I criteri firewall gerarchici ti consentono di creare e applicare un criterio firewall coerente in tutta l'organizzazione. Puoi assegnare criteri firewall gerarchici all'organizzazione nel suo complesso o a singole cartelle. Questi criteri contengono regole che possono negare o consentire esplicitamente le connessioni, come le regole firewall VPC (Virtual Private Cloud).
Inoltre, le regole della policy firewall gerarchica possono delegare la valutazione a criteri di livello inferiore o a regole firewall di rete VPC con un'azione goto_next.
Le regole di livello inferiore non possono sostituire una regola di un livello superiore nella gerarchia delle risorse. In questo modo, gli amministratori a livello di organizzazione possono gestire le regole firewall critiche in un unico posto.
Specifiche
- I criteri firewall gerarchici vengono creati a livello di organizzazione e di cartella. La creazione di un criterio non applica automaticamente le regole all'organizzazione o alla cartella.
- Una volta creati, i criteri possono essere applicati (associati) a qualsiasi risorsa dell'organizzazione.
- I criteri firewall gerarchici sono contenitori per le regole firewall. Quando associ un criterio all'organizzazione o a una cartella, tutte le regole vengono applicate immediatamente. Puoi scambiare i criteri per una risorsa, in modo da scambiare in modo atomico tutte le regole firewall applicate alle istanze di macchine virtuali (VM) all'interno di quella risorsa.
- La valutazione delle regole è gerarchica in base alla gerarchia delle risorse. Tutte le regole associate all'organizzazione vengono valutate, seguite da quelle del primo livello di cartelle e così via.
- Le regole dei criteri firewall gerarchici dispongono di una nuova azione
goto_nextche puoi utilizzare per delegare la valutazione delle connessioni ai livelli inferiori della gerarchia.
Le regole delle policy del firewall gerarchiche possono essere utilizzate per configurare l'ispezione di livello 7 del traffico corrispondente, ad esempio il servizio di prevenzione delle intrusioni.
Per creare una regola del criterio del firewall, utilizza l'
apply_security_profile_groupazione e il nome del gruppo di profili di sicurezza. Il traffico corrispondente alla regola del criterio firewall viene intercettato e inoltrato in modo trasparente all'endpoint firewall per l'ispezione di livello 7 e viceversa. Per scoprire come creare una regola di policy firewall, consulta Creare regole firewall.
- Le regole dei criteri firewall gerarchici possono essere scelte come target per reti e VM VPC specifiche utilizzando le risorse target per le reti e gli account di servizio target per le VM. In questo modo puoi creare eccezioni per gruppi di VM. Le regole della policy firewall gerarchica non supportano il targeting per tag istanza.
- Ogni regola della policy firewall gerarchica può includere intervalli IPv4 o IPv6, ma non entrambi.
- Per facilitare la conformità e il debug, le regole firewall applicate a un'istanza VM possono essere controllate utilizzando la pagina dei dettagli della rete VPC e la pagina dei dettagli dell'interfaccia di rete dell'istanza VM.
Gerarchia delle risorse
Creazione e applicazione dei criteri firewall in passaggi separati. Puoi creare e applicare criteri firewall a livello di organizzazione o cartella della gerarchia delle risorse. Una regola del criterio firewall può bloccare le connessioni, consentirle o rimandare la valutazione della regola firewall a cartelle di livello inferiore o a regole firewall VPC definite nelle reti VPC.
Organizzazione è la risorsa di primo livello nella gerarchia delle risorse di Google Cloud in cui puoi creare o associare criteri firewall gerarchici. Tutte le cartelle e le reti VPC dell'organizzazione ereditano questo criterio.
Le cartelle sono risorse di livello intermedio nella gerarchia delle risorse di Google Cloud, tra l'organizzazione e i progetti, in cui puoi creare o assegnare criteri di firewall gerarchici. Tutte le cartelle e le reti VPC in una cartella ereditano il criterio associato.
