Tag protetti per i firewall

Le regole Cloud Next Generation Firewall utilizzano i tag per specificare origini e destinazioni. Questo approccio flessibile evita la dipendenza dagli indirizzi IP.

Tipi di tag

Cloud NGFW supporta due tipi di tag:

  • I tag regolati da Identity and Access Management (IAM), chiamati anche tag sicuri, vengono creati e gestiti in Resource Manager come chiavi tag e valori tag. I valori dei tag sicuri possono essere utilizzati per specificare le origini per le regole in entrata e le destinazioni per le regole in entrata o in uscita in un criterio firewall gerarchico, in un criterio firewall di rete globale o in un criterio firewall di rete regionale.

  • I tag di rete sono stringhe di caratteri senza controlli dell'accesso che possono essere aggiunte a istanze di macchine virtuali (VM) o a modelli di istanza. I tag di rete possono essere utilizzati per specificare le origini per le regole firewall Virtual Private Cloud (VPC) in entrata e le destinazioni per le regole firewall VPC in entrata o in uscita. I tag di rete non possono essere utilizzati dalle regole in un criterio firewall gerarchico, un criterio firewall di rete globale o un criterio firewall di rete regionale. Per ulteriori informazioni sui tag di rete, vedi Aggiungere tag di rete.

Per ulteriori informazioni sulle differenze tra i tag sicuri e i tag di rete, vedi Confronto tra tag sicuri e tag di rete.

La sezione seguente di questa pagina descrive i tag sicuri nelle norme firewall.

Specifiche

I tag protetti hanno le seguenti specifiche:

  • Risorsa padre: la risorsa padre è la risorsa in cui è definita la chiave del tag sicuro. Le chiavi di tag possono essere create in un progetto o in un' organizzazione. Per saperne di più sulla creazione di chiavi tag, vedi Creare e gestire tag sicuri.

  • Scopo e dati dello scopo: per utilizzare una chiave di tag sicura con Cloud NGFW, devi impostare l'attributo purpose della chiave di tag su GCE_FIREWALL e devi specificare l'attributo purpose-data.

    • Per le chiavi tag con un progetto principale, devi impostare l'attributo purpose-data della chiave tag su network, seguito da una singola specifica della rete VPC. La rete VPC specificata deve trovarsi nel progetto padre.

    • Se la chiave tag ha un'organizzazione principale, scegli una delle seguenti opzioni per impostare l'attributo purpose-data della chiave tag:

      • Puoi impostare l'attributo purpose-data della chiave del tag su network, seguito da una singola specifica di rete VPC. La rete VPC specificata deve trovarsi nell'organizzazione principale.

      • Puoi impostare l'attributo purpose-data della chiave del tag su organization=auto.

    Né l'attributo purpose né l'attributo purpose-data possono essere modificati dopo la creazione di una chiave tag. Per ulteriori informazioni su come formattare la specifica di rete nell'attributo purpose-data di una chiave tag, consulta Scopo nella documentazione dell'API Resource Manager.

  • Struttura e formato: una chiave tag sicura può fare riferimento a un massimo di 1000 valori tag unici. Le entità IAM con il ruolo Amministratore tag (roles/resourcemanager.tagAdmin) creano chiavi tag e valori tag per ogni chiave tag. Per ulteriori informazioni sui limiti dei tag sicuri, vedi Limiti.

  • Spostamento dei progetti tra le organizzazioni: puoi spostare un progetto da un'organizzazione a un'altra. Prima di spostare un progetto, scollega tutte le chiavi tag che hanno un attributo purpose-data che specifica un'organizzazione utilizzata nel tuo progetto dall'organizzazione originale. Se non stacchi prima i tag protetti, riceverai un messaggio di errore durante il trasferimento.

  • Controllo dell'accesso: i criteri IAM determinano quali principal IAM possono gestire e utilizzare i tag sicuri:

    • Le entità IAM con il ruolo Amministratore tag (roles/resourcemanager.tagAdmin) possono creare chiavi tag e gestire i relativi valori tag:

      • Le entità IAM a cui è stato concesso il ruolo Amministratore tag (roles/resourcemanager.tagAdmin) nel criterio IAM dell'organizzazione possono creare chiavi tag con l'organizzazione come genitore.

      • Le entità IAM a cui è stato concesso il ruolo Amministratore tag (roles/resourcemanager.tagAdmin) nel criterio IAM dell'organizzazione, di una cartella o di un progetto possono creare chiavi tag con un progetto come elemento padre.

