Criteri firewall

I criteri firewall consentono di raggruppare diverse regole firewall in modo da poterle aggiornare tutte insieme, con un controllo efficace mediante i ruoli IAM (Identity and Access Management). Questi criteri contengono regole che possono negare o consentire esplicitamente le connessioni, come le regole firewall VPC (Virtual Private Cloud).

Criteri firewall gerarchici

I criteri firewall gerarchici ti consentono di raggruppare le regole in un oggetto di criteri che può essere applicato a molte reti VPC in uno o più progetti. Puoi associare criteri firewall gerarchici a un'intera organizzazione o a singole cartelle.

Per le specifiche e i dettagli dei criteri firewall gerarchici, consulta Criteri firewall gerarchici.

Criteri firewall di rete globali

I criteri firewall di rete globali ti consentono di raggruppare le regole in un oggetto di criteri applicabile a tutte le regioni (globale). Dopo aver associato una policy firewall di rete globale a una rete VPC, le regole della policy possono essere applicate alle risorse nella rete VPC.

Per le specifiche e i dettagli dei criteri firewall di rete globali, consulta Criteri firewall di rete globali.

Criteri firewall di rete regionali

I criteri firewall di rete regionali ti consentono di raggruppare le regole in un oggetto di criteri applicabile a una regione specifica. Dopo aver associato un criterio firewall di rete regionale a una rete VPC, le regole del criterio possono essere applicate alle risorse all'interno della regione della rete VPC.

Per le specifiche e i dettagli dei criteri firewall regionali, consulta Criteri firewall di rete regionali.

Ordine di valutazione delle norme e delle regole

Le regole dei criteri firewall gerarchici, dei criteri firewall di rete globali, dei criteri firewall di rete regionali e delle regole firewall VPC vengono implementate nell'ambito dell'elaborazione dei pacchetti VM dello stack di virtualizzazione della rete Andromeda. Le regole vengono valutate per ogni interfaccia di rete (NIC) della VM.

L'applicabilità di una regola non dipende dalla specificità della configurazione dei protocolli e delle porte. Ad esempio, una regola di autorizzazione con priorità più alta per tutti i protocolli ha la precedenza su una regola di rifiuto con priorità inferiore specifica per la porta TCP22.

Inoltre, l'applicabilità di una regola non dipende dalla specificità del parametro target. Ad esempio, una regola di autorizzazione con priorità più alta per tutte le VM (tutti i target) ha la precedenza anche se esiste una regola di rifiuto con priorità inferiore con un parametro target più specifico, ad esempio un tag o un account di servizio specifico.

Determina l'ordine di valutazione dei criteri e delle regole

L'ordine in cui vengono valutate le regole del criterio firewall e le regole firewall VPC è determinato dal flag networkFirewallPolicyEnforcementOrder della rete VPC collegata alla NIC della VM.

Il flag networkFirewallPolicyEnforcementOrder può avere i seguenti due valori:

  • BEFORE_CLASSIC_FIREWALL: se imposti il flag su BEFORE_CLASSIC_FIREWALL, il criterio firewall di rete globale e il criterio firewall di rete regionale vengono valutati prima delle regole firewall VPC nell'ordine di valutazione delle regole.

  • AFTER_CLASSIC_FIREWALL : se imposti il flag su AFTER_CLASSIC_FIREWALL, il criterio firewall di rete globale e il criterio firewall di rete regionale vengono valutati dopo le regole firewall VPC nell'ordine di valutazione delle regole. AFTER_CLASSIC_FIREWALL è il valore predefinito del networkFirewallPolicyEnforcementOrder flag.

Per modificare l'ordine di valutazione delle regole, consulta Modificare l'ordine di valutazione delle norme e delle regole.

Ordine di valutazione predefinito delle norme e delle regole

Per impostazione predefinita e quando il networkFirewallPolicyEnforcementOrder della rete VPC collegata alla NIC della VM è AFTER_CLASSIC_FIREWALL, Google Cloud valuta le regole applicabili alla NIC della VM nel seguente ordine:

  1. Se un criterio firewall gerarchico è associato all'organizzazione che contiene il progetto della VM, Google Cloud valuta tutte le regole applicabili nel criterio firewall gerarchico. Poiché le regole nei criteri firewall gerarchici devono essere univoche, la regola con la priorità più alta che corrisponde alla direzione del traffico e alle caratteristiche del livello 4 determina il modo in cui il traffico viene elaborato:

    • La regola può consentire il traffico. Il processo di valutazione si interrompe.

    • La regola può negare il traffico. Il processo di valutazione si interrompe.

