Etiquetas seguras para cortafuegos

Las reglas de Cloud Next Generation Firewall usan etiquetas para especificar fuentes y destinos. Este enfoque flexible evita la dependencia de las direcciones IP.

Tipos de etiquetas

Cloud NGFW admite dos tipos de etiquetas:

  • Las etiquetas controladas por Gestión de Identidades y Accesos (IAM), también denominadas etiquetas seguras, se crean y gestionan en Resource Manager como claves y valores de etiquetas. Los valores de etiquetas seguras se pueden usar para especificar orígenes de reglas de entrada y destinos de reglas de entrada o salida en una política de cortafuegos jerárquica, una política de cortafuegos de red global o una política de cortafuegos de red regional.

  • Las etiquetas de red son cadenas de caracteres sin controles de acceso que se pueden añadir a instancias de máquina virtual o a plantillas de instancia. Las etiquetas de red se pueden usar para especificar orígenes de reglas de cortafuegos de nube privada virtual (VPC) de entrada y destinos de reglas de cortafuegos de VPC de entrada o salida. Las etiquetas de red no pueden usarse en reglas de una política de cortafuegos jerárquica, una política de cortafuegos de red global o una política de cortafuegos de red regional. Para obtener más información sobre las etiquetas de red, consulta el artículo Añadir etiquetas de red.

Para obtener más información sobre las diferencias entre las etiquetas seguras y las de red, consulte Comparación de etiquetas seguras y etiquetas de red.

En la siguiente sección de esta página se describen las etiquetas seguras en las políticas de cortafuegos.

Especificaciones

Las etiquetas seguras tienen las siguientes especificaciones:

  • Recurso superior: es el recurso en el que se define la clave de etiqueta segura. Las claves de etiqueta se pueden crear en un proyecto o en una organización principales. Para obtener más información sobre cómo crear claves de etiquetas, consulta el artículo Crear y gestionar etiquetas seguras.

  • Finalidad y datos de finalidad: para usar una clave de etiqueta segura con Cloud NGFW, debes definir el atributo purpose de la clave de etiqueta como GCE_FIREWALL y especificar el atributo purpose-data:

    • Puedes asignar el valor network al atributo purpose-data de la clave de etiqueta, seguido de una única especificación de red VPC.

      • En el caso de las claves de etiqueta con un proyecto superior, si asignas el valor network al atributo purpose-data de la clave de etiqueta, la red de VPC especificada debe estar ubicada en el mismo proyecto que la clave de etiqueta.

      • En el caso de las claves de etiqueta con una organización superior, si asignas el valor network al atributo purpose-data de la clave de etiqueta, la red VPC especificada debe estar en la misma organización que la clave de etiqueta.

    • Puedes asignar el valor organization=auto al atributo purpose-data de la clave de la etiqueta. Identifica todas las redes de VPC de la organización.

    Ni el atributo purpose ni el purpose-data se pueden cambiar después de crear una clave de etiqueta. Para obtener más información sobre cómo dar formato a la especificación de red en el atributo purpose-data de una clave de etiqueta, consulta Propósito en la documentación de la API Resource Manager.

  • Estructura y formato: una clave de etiqueta segura puede hacer referencia a un máximo de 1000 valores de etiqueta únicos. Las entidades de IAM con el rol Administrador de etiquetas (roles/resourcemanager.tagAdmin) crean claves y valores de etiqueta para cada clave de etiqueta. Para obtener más información sobre los límites de etiquetas seguras, consulta Límites.

  • Mover proyectos entre organizaciones: puedes mover un proyecto de una organización a otra. Antes de mover un proyecto, separa las claves de etiquetas que tengan un atributo purpose-data que especifique una organización usada en tu proyecto de la organización original. Si no separas las etiquetas seguras primero, recibirás un mensaje de error durante la transferencia.