    • I principal IAM con il ruolo Utente tag (roles/resourcemanager.tagUser) possono associare valori tag a istanze VM o utilizzare valori tag nelle regole firewall di un criterio firewall gerarchico, di un criterio firewall di rete globale o di un criterio firewall di rete regionale.

      • I principal IAM a cui è stato concesso il ruolo Utente tag (roles/resourcemanager.tagUser) nel criterio IAM dell'organizzazione possono utilizzare i valori tag delle chiavi tag che hanno l'organizzazione come parent.

      • Le entità IAM a cui è stato concesso il ruolo Utente tag (roles/resourcemanager.tagUser) nella policy IAM dell'organizzazione, di una cartella o di un progetto possono utilizzare i valori dei tag delle chiavi tag con un progetto come elemento principale.

    • Ai principal IAM che sono sviluppatori, amministratori di database o team operativi possono essere concessi il ruolo Utente tag (roles/resourcemanager.tagUser) e altri ruoli appropriati, senza dover concedere il ruolo Amministratore sicurezza Compute (roles/compute.securityAdmin). In questo modo, i team operativi possono controllare quali regole firewall si applicano alle interfacce di rete delle istanze VM che gestiscono senza poter modificare queste regole firewall.

    Per saperne di più sulle autorizzazioni richieste, consulta Ruoli IAM.

  • Supporto delle regole firewall: le regole nei criteri firewall gerarchici, nei criteri firewall di rete globali e nei criteri firewall di rete regionali supportano le chiavi tag come tag sicuri di origine o tag sicuri di destinazione. Le regole firewall VPC non supportano i tag sicuri. Per ulteriori informazioni, vedi Confronto tra tag sicuri e tag di rete.

  • Associazione VM e regole firewall applicabili: quando associ un valore di tag sicuro a un'istanza VM, le regole firewall applicabili che utilizzano il valore del tag includono le interfacce di rete VM come origini o destinazioni:

    • Se il valore del tag sicuro associato all'istanza proviene da una chiave tag il cui attributo purpose-data specifica una singola rete VPC:

      • Le regole firewall in entrata che utilizzano questo valore del tag come tag di origine sicuro hanno origini che includono le interfacce di rete della VM che si trovano nella rete VPC specificata.

      • Le regole firewall in entrata e in uscita che utilizzano il valore del tag come destinazione hanno come destinazioni le interfacce di rete della VM che si trovano nella rete VPC specificata.

    • Se il valore del tag sicuro associato all'istanza proviene da una chiave tag il cui attributo purpose-data specifica un'organizzazione:

      • Le regole firewall in entrata che utilizzano questo valore del tag come tag di sicurezza di origine hanno origini che includono le interfacce di rete della VM che si trovano in qualsiasi rete VPC dell'organizzazione.

      • Le regole firewall in entrata e in uscita che utilizzano il valore del tag come tag di sicurezza di destinazione hanno destinazioni che includono le interfacce di rete della VM che si trovano in qualsiasi rete VPC dell'organizzazione.

  • Come le regole firewall applicabili identificano i pacchetti: Cloud NGFW mappa i tag sicuri di origine e i tag sicuri di destinazione alle interfacce di rete, non agli indirizzi IP:

    • Quando un tag sicuro di origine di una regola firewall in entrata include un'interfaccia di rete VM come origine, Google Cloud corrisponde a tutti i pacchetti inviati da questa interfaccia di rete.

    • Quando un tag sicuro di destinazione di una regola firewall in entrata include un'interfaccia di rete VM come destinazione, Google Cloud corrisponde a tutti i pacchetti ricevuti da questa interfaccia di rete.

    • Quando un tag sicuro di destinazione di una regola firewall in uscita include un'interfaccia di rete VM come destinazione, Google Cloud corrisponde a tutti i pacchetti inviati da questa interfaccia di rete.

  • Numero di valori tag per istanza: puoi associare ogni valore tag a un numero illimitato di istanze VM. Il numero di valori dei tag supportati da ogni istanza è variabile. Google Cloud impone un limite di 10 valori dei tag che si applicano a ogni interfaccia di rete di una VM. Google Cloud impedisce di associare valori dei tag aggiuntivi a un'istanza VM se più di 10 valori dei tag si applicano a una o più delle sue interfacce di rete. Per ulteriori informazioni, vedi Associare tag sicuri.

  • Supporto del peering di rete VPC: i tag sicuri di origine nelle regole in entrata di una policy firewall possono identificare le interfacce di rete VM di origine che si trovano in reti VPC con peering. Ciò è utile per i consumer di servizi pubblicati che utilizzano l'accesso ai servizi privati. Utilizzando regole firewall in entrata con tag di sicurezza di origine, i consumer possono controllare quali VM di producer di servizi possono inviare pacchetti alle loro VM consumer.

