I criteri firewall gerarchici consentono di creare e applicare un criterio firewall coerente in tutta l'organizzazione. Puoi assegnare criteri firewall gerarchici
all'organizzazione nel suo complesso o a singole cartelle. Questi criteri
contengono regole che possono negare o consentire esplicitamente le connessioni, come le
regole firewall VPC (Virtual Private Cloud).
Inoltre, le regole dei criteri firewall gerarchici possono delegare la valutazione a criteri di livello inferiore o a regole firewall di rete VPC con un'azione goto_next.
Le regole di livello inferiore non possono sostituire una regola di un livello superiore nella gerarchia delle risorse. In questo modo, gli amministratori a livello di organizzazione possono gestire le regole firewall critiche in un unico posto.
Specifiche
- I criteri firewall gerarchici vengono creati a livello di organizzazione e di cartella. La creazione di una policy non applica automaticamente le regole all'organizzazione o alla cartella.
- Una volta create, le policy possono essere applicate a qualsiasi risorsa (associata) dell'organizzazione.
- I criteri firewall gerarchici sono contenitori per le regole firewall. Quando associ un criterio all'organizzazione o a una cartella, tutte le regole vengono applicate immediatamente. Puoi scambiare le norme per una risorsa, il che scambia in modo atomico tutte le regole firewall applicate alle istanze di macchine virtuali (VM) in quella risorsa.
- La valutazione delle regole è gerarchica e si basa sulla gerarchia delle risorse. Vengono valutate tutte le regole associate all'organizzazione, seguite da quelle del primo livello di cartelle e così via.
- Le regole dei criteri firewall gerarchici hanno una nuova azione
goto_nextche puoi utilizzare per delegare la valutazione della connessione ai livelli inferiori della gerarchia.
Le regole dei criteri firewall gerarchici possono essere utilizzate per configurare l'ispezione di livello 7 del traffico corrispondente, ad esempio il servizio di rilevamento e prevenzione delle intrusioni.
Crea una regola del criterio firewall utilizzando l'azione
apply_security_profile_groupe il nome del gruppo di profili di sicurezza. Il traffico corrispondente alla regola dei criteri firewall viene intercettato e inoltrato in modo trasparente all'endpoint firewall per l'ispezione di livello 7 e viceversa. Per scoprire come creare una regola di policy firewall, consulta Crea regole firewall.
- Le regole dei criteri firewall gerarchici possono essere indirizzate a VM e reti VPC specifiche utilizzando risorse di destinazione per le reti e service account di destinazione per le VM. In questo modo puoi creare eccezioni per gruppi di VM. Le regole dei criteri firewall gerarchici non supportano il targeting per tag istanza.
- Ogni regola della policy firewall gerarchica può includere intervalli IPv4 o IPv6, ma non entrambi.
- Per facilitare la conformità e il debug, le regole firewall applicate a un'istanza VM possono essere controllate utilizzando la pagina dei dettagli della rete VPC e la pagina dei dettagli dell'interfaccia di rete dell'istanza VM.
Gerarchia delle risorse
Crea e applica i criteri firewall in passaggi separati. Puoi creare e applicare criteri firewall a livello di organizzazione o cartella della gerarchia delle risorse. Una regola dei criteri firewall può bloccare le connessioni, consentirle o posticipare la valutazione delle regole firewall a cartelle di livello inferiore o a regole firewall VPC definite nelle reti VPC.
Organizzazione è la risorsa di primo livello nella gerarchia delle risorse in Google Cloud dove puoi creare o associare criteri firewall gerarchici. Tutte le cartelle e le reti VPC dell'organizzazione ereditano questo criterio.
Le cartelle sono risorse di livello intermedio nella gerarchia delle risorse di Google Cloud , tra l'organizzazione e i progetti, in cui puoi creare o assegnare criteri firewall gerarchici. Tutte le cartelle e le reti VPC in una cartella ereditano il criterio associato.