    • La regola può inviare il traffico per l'ispezione di livello 7 (apply_security_profile_group) all'endpoint firewall. La decisione di consentire o eliminare il pacchetto dipende dall'endpoint del firewall e dal profilo di sicurezza configurato. In entrambi i casi, il processo di valutazione delle regole si interrompe.

    • La regola può consentire l'elaborazione delle regole definite come descritto nei passaggi successivi se è vera una delle seguenti condizioni:

      • Una regola con un'azione goto_next corrisponde al traffico.
      • Nessuna regola corrisponde al traffico. In questo caso, viene applicata una regola goto_next implicita.

  2. Se un criterio firewall gerarchico è associato alla cartella principale più distante (in alto) del progetto della VM, Google Cloud valuta tutte le regole applicabili nel criterio firewall gerarchico per quella cartella. Poiché le regole nei criteri firewall gerarchici devono essere univoche, la regola con la priorità più elevata che corrisponde alla direzione del traffico e alle caratteristiche del livello 4 determina la modalità di elaborazione del traffico (allow, deny, apply_security_profile_group, o goto_next), come descritto nel primo passaggio.

  3. Google Cloud ripete le azioni del passaggio precedente per un criterio firewall gerarchico associato alla cartella successiva più vicina al progetto della VM nella gerarchia delle risorse. Google Cloud valuta prima le regole nei criteri firewall gerarchici associati alla cartella principale più distante (più vicina all'organizzazione), quindi valuta le regole nei criteri firewall gerarchici associati alla cartella successiva (secondaria) più vicina al progetto della VM.

  4. Se nella rete VPC utilizzata dalla NIC della VM esistono regole firewall VPC, Google Cloud valuta tutte le regole firewall VPC applicabili.

    A differenza delle regole nei criteri firewall:

    • Le regole firewall VPC non hanno un'azione goto_next o apply_security_profile_group esplicita. Una regola del firewall VPC può essere configurata solo per consentire o negare il traffico.

    • Due o più regole firewall VPC in una rete VPC possono condividere lo stesso numero di priorità. In questo caso, le regole di rifiuto hanno la precedenza sulle regole di autorizzazione. Per ulteriori dettagli sulla priorità delle regole firewall VPC, consulta Priorità nella documentazione delle regole firewall VPC.

    Se al traffico non viene applicata alcuna regola del firewall VPC, Google Cloud passa al passaggio successivo (goto_next implicito).

  5. Se un criterio di firewall di rete globale è associato alla rete VPC della NIC della VM, Google Cloud valuta tutte le regole applicabili nel criterio del firewall. Poiché le regole nei criteri del firewall devono essere univoche, la regola con la priorità più alta che corrisponde alla direzione del traffico e alle caratteristiche del livello 4 determina il modo in cui viene elaborato il traffico (allow, deny, apply_security_profile_group, o goto_next), come descritto nel primo passaggio.

  6. Se un criterio firewall di rete regionale è associato alla rete VPC della NIC e alla regione della VM, Google Cloud valuta tutte le regole applicabili nel criterio firewall. Poiché le regole nei criteri firewall devono essere univoche, la regola con la priorità più alta che corrisponde alla direzione del traffico e alle caratteristiche del livello 4 determina come viene elaborato il traffico (allow, deny o goto_next), come descritto nel primo passaggio.

  7. Come passaggio finale della valutazione, Google Cloud applica le regole del firewall VPC che consentono il traffico in uscita e negano il traffico in entrata implicite.

Il seguente diagramma mostra il flusso di risoluzione per le regole del firewall.

Flusso di risoluzione delle regole firewall.
Figura 1. Flusso di risoluzione delle regole firewall (fai clic per ingrandire).

Modificare l'ordine di valutazione delle norme e delle regole

Google Cloud ti offre la possibilità di modificare la procedura di valutazione delle regole predefinite scambiando l'ordine delle regole firewall VPC e dei criteri firewall di rete (sia globali che regionali). Quando esegui questo scambio, la policy firewall di rete globale (passaggio 5) e la policy firewall di rete regionale (passaggio 6) vengono valutate prima delle regole firewall VPC (passaggio 4) nell'ordine di valutazione delle regole.

Per modificare l'ordine di valutazione delle regole, esegui il seguente comando per impostare l'attributo networkFirewallPolicyEnforcementOrder della rete VPC su BEFORE_CLASSIC_FIREWALL:

gcloud compute networks update VPC-NETWORK-NAME \
    --network-firewall-policy-enforcement-order BEFORE_CLASSIC_FIREWALL

Per ulteriori informazioni, consulta il metodo networks.patch.

