Políticas globais de firewall de rede

As políticas de firewall de rede permitem atualizar em lote todas as regras de firewall agrupando-as em um único objeto de política. É possível atribuir políticas de firewall a uma rede de nuvem privada virtual (VPC). Elas contêm regras que podem negar ou permitir conexões explicitamente.

Especificações

  • As políticas globais de firewall de rede são recursos de contêiner para regras de firewall. Cada recurso de política global de firewall de rede é definido em um projeto.
    • Depois de criar uma política global de firewall de rede, você pode adicionar, atualizar e excluir regras de firewall da política.
    • Confira as especificações das regras das políticas globais de firewall de rede em Regras de política de firewall.
  • Para aplicar regras de política global de firewall de rede a uma rede VPC, é necessário associar a política de firewall a essa rede VPC.
    • É possível associar uma política global de firewall de rede a várias redes VPC. Verifique se a política de firewall e as redes associadas pertencem ao mesmo projeto.
    • Cada rede VPC pode ser associada a apenas uma política global de firewall de rede.
    • Se a política de firewall não estiver associada a nenhuma rede VPC, as regras dessa política não terão efeito. Uma política de firewall que não está associada a nenhuma rede é uma política global de firewall de rede não associada.
  • Quando uma política global de firewall de rede é associada a uma ou mais redes VPC, as regras são aplicadas das seguintes maneiras:
    • As regras existentes são aplicadas aos recursos aplicáveis nas redes VPC associadas.
    • Todas as alterações feitas nas regras são aplicadas aos recursos aplicáveis nas redes VPC associadas.
  • As regras das políticas globais de firewall de rede são aplicadas com outras regras de firewall, conforme descrito em Ordem de avaliação de regras e políticas.
  • As regras da política de firewall de rede global são usadas para configurar a inspeção da camada 7 do tráfego correspondente, como ao usar o serviço de prevenção de intrusões.

    Crie uma regra de política de firewall com a ação apply_security_profile_group e o nome do grupo de perfis de segurança. O tráfego correspondente à regra da política de firewall é encaminhado de modo transparente para o endpoint do firewall para inspeção da camada 7. Para saber como criar uma regra de política de firewall, consulte Criar regras de firewall de rede global.

Detalhes da regra de política de firewall de rede global

Saiba mais sobre os componentes e parâmetros de regras em uma política global de firewall de rede em Regras da política de firewall.

A tabela a seguir resume as principais diferenças entre as regras da política global de firewall de rede e as regras de firewall da VPC:

Regras da política de firewall de rede global Regras de firewall de VPC
Número da prioridade Precisa ser exclusivo em uma política Prioridades duplicadas são permitidas
Contas de serviço como destinos Sim Sim
Contas de serviço como origens
(somente regras de entrada)
Não Sim
Tipo de tag Tag segura Tag de rede
Nome e descrição Descrição do nome da política, da política e da regra Nome e descrição da regra
Atualização em lote Sim (para clone de política, editar e substituir funções) Não
Reutilizar Sim Não
Cota Contagem de atributos: baseada em uma complexidade total de cada regra da política Contagem de regras: regras de firewall complexas e simples têm o mesmo impacto de cota

Regras predefinidas

Quando você cria uma política de firewall de rede global, o Cloud Firewall adiciona à política regras predefinidas com a menor prioridade. Essas regras são aplicadas a todas as conexões que não correspondem a uma regra definida explicitamente na política, fazendo com que essas conexões sejam transmitidas para políticas de nível inferior ou regras de rede.

Para saber mais sobre os vários tipos de regras predefinidas e as características delas, consulte Regras predefinidas.

papéis do Identity and Access Management (IAM)

Os papéis do IAM regem as seguintes ações em relação a políticas de firewall de rede:

  • Como criar uma política de firewall de rede global
  • Como associar uma política a uma rede
  • Como modificar uma política atual
  • Como visualizar as regras de firewall efetivas para uma rede ou VM específica

A tabela a seguir descreve quais papéis são necessários para cada ação:

Ação Papel necessário
Criar uma nova política de firewall de rede Papel compute.securityAdmin no projeto a que a política pertence
Associar uma política a uma rede Papel compute.networkAdmin no projeto em que a política será executada
Modifique a política adicionando, atualizando ou excluindo regras de firewall. Papel compute.securityAdmin no projeto em que a política será executada
Exclua a política: Papel compute.networkAdmin no projeto em que a política será executada
Veja as regras de firewall efetivas de uma rede VPC Qualquer um dos seguintes papéis para a rede:
compute.networkAdmin
compute.networkViewer
compute.securityAdmin
compute.viewer
Veja as regras de firewall efetivas de uma VM em uma rede Qualquer um dos seguintes papéis para a VM:
compute.instanceAdmin
compute.securityAdmin
compute.viewer

Os papéis a seguir são relevantes para políticas de firewall de rede.

Nome do papel Descrição
compute.securityAdmin Pode ser concedido no nível do projeto ou da política. Se concedido a um projeto, os usuários poderão criar, atualizar e excluir políticas de firewall de rede e as regras delas. No nível da política, permite que os usuários atualizem as regras da política, mas não criem nem excluam a política. Esse papel também permite que os usuários associem uma política a uma rede.
compute.networkAdmin Concedido no nível do projeto ou da rede. Se concedido a uma rede, os usuários poderão ver a lista de políticas de firewall da rede.
compute.viewer
compute.networkUser
compute.networkViewer
Permite que os usuários visualizem as regras de firewall aplicadas à rede ou à instância.
Inclui a permissão compute.networks.getEffectiveFirewalls para redes e compute.instances.getEffectiveFirewalls para instâncias.