Un progetto si trova in una cartella o nell'organizzazione. Puoi spostare i progetti tra le risorse di un'organizzazione. I progetti contengono reti VPC. I criteri firewall gerarchici non possono essere assegnati ai progetti, ma solo all'organizzazione o alle cartelle.
Una rete VPC è la partizione di Google Cloud per la comunicazione con lo spazio IP interno isolato. Questo è il livello a cui vengono specificati e applicati route, criteri firewall di rete e regole firewall VPC tradizionali. Le regole della policy firewall gerarchica possono eseguire l'override o la delega della valutazione della connessione ai criteri e alle regole firewall di rete globali.
Per impostazione predefinita, tutte le regole della policy firewall gerarchica si applicano a tutte le VM di tutti i progetti nell'organizzazione o nella cartella in cui è associata la policy. Tuttavia, puoi limitare le VM che ricevono una determinata regola specificando le reti o gli account di servizio di destinazione.
I livelli della gerarchia a cui ora è possibile applicare le regole firewall sono rappresentati nel seguente diagramma. Le caselle gialle rappresentano i criteri firewall gerarchici che contengono regole firewall, mentre le caselle bianche rappresentano le regole firewall VPC.
Dettagli dei criteri firewall gerarchici
Le regole dei criteri firewall gerarchici sono definite in una risorsa del criterio firewall che funge da contenitore per le regole firewall. Le regole definite in un criterio firewall non vengono applicate finché il criterio non viene associato a una risorsa (un'organizzazione o una cartella).
Un singolo criterio può essere associato a più risorse. Se modifichi una regola in un criterio, la modifica della regola si applica a tutte le risorse associate.
A una risorsa può essere associato un solo criterio firewall. Le regole dei criteri firewall gerarchici e le regole firewall VPC vengono valutate in un ordine ben definito.
Un criterio firewall non associato a nessuna risorsa è un criterio firewall gerarchico non associato.
Nomi dei criteri
Quando crei un nuovo criterio, Google Cloud genera automaticamente un ID per il criterio. Inoltre, devi specificare anche un nome breve per il criterio.
Quando utilizzi l'interfaccia gcloud per aggiornare un criterio esistente, puoi fare riferimento all'ID generato dal sistema o a una combinazione del nome breve e dell'ID dell'organizzazione. Quando utilizzi l'API per aggiornare il criterio, devi fornire l'ID generato dal sistema.
Dettagli della regola della policy firewall gerarchica
Le regole dei criteri firewall gerarchici funzionano come le regole dei criteri firewall e le regole firewall VPC, ma esistono alcune differenze:
I criteri firewall gerarchici supportano le reti di destinazione, mentre i criteri firewall di rete globale no. Puoi specificare le reti di destinazione per limitare una regola del criterio firewall alle VM nelle reti specificate. La specifica delle reti VPC nella regola ti consente di controllare quali reti vengono configurate con la regola.
Se combinato con
goto_nextoallow, la specifica delle reti di destinazione consente di creare eccezioni per reti specifiche quando vuoi definire un criterio altrimenti restrittivo.I criteri firewall gerarchici non hanno l'integrazione dei tag sicuri.
I criteri firewall gerarchici sono risorse a livello di organizzazione, mentre i criteri firewall di rete globali sono risorse a livello di progetto.
Regole predefinite
Quando crei un criterio firewall gerarchico, Cloud Next Generation Firewall aggiunge al criterio le regole predefinite con la priorità più bassa. Queste regole vengono applicate a tutte le connessioni che non corrispondono a una regola definita esplicitamente nel criterio, pertanto vengono trasmesse a criteri o regole di rete di livello inferiore.