Associa tag protetti

Per utilizzare i tag sicuri con Cloud NGFW, devi associare un valore del tag a un'istanza VM. Ogni chiave tag sicura supporta più valori tag; tuttavia, per ogni chiave tag, puoi associare solo uno dei suoi valori tag a un'istanza. Per ulteriori informazioni sulle autorizzazioni IAM e su come associare tag sicuri, consulta Associare tag sicuri.

Gli esempi in questa sezione mostrano come i valori dei tag associati si applicano alle interfacce di rete delle VM. Considera l'istanza VM di esempio instance1 con due interfacce di rete:

  • nic0 è connesso alla rete VPC network1
  • nic1 è connesso alla rete VPC network2

Entrambe le reti VPC si trovano nella stessa organizzazione.

Istanza VM con due interfacce di rete, ognuna connessa a una rete VPC diversa.
Figura 1. Istanza VM con due interfacce di rete, ciascuna connessa a una rete VPC diversa (fai clic per ingrandire).

L'attributo purpose-data della chiave tag corrispondente determina la relazione tra i valori dei tag associati e le interfacce di rete della VM.

Chiavi tag il cui attributo purpose-data specifica una rete VPC

Supponiamo di creare due chiavi tag con i seguenti attributi purpose-data e valori tag:

  • tag_key1 ha un attributo purpose-data che specifica la rete VPC network1 e due valori di tag tag_value1 e tag_value2.

  • tag_key2 ha un attributo purpose-data che specifica la rete VPC network2 e un valore del tag tag_value3.

L'attributo `purpose-data` di ogni chiave tag specifica una singola rete VPC.
Figura 2. L'attributo purpose-data di ogni chiave tag specifica una singola rete VPC (fai clic per ingrandire).

Quando associ i valori dei tag sicuri tag_value1 e tag_value3 a instance1:

  • tag_value1 si applica all'interfaccia di rete nic0 perché il relativo elemento principale tag_key1 ha un attributo purpose-data che specifica la rete VPC network1 e l'interfaccia di rete nic0 si trova in network1.

  • tag_value3 si applica all'interfaccia di rete nic1 perché il relativo elemento principale tag_key2 ha un attributo purpose-data che specifica la rete VPC network2 e l'interfaccia di rete nic1 si trova in network2.

Il seguente diagramma mostra i valori dei tag di binding dalle chiavi dei tag il cui attributo purpose-data specifica una singola rete VPC.

Valori dei tag associati dalle chiavi tag il cui attributo `purpose-data` specifica una singola rete VPC.
Figura 3. Valori dei tag vincolati dalle chiavi tag il cui attributo purpose-data specifica una singola rete VPC (fai clic per ingrandire).

Chiavi dei tag il cui attributo purpose-data specifica l'organizzazione

Supponiamo di creare due chiavi tag con i seguenti attributi purpose-data e valori tag:

  • tag_key3 ha un attributo purpose-data che specifica l'organizzazione principale e ha due valori di tag tag_value4 e tag_value5.

  • tag_key4 ha un attributo purpose-data che specifica l'organizzazione principale e ha un valore del tag tag_value6.

L'attributo `purpose-data` di ogni chiave tag specifica l'organizzazione principale.
Figura 4. L'attributo purpose-data di ogni chiave tag specifica l'organizzazione principale (fai clic per ingrandire).

Quando associ il valore del tag tag_value4 a instance1:

  • tag_value4 si applica all'interfaccia di rete nic0 perché il relativo elemento principale tag_key3ha un attributo purpose-data che specifica l'organizzazione principale contenente la rete VPC network1 e l'interfaccia di rete nic0 si trova in network1.

  • tag_value4 si applica anche all'interfaccia di rete nic1 perché il relativo tag_key3 principale include un attributo purpose-data che specifica l'organizzazione principale che contiene la rete VPC network2. L'interfaccia di rete nic1 si trova in network2.

Il seguente diagramma mostra i valori dei tag di binding delle chiavi dei tag il cui attributo purpose-data specifica l'organizzazione principale.

Valori dei tag vincolati dalle chiavi dei tag il cui attributo `purpose-data` specifica l'organizzazione principale.
Figura 5. Valori dei tag associati alle chiavi tag il cui attributo purpose-data specifica l'organizzazione principale (fai clic per ingrandire).

Configurare i tag protetti

Il seguente flusso di lavoro fornisce una sequenza di passaggi di alto livello necessari per configurare i tag sicuri nelle norme firewall.