Un progetto si trova in una cartella o nell'organizzazione. Puoi spostare i progetti tra le risorse di un'organizzazione. I progetti contengono reti VPC. I criteri firewall gerarchici non possono essere assegnati ai progetti, ma solo all'organizzazione o alle cartelle.
Una rete VPC è la Google Cloud partizione per la comunicazione dello spazio IP interno isolato. Questo è il livello in cui vengono specificati e applicati route, criteri firewall di rete e regole firewall VPC tradizionali. Le regole dei criteri firewall gerarchici possono ignorare o delegare la valutazione della connessione a regole e criteri firewall di rete globali.
Per impostazione predefinita, tutte le regole delle policy firewall gerarchiche si applicano a tutte le VM di tutti i progetti dell'organizzazione o della cartella a cui è associata la policy. Tuttavia, puoi limitare le VM a cui viene applicata una determinata regola specificando reti di destinazione o service account di destinazione.
I livelli della gerarchia a cui ora possono essere applicate le regole firewall sono rappresentati nel seguente diagramma. Le caselle gialle rappresentano i criteri firewall gerarchici che contengono regole firewall, mentre le caselle bianche rappresentano le regole firewall VPC.
Dettagli dei criteri firewall gerarchici
Le regole dei criteri firewall gerarchici sono definite in una risorsa di criteri firewall che funge da contenitore per le regole firewall. Le regole definite in un criterio firewall non vengono applicate finché il criterio non viene associato a una risorsa (un'organizzazione o una cartella).
Un singolo criterio può essere associato a più risorse. Se modifichi una regola in una norma, la modifica della regola viene applicata a tutte le risorse associate.
A una risorsa può essere associato un solo criterio firewall. Le regole dei criteri firewall gerarchici e le regole firewall VPC vengono valutate in un ordine ben definito.
Un criterio firewall non associato a nessuna risorsa è un criterio firewall gerarchico non associato.
Nomi dei criteri
Quando crei una nuova norma, Google Cloud viene generato automaticamente un ID
per la norma. Inoltre, devi specificare un nome breve per la norma.
Quando utilizzi l'interfaccia gcloud per aggiornare una norma esistente, puoi fare riferimento
all'ID generato dal sistema o a una combinazione del nome breve e dell'ID
organizzazione. Quando utilizzi l'API per aggiornare le norme, devi fornire l'ID generato dal sistema.
Dettagli della regola della policy firewall gerarchica
Le regole dei criteri firewall gerarchici funzionano come le regole dei criteri firewall e le regole firewall VPC, ma ci sono alcune differenze:
I criteri firewall gerarchici supportano le reti di destinazione, mentre i criteri firewall di rete globali no. Puoi specificare le reti di destinazione per limitare una regola del criterio firewall alle VM nelle reti specificate. La specifica delle reti VPC nella regola ti consente di controllare quali reti sono configurate con quella regola.
In combinazione con
goto_nextoallow, la specifica delle reti di destinazione ti consente di creare eccezioni per reti specifiche quando vuoi definire un criterio altrimenti restrittivo.I criteri firewall gerarchici non hanno l'integrazione dei tag sicuri.
I criteri firewall gerarchici sono risorse a livello di organizzazione, mentre i criteri firewall di rete globali sono risorse a livello di progetto.
Regole predefinite
Quando crei un criterio firewall gerarchico, Cloud Next Generation Firewall aggiunge regole predefinite con la priorità più bassa al criterio. Queste regole vengono applicate a tutte le connessioni che non corrispondono a una regola definita in modo esplicito nel criterio, facendo sì che queste connessioni vengano trasmesse a criteri o regole di rete di livello inferiore.