  • Control de acceso: las políticas de gestión de identidades y accesos determinan qué principales de gestión de identidades y accesos pueden gestionar y usar etiquetas seguras:

    • Las entidades de gestión de identidades y accesos con el rol Administrador de etiquetas (roles/resourcemanager.tagAdmin) pueden crear claves de etiquetas y gestionar sus valores de etiquetas:

      • Los principales de gestión de identidades y accesos a los que se les haya concedido el rol Administrador de etiquetas (roles/resourcemanager.tagAdmin) en la política de gestión de identidades y accesos de la organización pueden crear claves de etiquetas con la organización como elemento superior.

      • Las entidades de gestión de identidades y accesos a las que se les haya concedido el rol Administrador de etiquetas (roles/resourcemanager.tagAdmin) en la política de gestión de identidades y accesos de la organización, una carpeta o un proyecto pueden crear claves de etiquetas con un proyecto como elemento superior.

    • Las entidades de IAM con el rol Usuario de etiquetas (roles/resourcemanager.tagUser) pueden vincular valores de etiquetas a instancias de VM o usar valores de etiquetas en reglas de cortafuegos de una política de cortafuegos de jerarquía, una política de cortafuegos de red global o una política de cortafuegos de red regional.

      • Las entidades de gestión de identidades y accesos a las que se les haya concedido el rol Usuario de etiquetas (roles/resourcemanager.tagUser) en la política de gestión de identidades y accesos de la organización pueden usar valores de etiquetas de claves de etiquetas que tengan la organización como elemento superior.

      • Las entidades de seguridad de gestión de identidades y accesos a las que se les haya asignado el rol Usuario de etiquetas (roles/resourcemanager.tagUser) en la política de gestión de identidades y accesos de una organización, una carpeta o un proyecto pueden usar valores de etiquetas de claves de etiquetas que tengan un proyecto como elemento superior.

    • Los principales de IAM que sean desarrolladores, administradores de bases de datos o equipos operativos pueden tener el rol de usuario de etiquetas (roles/resourcemanager.tagUser) y otros roles adecuados sin necesidad de tener el rol de administrador de seguridad de Compute (roles/compute.securityAdmin). De esta forma, los equipos operativos pueden controlar qué reglas de firewall se aplican a las interfaces de red de las instancias de VM que gestionan sin poder modificar esas reglas de firewall.

    Para obtener más información sobre los permisos necesarios, consulta Roles de gestión de identidades y accesos.

  • Compatibilidad con reglas de cortafuegos: las reglas de las políticas de cortafuegos jerárquicas, las políticas de cortafuegos de red globales y las políticas de cortafuegos de red regionales admiten claves de etiquetas como etiquetas seguras de origen o de destino. Las reglas de firewall de VPC no admiten etiquetas seguras. Para obtener más información, consulta la comparación entre etiquetas seguras y etiquetas de red.

  • Enlace de VM y reglas de cortafuegos aplicables: cuando vinculas un valor de etiqueta segura a una instancia de VM, las reglas de cortafuegos aplicables que usan el valor de la etiqueta incluyen interfaces de red de VM como fuentes o destinos:

    • Si el valor de la etiqueta segura enlazado a la instancia procede de una clave de etiqueta cuyo atributo purpose-data especifica una sola red de VPC:

      • Las reglas de cortafuegos de entrada que usan ese valor de etiqueta como etiqueta segura de origen tienen orígenes que incluyen las interfaces de red de la VM que están en la red VPC especificada.

      • Las reglas de cortafuegos de entrada y salida que usan ese valor de etiqueta como etiqueta segura tienen como destino las interfaces de red de la VM que están en la red VPC especificada.

    • Si el valor de la etiqueta segura vinculada a la instancia procede de una clave de etiqueta cuyo atributo purpose-data especifica una organización:

      • Las reglas de cortafuegos de entrada que usan ese valor de etiqueta como etiqueta segura de origen tienen orígenes que incluyen las interfaces de red de la VM que se encuentran en cualquier red de VPC de la organización.