Regole firewall efficaci

Le regole della policy firewall gerarchica, le regole firewall VPC e le regole della policy firewall di rete globale e regionale controllano le connessioni. Potrebbe essere utile visualizzare tutte le regole firewall che interessano una singola rete o interfaccia VM.

Regole firewall efficaci della rete

Puoi visualizzare tutte le regole firewall applicate a una rete VPC. L'elenco include tutti i seguenti tipi di regole:

  • Regole ereditate dai criteri firewall gerarchici
  • Regole firewall VPC
  • Regole applicate dai criteri firewall di rete globali e regionali

Regole firewall effettive dell'istanza

Puoi visualizzare tutte le regole firewall applicate all'interfaccia di rete di una VM. L'elenco include tutti i seguenti tipi di regole:

  • Regole ereditate dai criteri firewall gerarchici
  • Regole applicate dal firewall VPC dell'interfaccia
  • Regole applicate dai criteri firewall di rete globali e regionali

Le regole sono ordinate dal livello dell'organizzazione alla rete VPC. Vengono visualizzate solo le regole che si applicano all'interfaccia della VM. Le regole in altri criteri non vengono mostrate.

Per visualizzare le regole dei criteri firewall efficaci all'interno di una regione, consulta Ottenere criteri firewall efficaci per una rete.

Regole predefinite

Quando crei un criterio firewall gerarchico, un criterio firewall di rete globale o un criterio firewall di rete regionale, Cloud NGFW aggiunge al criterio regole predefinite. Le regole predefinite che Cloud NGFW aggiunge al criterio dipendono dal modo in cui lo crei.

Se crei un criterio firewall utilizzando la console Google Cloud, Cloud NGFW aggiunge le seguenti regole al nuovo criterio:

  1. Regole di tipo Vai al prossimo per intervalli IPv4 privati
  2. Regole di rifiuto predefinite di Google Threat Intelligence
  3. Regole di rifiuto della geolocalizzazione predefinite
  4. Regole di tipo Vai alla successiva con la priorità più bassa possibile

Se crei un criterio firewall utilizzando Google Cloud CLI o l'API, Cloud NGFW aggiunge al criterio solo le regole goto-next con la priorità più bassa possibile.

Tutte le regole predefinite in un nuovo criterio firewall utilizzano intenzionalmente priorità basse (numeri di priorità elevati) in modo da poterle ignorare creando regole con priorità più elevate. Ad eccezione delle regole vai alla pagina successiva con la priorità più bassa, puoi anche personalizzare le regole predefinite.

Regole di passaggio al prossimo per intervalli IPv4 privati

  • Una regola di traffico in uscita con intervalli IPv4 di destinazione 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, prioritaria 1000 e azione goto_next.

  • Una regola di traffico in entrata con intervalli IPv4 di origine 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, prioritaria 1001 e azione goto_next.

Regole di rifiuto predefinite di Google Threat Intelligence

  • Una regola di ingresso con l'elenco di origine Google Threat Intelligence iplist-tor-exit-nodes, prioritaria 1002 e l'azione deny.

  • Una regola di ingresso con l'elenco di origine Google Threat Intelligence iplist-known-malicious-ips, prioritaria 1003 e l'azione deny.

  • Una regola di uscita con l'elenco di destinazione di Google Threat Intelligence iplist-known-malicious-ips, prioritaria 1004 e azione deny.

Per scoprire di più su Google Threat Intelligence, consulta Google Threat Intelligence per le regole dei criteri firewall.

Regole di negazione della geolocalizzazione predefinite

  • Una regola di ingresso con geolocalizzazioni di origine corrispondenti a CU,IR, KP, SY, XC e XD, priorità 1005 e azione deny.

Per scoprire di più sulle posizioni geografiche, consulta Oggetti di geolocalizzazione.

Regole di tipo Vai al successivo con la priorità più bassa possibile

Non puoi modificare o eliminare le seguenti regole:

  • Una regola di traffico in uscita con intervallo IPv6 di destinazione ::/0, priorità 2147483644 e azione goto_next.

  • Una regola di ingresso con intervallo IPv6 di origine ::/0, priorità 2147483645 e azione goto_next.

  • Una regola di traffico in uscita con intervallo IPv4 di destinazione 0.0.0.0/0, priorità 2147483646 e azione goto_next.

  • Una regola di ingresso con intervallo IPv4 di origine 0.0.0.0/0, priorità 2147483647 e azione goto_next.

Passaggi successivi