Numero di sistema autonomo BGP dell'indirizzo IP di origine.
Intervalli di indirizzi IP di destinazione --network-dest-ip-ranges Indirizzi IPv4/6 di destinazione o prefissi CIDR in formato di testo standard.
Porte di destinazione --network-dest-ports Numeri di porte di destinazione per TCP/UDP/SCTP. Ogni elemento può essere un numero (a 16 bit) (ad esempio "80") o un intervallo (ad esempio "0-1023").
Protocolli degli indirizzi IP --network-ip-protocols Protocollo IPv4 / IPv6, intestazione successiva (dopo le intestazioni di estensione). Ogni elemento può essere un numero a 8 bit (ad es. "6"), un intervallo (ad es. "253-254") o uno dei seguenti nomi di protocollo:
  • tcp
  • udp
  • icmp
  • esp
  • ah
  • ipip
  • sctp
Filtro dell'offset in byte N/D Consulta la sezione seguente.

Quando utilizzi il flag --network-src-region-codes con un criterio di sicurezza di confine di rete, puoi utilizzare i codici regione per i seguenti territori soggetti a sanzioni complete degli Stati Uniti:

Territori Codice assegnato
Crimea XC
La cosiddetta Repubblica popolare di Donetsk (DNR) e
la cosiddetta Repubblica popolare di Lugansk (LNR)
XD

Configurare i filtri di offset in byte

Se utilizzi bilanciatori del carico di rete esterni passthrough, forwarding del protocollo o VM con indirizzi IP pubblici, Google Cloud Armor può eseguire un'analisi approfondita dei pacchetti sul traffico in entrata. Puoi configurare una regola del criterio di sicurezza che corrisponda a un valore di offset di byte TCP/UDP specifico. Puoi configurare la regola in modo che applichi l'azione quando il valore configurato è presente o, in alternativa, quando non è presente.

L'esempio seguente consente il traffico quando il valore è presente e nega tutto l'altro traffico:

  1. Crea un nuovo criterio di sicurezza perimetrale della rete. Puoi saltare questo passaggio se hai già un criterio di sicurezza perimetrale della rete.

    gcloud compute security-policies create POLICY_NAME \
       --type=CLOUD_ARMOR_NETWORK \
       --region=REGION_NAME
    
  2. Aggiorna il criterio di sicurezza perimetrale della rete per aggiungere campi definiti dall'utente utilizzando i seguenti parametri:

    • Base: il valore può essere IPv4, IPv6, TCP o UDP
    • Offset: offset del campo dalla base in byte
    • Dimensione: dimensioni del campo in byte (il valore massimo è 4)
    • Maschera: la maschera per i bit del campo da associare

    Puoi utilizzare fino a otto campi definiti dall'utente per criterio. Nell'esempio seguente, crei due campi definiti dall'utente.

    gcloud compute security-policies add-user-defined-field POLICY_NAME \
       --user-defined-field-name=USER_DEFINED_FIELD_NAME_TCP \
       --base=TCP \
       --offset=OFFSET \
       --size=SIZE \
       --mask=MASK \
       --region=REGION_NAME
    
    gcloud compute security-policies add-user-defined-field POLICY_NAME \
       --user-defined-field-name=USER_DEFINED_FIELD_NAME_UDP \
       --base=UDP \
       --offset=OFFSET \
       --size=SIZE \
       --mask=MASK \
       --region=REGION_NAME
    
  3. Nel criterio di sicurezza perimetrale della rete, aggiungi una regola con lo stesso nome del campo personalizzato utilizzato nell'esempio precedente. Sostituisci VALUE1 e VALUE2 con i valori corrispondenti al traffico che vuoi consentire.

    gcloud compute security-policies rules create RULE_PRIORITY \
       --security-policy=POLICY_NAME \
       --network-user-defined-fields="USER_DEFINED_FIELD_NAME_TCP;VALUE1:VALUE2,USER_DEFINED_FIELD_NAME_UDP;VALUE1:VALUE2,USER_DEFINED_FIELD_NAME_UDP;VALUE1,VALUE2" \
       --action=allow \
       --region=REGION_NAME
    
  4. Imposta la regola predefinita nel criterio di sicurezza perimetrale della rete come una regola di rifiuto. Puoi saltare questo passaggio se la regola predefinita nel criterio di sicurezza è già una regola di rifiuto.

    gcloud compute security-policies rules update 2147483647 \
       --security-policy=POLICY_NAME \
       --action=deny \
       --region=REGION_NAME
    
  5. Associa il criterio di sicurezza perimetrale della rete al servizio di backend del bilanciatore del carico di rete passthrough esterno.

    gcloud compute backend-services update BACKEND_SERVICE_NAME \
       --security-policy=POLICY_NAME \
       --region=REGION_NAME
    

Monitoraggio

Google Cloud Armor esporta le seguenti metriche in Cloud Monitoring per ciascuna delle regole dei criteri di sicurezza del perimetro della rete:

  • packet_count
    • Blocked: un valore booleano che rappresenta il risultato di un'azione della regola allow o deny
      .
    • Count: il valore di packet_count viene incrementato una volta per ogni 10.000 pacchetti. Ad esempio, un valore di packet_count pari a 5 significa che almeno 50.000 pacchetti hanno soddisfatto la regola
  • preview_packet_count: uguale a packet_count, utilizzato per le regole in modalità di anteprima

Per visualizzare le metriche per i criteri di sicurezza dell'edge di rete, devi prima attivare l'API Network Security (networksecurity.googleapis.com). Questa autorizzazione è inclusa nel ruolo Amministratore della sicurezza di Compute (roles/compute.securityAdmin). Dopo aver attivato l'API Network Security, puoi visualizzare le metriche in Monitoraggio nella console Google Cloud.

Vai a Monitoring