      • Las reglas de cortafuegos de entrada y salida que usan ese valor de etiqueta como destino de etiqueta segura tienen destinos que incluyen las interfaces de red de la VM que están en cualquier red de VPC de la organización.

  • Cómo identifican los paquetes las reglas de cortafuegos aplicables: Cloud NGFW asigna etiquetas seguras de origen y de destino a interfaces de red, no a direcciones IP:

    • Cuando una etiqueta segura de origen de una regla de cortafuegos de entrada incluye una interfaz de red de una VM como origen, Google Cloud coincide con los paquetes que se envían desde esa interfaz de red.

    • Cuando una etiqueta segura de destino de una regla de cortafuegos de entrada incluye una interfaz de red de VM como destino, Google Cloud coincide con los paquetes que recibe esa interfaz de red.

    • Cuando una etiqueta segura de destino de una regla de cortafuegos de salida incluye una interfaz de red de una máquina virtual como destino, Google Cloud coincide con los paquetes que se envían desde esa interfaz de red.

  • Número de valores de etiqueta por instancia: puedes asociar cada valor de etiqueta a un número ilimitado de instancias de VM. El número de valores de etiqueta que admite cada instancia es variable. Google Cloud impone un límite de 10 valores de etiqueta que se aplican a cada interfaz de red de una VM. Google Cloud impide que enlaces valores de etiqueta adicionales a una instancia de VM si se aplican más de 10 valores de etiqueta a una o varias de sus interfaces de red. Para obtener más información, consulta Vincular etiquetas seguras.

  • Compatibilidad con el emparejamiento entre redes de VPC: las etiquetas seguras de origen de las reglas de entrada de una política de cortafuegos pueden identificar las interfaces de red de las VMs de origen que se encuentran en redes de VPC emparejadas. Esto resulta útil para los consumidores de servicios publicados que usan el acceso a servicios privados. Al usar reglas de cortafuegos de entrada que tengan etiquetas seguras de origen, los consumidores pueden controlar qué VMs de productor de servicios pueden enviar paquetes a sus VMs de consumidor.

Vincular etiquetas seguras

Para usar etiquetas seguras con Cloud NGFW, debes asociar un valor de etiqueta a una instancia de VM. Cada clave de etiqueta segura admite varios valores de etiqueta. Sin embargo, para cada clave de etiqueta, solo puede vincular uno de sus valores de etiqueta a una instancia. Para obtener más información sobre los permisos de gestión de identidades y accesos y cómo vincular etiquetas seguras, consulta Vincular etiquetas seguras.

En los ejemplos de esta sección se muestra cómo se aplican los valores de las etiquetas enlazadas a las interfaces de red de las máquinas virtuales. Considera la instancia de VM instance1 con dos interfaces de red:

  • nic0 está conectada a la red de VPC network1
  • nic1 está conectada a la red de VPC network2

Ambas redes VPC pertenecen a la misma organización.

Instancia de VM con dos interfaces de red, cada una conectada a una red de VPC diferente.
Imagen 1. Instancia de VM con dos interfaces de red, cada una conectada a una red de VPC diferente (haz clic para ampliar).

El atributo purpose-data de la clave de etiqueta correspondiente determina la relación entre los valores de etiqueta vinculados y las interfaces de red de la máquina virtual.

Claves de etiqueta cuyo atributo purpose-data especifica una red de VPC

Supongamos que crea dos claves de etiqueta con los siguientes atributos purpose-data y valores de etiqueta:

  • tag_key1 tiene un atributo purpose-data que especifica la network1red de VPC y dos valores de etiqueta: tag_value1 y tag_value2.

  • tag_key2 tiene un atributo purpose-data que especifica la network2 red de VPC y un valor de etiqueta tag_value3.

El atributo `purpose-data` de cada clave de etiqueta especifica una sola red de VPC.
Imagen 2. El atributo purpose-data de cada clave de etiqueta especifica una sola red de VPC (haz clic para ampliar).