  1. Puoi creare tag sicuri a livello di organizzazione o progetto. Per creare un tag a livello di organizzazione, devi prima ottenere l'autorizzazione IAM dall'amministratore dell'organizzazione. Per maggiori informazioni, vedi Concedere autorizzazioni ai tag sicuri.

  2. Per creare un tag sicuro, devi prima creare una chiave tag. Questa chiave tag descrive il tag che stai creando. Per saperne di più, vedi Creare le chiavi e i valori dei tag sicuri.

  3. Dopo aver creato una chiave di tag sicura, devi aggiungervi i valori di tag sicuri pertinenti. Per saperne di più, vedi Creare le chiavi e i valori dei tag sicuri. Per concedere agli utenti un accesso specifico per gestire le chiavi tag sicure e collegare i valori tag alle risorse, utilizza la console Google Cloud . Per saperne di più, vedi Gestire l'accesso ai tag.

  4. Dopo aver creato un tag sicuro, puoi utilizzarlo in un criterio firewall di rete o in un criterio firewall gerarchico. Per maggiori informazioni, vedi Creare una policy firewall gerarchica e Creare una policy firewall di rete.

  5. Per consentire il traffico selezionato tra le VM con le chiavi dei tag di origine e di destinazione, crea una regola del criterio firewall (di rete o gerarchico) con i valori dei tag di origine e di destinazione specifici. Per saperne di più, vedi Creare una regola del criterio firewall con tag sicuri.

  6. Dopo aver creato una chiave tag e aver concesso l'accesso appropriato sia alla chiave tag sia alla risorsa, la chiave tag può essere associata a un'istanza VM. Per maggiori informazioni, consulta Associare tag sicuri.

Confronto tra tag protetti e tag di rete

La seguente tabella riepiloga le differenze tra i tag sicuri e i tag di rete. Il segno di spunta indica che l'attributo è supportato, mentre il simbolo indica che l'attributo non è supportato.

Attributo Tag sicuro con attributo purpose-data che specifica una rete VPC Tag sicuro con attributo purpose-data che specifica l'organizzazione Tag di rete
Risorsa padre Progetto o organizzazione Organizzazione Progetto
Struttura e formato Chiave tag con un massimo di 1000 valori Chiave tag con un massimo di 1000 valori Stringa semplice
Controllo degli accessi Utilizzo di IAM Utilizzo di IAM Nessun controllo dell'accesso
Interfacce di rete applicabili
  • Regola firewall in entrata con valore del tag sicuro di origine: le origini includono interfacce di rete VM nella rete VPC specificata dall'attributo purpose-data della chiave del tag.
  • Regola firewall in entrata o in uscita con valore del tag sicuro di destinazione: le destinazioni includono le interfacce di rete VM nella rete VPC specificata dall'attributo purpose-data della chiave del tag.
  • Regola firewall in entrata con valore del tag sicuro di origine: le origini includono interfacce di rete VM in qualsiasi rete VPC dell'organizzazione principale.
  • Regola firewall in entrata o in uscita con valore del tag sicuro di destinazione: le destinazioni includono interfacce di rete VM in qualsiasi rete VPC dell'organizzazione principale.
  • Regola firewall in entrata con tag di rete di origine: le origini includono le interfacce di rete VM in qualsiasi rete VPC utilizzata dalla VM se la rete ha regole firewall VPC che utilizzano il tag di rete di origine.
  • Regola firewall in entrata o in uscita con tag di rete di destinazione: le destinazioni includono le interfacce di rete VM in qualsiasi rete VPC utilizzata dalla VM se la rete ha regole firewall VPC che utilizzano il tag di rete di destinazione.
Supportato dalle regole nei criteri firewall gerarchici
Supportato dalle regole nei criteri firewall di rete globali e regionali
Supportato dalle regole firewall VPC
Le regole firewall in entrata possono includere origini nelle reti VPC connesse tramite peering di rete VPC 1 1
Le regole firewall in entrata possono includere origini in altri spoke VPC nell'hub Network Connectivity Center
1Un valore di tag sicuro di origine può identificare le interfacce di rete in un'altra rete VPC quando sono vere entrambe le seguenti condizioni:
  • L'attributo della chiave del tag purpose-data specifica l'altra rete VPC (o l'organizzazione padre che contiene l'altra rete VPC).
  • L'altra rete VPC e la rete VPC che utilizza la policy firewall sono connesse tramite peering di rete VPC

Ruoli IAM

Per saperne di più sui ruoli e sulle autorizzazioni IAM necessari per creare e gestire tag sicuri, consulta Gestire i tag sulle risorse.

Passaggi successivi