Per scoprire i vari tipi di regole predefinite e le loro caratteristiche, consulta Regole predefinite.
i ruoli IAM (Identity and Access Management)
I ruoli IAM regolano le seguenti azioni relative ai criteri firewall gerarchici:
- Creare una policy che risiede in una risorsa specifica
- Associare una policy a una risorsa specifica
- Modifica di una policy esistente
- Visualizzare le regole firewall effettive per una determinata rete o VM
La tabella seguente descrive i ruoli necessari per ogni passaggio:
| Abilità | Ruolo necessario |
|---|---|
| Crea una nuova policy firewall gerarchica | Ruolo compute.orgFirewallPolicyAdmin sulla risorsa in cui verrà archiviato il criterio |
| Associa una policy a una risorsa | compute.orgSecurityResourceAdmin sulla risorsa di destinazione e il ruolo compute.orgFirewallPolicyAdmin o compute.orgFirewallPolicyUser sulla risorsa in cui si trova la policy o sulla policy stessa |
| Modifica la policy aggiungendo, aggiornando o eliminando le regole firewall della policy | compute.orgFirewallPolicyAdmin o sulla risorsa in cui si trova il criterio o sul criterio stesso |
| Elimina la policy | compute.orgFirewallPolicyAdmin o sulla risorsa in cui si trova il criterio o sul criterio stesso |
| Visualizza le regole firewall effettive per una rete VPC | Uno dei seguenti ruoli per la rete: compute.networkAdmin compute.networkViewer compute.securityAdmin compute.viewer |
| Visualizza le regole firewall effettive per una VM in una rete | Uno dei seguenti ruoli per la VM: compute.instanceAdmin compute.securityAdmin compute.viewer |
I seguenti ruoli sono pertinenti per i criteri firewall gerarchici.
| Nome ruolo | Descrizione |
|---|---|
| compute.orgFirewallPolicyAdmin | Possono essere concessi per una risorsa o per un singolo criterio. Se concesso a una risorsa,
consente agli utenti di creare, aggiornare ed eliminare criteri firewall gerarchici e
le relative regole. Se concessa per una singola norma, consente all'utente di aggiornare
le regole della norma, ma non di creare o eliminare la norma. Questo ruolo consente inoltre
all'utente di associare una policy a una risorsa se dispone anche del ruolo
compute.orgSecurityResourceAdmin per quella risorsa. |
| compute.orgSecurityResourceAdmin | Concessa a livello di organizzazione o a una cartella, consente agli amministratori a livello di cartella di associare un criterio a quella risorsa. Gli amministratori devono anche
disporre del ruolo compute.orgFirewallPolicyUser o
compute.orgFirewallPolicyAdmin sulla risorsa
proprietaria del criterio o sul criterio stesso per poterlo utilizzare. |
| compute.orgFirewallPolicyUser | Concessa a una risorsa o a un singolo criterio, consente agli amministratori di
utilizzare il singolo criterio o i criteri associati alla risorsa. Gli utenti devono anche disporre del ruolo compute.orgSecurityResourceAdmin nella risorsa di destinazione per associare un criterio a quella risorsa. |
|
compute.securityAdmin compute.viewer compute.networkUser compute.networkViewer |
Consente agli utenti di visualizzare le regole firewall applicate alla rete o all'istanza. Include l'autorizzazione compute.networks.getEffectiveFirewalls
per le reti e l'autorizzazione compute.instances.getEffectiveFirewalls per le istanze. |
Nell'esempio seguente, Joe può creare, modificare ed eliminare qualsiasi policy firewall gerarchica nella cartella policies, ma non può collegare la policy firewall gerarchica a una cartella perché non dispone del ruolo orgSecurityResourceAdmin in nessuna cartella.
Tuttavia, poiché Joe ha concesso a Mary le autorizzazioni per utilizzare policy-1, può elencare e
associare questo criterio firewall gerarchico alla cartella dev-projects o
a uno qualsiasi dei suoi discendenti. Il ruolo orgFirewallPolicyUser non concede
l'autorizzazione ad associare le norme a qualsiasi cartella; l'utente deve disporre anche del ruolo
orgSecurityResourceAdmin nella cartella di destinazione.
Gestire le risorse delle policy firewall gerarchiche
Poiché una policy del firewall gerarchica definisce solo un insieme di regole firewall e non dove vengono applicate, puoi creare queste risorse in una parte diversa della gerarchia rispetto alle risorse a cui si applicano. Ciò consente di associare una singola risorsa di policy firewall gerarchica a più cartelle nell'organizzazione.