Cuando vinculas los valores de etiquetas seguras tag_value1 y tag_value3 a instance1:

  • tag_value1 se aplica a la interfaz de red nic0 porque su elemento superior tag_key1 tiene un atributo purpose-data que especifica la red de VPC network1, y la interfaz de red nic0 está en network1.

  • tag_value3 se aplica a la interfaz de red nic1 porque su elemento superior tag_key2 tiene un atributo purpose-data que especifica la red de VPC network2, y la interfaz de red nic1 está en network2.

En el siguiente diagrama se muestran los valores de las etiquetas de vinculación de las claves de etiquetas cuyo atributo purpose-data especifica una sola red de VPC.

Valores de etiquetas vinculados de claves de etiquetas cuyo atributo `purpose-data` especifica una sola red de VPC.
Imagen 3. Valores de etiquetas vinculados de claves de etiquetas cuyo atributo purpose-data especifica una sola red de VPC (haz clic para ampliar).

Claves de etiqueta cuyo atributo purpose-data especifica la organización

Supongamos que crea dos claves de etiqueta con los siguientes atributos purpose-data y valores de etiqueta:

  • tag_key3 tiene un atributo purpose-data que especifica la organización principal y tiene dos valores de etiqueta: tag_value4 y tag_value5.

  • tag_key4 tiene un atributo purpose-data que especifica la organización superior y un valor de etiqueta tag_value6.

El atributo `purpose-data` de cada clave de etiqueta especifica la organización principal.
Imagen 4. El atributo purpose-data de cada clave de etiqueta especifica la organización superior (haz clic para ampliar).

Cuando vinculas el valor de la etiqueta tag_value4 a instance1:

  • tag_value4 se aplica a la interfaz de red nic0 porque su elemento superior tag_key3 tiene un atributo purpose-data que especifica la organización superior que contiene la red VPC network1, y la interfaz de red nic0 está en network1.

  • tag_value4 también se aplica a la interfaz de red nic1 porque su elemento superior tag_key3 incluye un atributo purpose-data que especifica la organización superior que contiene la red VPC network2. La interfaz de red nic1 está en network2.

En el siguiente diagrama se muestran los valores de las etiquetas de vinculación de las claves de etiquetas cuyo atributo purpose-data especifica la organización superior.

Valores de etiquetas vinculados de claves de etiquetas cuyo atributo `purpose-data` especifica la organización superior.
Imagen 5. Valores de etiquetas vinculados de claves de etiquetas cuyo atributo purpose-data especifica la organización superior (haz clic para ampliar).

Configurar etiquetas seguras

El siguiente flujo de trabajo proporciona una secuencia de pasos de alto nivel necesarios para configurar etiquetas seguras en las políticas de cortafuegos.

  1. Puede crear etiquetas seguras a nivel de organización o de proyecto. Para crear una etiqueta a nivel de organización, el administrador de la organización debe concederte primero permiso de gestión de identidades y accesos. Para obtener más información, consulta Conceder permisos a etiquetas seguras.

  2. Para crear una etiqueta segura, primero debe crear una clave de etiqueta. Esta clave de etiqueta describe la etiqueta que estás creando. Para obtener más información, consulta el artículo Crear las claves y los valores de la etiqueta segura.

  3. Una vez que hayas creado una clave de etiqueta segura, debes añadirle los valores de etiqueta segura correspondientes. Para obtener más información, consulta el artículo Crear las claves y los valores de la etiqueta segura. Para dar a los usuarios acceso específico para gestionar claves de etiquetas seguras y adjuntar valores de etiquetas a recursos, usa la consola Google Cloud . Para obtener más información, consulta Gestionar el acceso a las etiquetas.