Per informazioni sui vari tipi di regole predefinite e sulle relative caratteristiche, consulta Regole predefinite.
i ruoli IAM (Identity and Access Management)
I ruoli IAM regolano le seguenti azioni relative ai criteri del firewall gerarchico:
- Creazione di un criterio in una determinata risorsa
- Associare un criterio a una risorsa specifica
- Modifica di un criterio esistente
- Visualizzazione delle regole firewall effettive per una determinata rete o VM
La tabella seguente descrive i ruoli necessari per ogni passaggio:
| Abilità | Ruolo necessario |
|---|---|
| Creare una nuova policy firewall gerarchica | Il ruolo compute.orgFirewallPolicyAdmin nella risorsa in cui verrà applicato il criterio |
| Associare un criterio a una risorsa | Il ruolo compute.orgSecurityResourceAdmin sulla risorsa di destinazione e il ruolo compute.orgFirewallPolicyAdmin o compute.orgFirewallPolicyUser sulla risorsa in cui si trova il criterio o sul criterio stesso |
| Modifica la policy aggiungendo, aggiornando o eliminando le regole del firewall della policy | Il ruolo compute.orgFirewallPolicyAdmin nella risorsa in cui si trova il criterio o nel criterio stesso |
| Elimina il criterio | Il ruolo compute.orgFirewallPolicyAdmin nella risorsa in cui si trova il criterio o nel criterio stesso |
| Visualizzare le regole firewall effettive per una rete VPC | Uno dei seguenti ruoli per la rete: compute.networkAdmin compute.networkViewer compute.securityAdmin compute.viewer |
| Visualizzare le regole firewall effettive per una VM in una rete | Uno dei seguenti ruoli per la VM: compute.instanceAdmin compute.securityAdmin compute.viewer |
I seguenti ruoli sono pertinenti ai criteri firewall gerarchici.
| Nome ruolo | Descrizione |
|---|---|
| compute.orgFirewallPolicyAdmin | Può essere concessa a una risorsa o a un singolo criterio. Se concesso a una risorsa, consente agli utenti di creare, aggiornare ed eliminare i criteri firewall gerarchici e le relative regole. Se concessa per un singolo criterio, consente all'utente di aggiornare
le regole del criterio, ma non di creare o eliminare il criterio. Questo ruolo consente inoltre all'utente di associare un criterio a una risorsa se dispone anche del ruolo compute.orgSecurityResourceAdmin per quella risorsa. |
| compute.orgSecurityResourceAdmin | Se concessa a livello di organizzazione o a una cartella, consente agli amministratori a livello di cartella di associare un criterio a quella risorsa. Per poter utilizzare i criteri, gli amministratori devono anche avere il ruolo compute.orgFirewallPolicyUser o compute.orgFirewallPolicyAdmin nella risorsa che possiede i criteri o nei criteri stessi. |
| compute.orgFirewallPolicyUser | Se concesso a una risorsa o a un singolo criterio, consente agli amministratori di utilizzare il singolo criterio o i singoli criteri associati alla risorsa. Gli utenti devono inoltre disporre del ruolo compute.orgSecurityResourceAdmin nella risorsa di destinazione per associare un criterio a quella risorsa. |
|
compute.securityAdmin compute.viewer compute.networkUser compute.networkViewer |
Consente agli utenti di visualizzare le regole del firewall applicate alla rete o all'istanza. Include l'autorizzazione compute.networks.getEffectiveFirewalls per le reti e compute.instances.getEffectiveFirewalls per le istanze. |
Nell'esempio seguente, Joe può creare, modificare ed eliminare qualsiasi criterio di firewall gerarchico nella cartella policies, ma non può associarlo a una cartella perché non dispone del ruolo orgSecurityResourceAdmin per nessuna cartella.
Tuttavia, poiché Mario ha concesso a Maria le autorizzazioni per utilizzare policy-1, può elencare e associare il criterio firewall gerarchico alla cartella policy-1 o a uno dei suoi discendenti.dev-projects Il ruolo orgFirewallPolicyUser non concede l'autorizzazione per associare i criteri a nessuna cartella. L'utente deve disporre anche del ruolo orgSecurityResourceAdmin nella cartella di destinazione.
Gestire le risorse dei criteri firewall gerarchici
Poiché un criterio firewall gerarchico definisce solo un insieme di regole firewall e non dove vengono applicate, puoi creare queste risorse in una parte diversa della gerarchia rispetto alle risorse a cui si applicano. In questo modo puoi associare una singola risorsa del criterio firewall gerarchico a più cartelle nell' organizzazione.