Nell'esempio seguente, policy-1 viene applicato alle cartelle dev-projects e
corp-projects e quindi viene applicato a tutti i progetti in queste cartelle.
Modificare le regole di una norma
Puoi aggiungere, rimuovere e modificare le regole in una policy. Ogni modifica viene apportata singolarmente; non esiste un meccanismo per l'aggiornamento batch delle regole in una policy. Le modifiche vengono applicate approssimativamente nell'ordine di esecuzione dei comandi, anche se non è garantito.
Se stai apportando modifiche estese a un criterio firewall gerarchico e devi assicurarti che vengano applicate contemporaneamente, puoi clonare il criterio in un criterio temporaneo e assegnare il criterio temporaneo alle stesse risorse. Puoi quindi apportare le modifiche all'originale e riassegnarlo alle risorse. Per la procedura, vedi Clonare le regole da un criterio a un altro.
Nell'esempio seguente, policy-1 è allegato alla cartella dev-projects
e vuoi apportare diverse modifiche che si applicano in modo atomico. Crea una nuova
norma denominata scratch-policy, quindi copia tutte le regole esistenti da
policy-1 a scratch-policy per la modifica. Al termine della modifica,
copia tutte le regole da scratch-policy a policy-1.
Spostare una norma
I criteri firewall gerarchici, come i progetti, sono associati a una risorsa cartella o organizzazione. Man mano che il tuo schema di cartelle si evolve, potrebbe essere necessario spostare un criterio firewall gerarchico in una nuova cartella, ad esempio prima dell'eliminazione di una cartella. Le policy di proprietà di una cartella vengono eliminate se la cartella viene eliminata.
Il seguente diagramma illustra lo spostamento di una norma tra le associazioni di risorse o la valutazione delle regole nella norma.
Associa un criterio firewall gerarchico a una cartella
Un criterio firewall gerarchico non viene applicato a meno che non sia associato a un'organizzazione o a una cartella. Una volta associato, viene applicato a tutte le VM in tutte le reti dell'organizzazione o della cartella.
Modifiche alla gerarchia delle risorse
L'applicazione delle modifiche alla gerarchia delle risorse potrebbe richiedere un po' di tempo. Ti consigliamo di evitare aggiornamenti simultanei degli allegati dei criteri firewall gerarchici e della gerarchia delle risorse, perché le reti potrebbero non ereditare immediatamente i criteri firewall gerarchici definiti nella nuova posizione della gerarchia.
Ad esempio, se sposti la cartella dept-A dalla cartella dev-projects
alla cartella eng-projects e modifichi l'associazione di policy-1
a eng-projects anziché a dev-projects, assicurati di non dissociare
policy-1 da dev-projects contemporaneamente. Se la cartella dev-projects perde l'associazione alla policy del firewall gerarchica prima che l'ascendenza di tutte le reti VPC al suo interno sia stata aggiornata, per un breve periodo di tempo queste reti VPC non sono protette da policy-1.
Utilizzare i criteri firewall gerarchici con VPC condiviso
Negli scenari VPC condiviso, un'interfaccia VM collegata a una rete del progetto host è regolata dalle regole dei criteri firewall gerarchici del progetto host, non del progetto di servizio.
Anche se i progetti di servizio si trovano in una cartella diversa da quella del progetto host, le interfacce VM nella rete condivisa ereditano comunque le regole della cartella del progetto host.
Utilizzare i criteri firewall gerarchici con il peering di rete VPC
Negli scenari di peering di rete VPC, l'interfaccia VM associata a ciascuna delle reti VPC eredita i criteri nella gerarchia delle rispettive reti VPC. Di seguito è riportato un esempio di peering di rete VPC in cui le reti VPC in peering appartengono a organizzazioni diverse.
Passaggi successivi
- Per creare e modificare criteri e regole firewall gerarchici, vedi Utilizzo dei criteri firewall gerarchici.
- Per visualizzare esempi di implementazioni di criteri firewall gerarchici, consulta Esempi di criteri firewall gerarchici.