  4. Una vez que hayas creado una etiqueta segura, podrás usarla en una política de cortafuegos de red o en una política de cortafuegos jerárquica. Para obtener más información, consulta Crear una política de cortafuegos jerárquica y Crear una política de cortafuegos de red.

  5. Para permitir el tráfico seleccionado entre las VMs con las claves de etiqueta de origen y las claves de etiqueta de destino, cree una regla de política de cortafuegos (de red o jerárquica) con los valores de etiqueta de origen y de destino específicos. Para obtener más información, consulta el artículo Crear una regla de política de cortafuegos con etiquetas seguras.

  6. Una vez que se ha creado una clave de etiqueta y se ha concedido el acceso adecuado tanto a la clave de etiqueta como al recurso, la clave de etiqueta se puede vincular a una instancia de VM. Para obtener más información, consulta Vincular etiquetas seguras.

Comparación de etiquetas seguras y etiquetas de red

En la siguiente tabla se resumen las diferencias entre las etiquetas seguras y las etiquetas de red. La marca de verificación indica que el atributo se admite, y el símbolo indica que no se admite.

Atributo Etiqueta segura con el atributo purpose-data que especifica una red de VPC Etiqueta segura con el atributo purpose-data que especifica la organización Etiqueta de red
Recurso superior Proyecto u organización Proyecto u organización Proyecto
Estructura y formato Etiqueta de clave con hasta 1000 valores Etiqueta de clave con hasta 1000 valores Cadena simple
Control de acceso Usar la gestión de identidades y accesos Usar la gestión de identidades y accesos Sin control de acceso
Interfaces de red aplicables
  • Regla de cortafuegos de entrada con valor de etiqueta segura de origen: las fuentes incluyen interfaces de red de VM en la red de VPC especificada por el atributo purpose-data de la clave de etiqueta.
  • Regla de cortafuegos de entrada o salida con un valor de etiqueta segura de destino: los destinos incluyen interfaces de red de VM en la red VPC especificada por el atributo purpose-data de la clave de etiqueta.
  • Regla de cortafuegos de entrada con valor de etiqueta segura de origen: las fuentes incluyen interfaces de red de máquinas virtuales en cualquier red de VPC de la organización principal.
  • Regla de cortafuegos de entrada o salida con el valor de etiqueta segura de destino: los destinos incluyen interfaces de red de máquinas virtuales en cualquier red de VPC de la organización principal.
  • Regla de cortafuegos de entrada con una etiqueta de red de origen: las fuentes incluyen interfaces de red de la VM en cualquier red de VPC que utilice la VM si esa red tiene reglas de cortafuegos de VPC que usen la etiqueta de red de origen.
  • Regla de cortafuegos de entrada o salida con etiqueta de red de destino: los destinos incluyen interfaces de red de VM en cualquier red de VPC usada por la VM si esa red tiene reglas de cortafuegos de VPC que usan la etiqueta de red de destino.
Admitido por reglas de políticas de cortafuegos jerárquicas
Admitido por reglas de políticas de cortafuegos de red globales y regionales
Admitido por las reglas de cortafuegos de VPC
Las reglas de cortafuegos de entrada pueden incluir fuentes de redes de VPC conectadas mediante el emparejamiento entre redes de VPC. 1 1
Las reglas de cortafuegos de entrada pueden incluir fuentes de otras VPC de radio en el centro de conectividad de red.
1Un valor de etiqueta segura de origen puede identificar interfaces de red en otra red de VPC si se cumplen estas dos condiciones:
  • El atributo purpose-data de la clave de etiqueta especifica la otra red de VPC (o la organización principal que contiene la otra red de VPC).
  • La otra red de VPC y la red de VPC que usa la política de cortafuegos están conectadas mediante el emparejamiento entre redes de VPC.

Roles de gestión de identidades y accesos

Para obtener más información sobre los roles y permisos de gestión de identidades y accesos que necesitas para crear y gestionar etiquetas seguras, consulta el artículo Gestionar etiquetas en recursos.

Siguientes pasos