Nell'esempio seguente, policy-1 viene applicato alle cartelle dev-projects e
corp-projects e quindi viene applicato a tutti i progetti in queste cartelle.
Modificare le regole di un criterio
Puoi aggiungere, rimuovere e modificare le regole in un criterio. Ogni modifica viene eseguita individualmente. Non esiste un meccanismo per l'aggiornamento collettivo delle regole in un criterio. Le modifiche vengono applicate approssimativamente nell'ordine in cui vengono eseguiti i comandi, anche se non è garantito.
Se apporti modifiche sostanziali a un criterio di firewall gerarchico e devi assicurarti che vengano applicate contemporaneamente, puoi clonare il criterio in un criterio temporaneo e assegnarlo alle stesse risorse. Puoi quindi apportare le modifiche all'originale e riassegnare l'originale alle risorse. Per la procedura da seguire, vedi Clonare le regole da un criterio all'altro.
Nell'esempio seguente, policy-1 è allegato alla cartella dev-projects e vuoi apportare diverse modifiche da applicare in modo atomico. Crea una nuova
norma denominata scratch-policy, quindi copia tutte le regole esistenti da
policy-1 a scratch-policy per modificarle. Al termine della modifica,
copia tutte le regole da scratch-policy a policy-1.
Spostare un criterio
I criteri firewall gerarchici, come i progetti, hanno come organizzazione principale una cartella o una risorsa dell'organizzazione. Man mano che lo schema delle cartelle si evolve, potrebbe essere necessario spostare un criterio firewall gerarchico in una nuova cartella, ad esempio prima dell'eliminazione di una cartella. I criteri di proprietà di una cartella vengono eliminati se la cartella viene eliminata.
Il seguente diagramma illustra il trasferimento di un criterio tra associazioni di risorse o la valutazione delle regole nel criterio.
Associare un criterio firewall gerarchico a una cartella
Un criterio firewall gerarchico non viene applicato a meno che non sia associato a un'organizzazione o a una cartella. Una volta associato, viene applicato a tutte le VM in tutte le reti all'interno dell'organizzazione o della cartella.
Modifiche alla gerarchia delle risorse
La propagazione delle modifiche alla gerarchia delle risorse nel sistema potrebbe richiedere del tempo. Ti consigliamo di evitare aggiornamenti simultanei agli allegati dei criteri firewall gerarchici e alla gerarchia delle risorse, perché le reti potrebbero non ereditare immediatamente il criterio firewall gerarchico definito nella nuova posizione della gerarchia.
Ad esempio, se sposti la cartella dept-A dalla cartella dev-projects alla cartella eng-projects e modifichi l'associazione di policy-1 a eng-projects anziché a dev-projects, assicurati di non disassociare policy-1 da dev-projects contemporaneamente. Se la cartella dev-projects perde l'associazione gerarchica dei criteri del firewall prima che l'albero di tutte le reti VPC al suo interno sia stato aggiornato, per un breve periodo di tempo queste reti VPC non sono protette da policy-1.
Utilizzare i criteri firewall gerarchici con VPC condiviso
Negli scenari VPC condiviso, un'interfaccia VM collegata alla rete di un progetto host è regolata dalle regole del criterio di firewall gerarchico del progetto host, non del progetto di servizio.
Anche se i progetti di servizio si trovano in una cartella diversa rispetto al progetto host, le interfacce VM nella rete condivisa ereditano comunque le regole della cartella del progetto host.
Utilizzare i criteri firewall gerarchici con il peering di rete VPC
Negli scenari di peering di reti VPC, l'interfaccia VM associata a ciascuna delle reti VPC eredita i criteri nella gerarchia delle rispettive reti VPC. Di seguito è riportato un esempio di peering di reti VPC in cui le reti VPC in peering appartengono a organizzazioni diverse.
Passaggi successivi
- Per creare e modificare criteri e regole firewall gerarchici, consulta Utilizzare i criteri firewall gerarchici.
- Per vedere esempi di implementazioni di criteri firewall gerarchici, consulta Esempi di criteri firewall gerarchici.