Le policy del firewall gerarchiche ti consentono di creare e applicare una policy del firewall coerente in tutta l'organizzazione. Puoi assegnare le policy del firewall gerarchiche all'organizzazione nel suo complesso o a singole cartelle. Queste policy
contengono regole che possono negare o consentire esplicitamente le connessioni, come le
regole firewall Virtual Private Cloud (VPC).
Inoltre, le regole delle policy del firewall gerarchiche possono delegare la valutazione a policy di livello inferiore o a regole firewall di rete VPC con un'azione goto_next.
Le regole di livello inferiore non possono sostituire una regola di un livello superiore nella gerarchia delle risorse. In questo modo, gli amministratori a livello di organizzazione possono gestire le regole del firewall critiche in un'unica posizione.
Specifiche
- Le policy del firewall gerarchiche vengono create a livello di organizzazione e di cartella. La creazione di una policy non applica automaticamente le regole a organizzazione o cartella.
- Una volta create, le policy possono essere applicate (ovvero associate) a qualsiasi risorsa dell'organizzazione.
- Le policy del firewall gerarchiche sono container per le regole firewall. Quando associ una policy all'organizzazione o a una cartella, tutte le regole vengono applicate immediatamente. Puoi sostituire le policy per una risorsa, il che comporta la sostituzione atomica di tutte le regole firewall applicate alle istanze di macchine virtuali (VM) in quella risorsa.
- La valutazione delle regole è gerarchica e si basa sulla gerarchia delle risorse. Vengono valutate tutte le regole associate all'organizzazione, seguite da quelle del primo livello di cartelle.
- Le regole delle policy del firewall gerarchiche hanno una nuova azione
goto_nextche puoi utilizzare per delegare la valutazione della connessione ai livelli inferiori della gerarchia.
- Le regole delle policy del firewall gerarchiche possono essere indirizzate a reti VPC e VM specifiche utilizzando le risorse di destinazione per le reti e gli account di servizio di destinazione per le VM. In questo modo puoi creare eccezioni per gruppi di VM. Le regole delle policy del firewall gerarchiche non supportano il targeting per tag di istanza.
- Le policy del firewall gerarchiche non supportano le reti VPC che utilizzano un profilo di rete Remote Direct Memory Access (RDMA), ad esempio il tipo di policy
RDMA_ROCE_POLICY. Per saperne di più, consulta Cloud NGFW per le reti VPC RoCE. - Una regola della policy del firewall gerarchica può includere intervalli IPv4 o IPv6, ma non entrambi.
- Per facilitare la conformità e il debug, le regole firewall applicate a un'istanza VM possono essere sottoposte a audit utilizzando la pagina dei dettagli della rete VPC e la pagina dei dettagli dell'interfaccia di rete dell'istanza VM.
Gerarchia delle risorse
Crea e applichi le policy del firewall in passaggi separati. Puoi creare e applicare le policy del firewall a livello di organizzazione o di cartella della gerarchia delle risorse. Una regola della policy del firewall può bloccare le connessioni, consentire le connessioni o rimandare la valutazione delle regole firewall a cartelle di livello inferiore o a regole firewall VPC definite nelle reti VPC.
L'organizzazione è la risorsa di primo livello nella gerarchia delle risorse in Cloud de Confiance by S3NS cui puoi creare o associare policy del firewall gerarchiche. Tutte le cartelle e le reti VPC dell'organizzazione ereditano questa policy.
Le cartelle sono risorse di livello intermedio nella Cloud de Confiance gerarchia delle risorse, tra l'organizzazione e i progetti, in cui puoi creare o assegnare policy del firewall gerarchiche. Tutte le cartelle e le reti VPC di una cartella ereditano la policy associata.
Un progetto si trova in una cartella o nell'organizzazione. Puoi spostare i progetti tra le risorse di un'organizzazione. I progetti contengono reti VPC. Le policy del firewall gerarchiche non possono essere assegnate ai progetti, ma solo all'organizzazione o alle cartelle.
Una rete VPC è la Cloud de Confiance partizione per la comunicazione isolata dello spazio IP interno. Questo è il livello in cui vengono specificate e applicate le route, le policy firewall di rete e le regole firewall VPC tradizionali. Le regole delle policy del firewall gerarchiche possono sostituire o delegare la valutazione della connessione a regole e policy firewall di rete globali.
Per impostazione predefinita, tutte le regole delle policy del firewall gerarchiche si applicano a tutte le VM di tutti i progetti dell'organizzazione o della cartella a cui è associata la policy. Tuttavia, puoi limitare le VM a cui viene applicata una determinata regola specificando le reti di destinazione o gli account di servizio di destinazione.
I livelli della gerarchia in cui ora è possibile applicare le regole firewall sono rappresentati nel seguente diagramma. Le caselle gialle rappresentano le policy del firewall gerarchiche che contengono regole firewall, mentre le caselle bianche rappresentano le regole firewall VPC.
Dettagli delle policy del firewall gerarchiche
Le regole delle policy del firewall gerarchiche sono definite in una risorsa della policy del firewall che funge da container per le regole firewall. Le regole definite in una policy del firewall non vengono applicate finché la policy non viene associata a una risorsa (un'organizzazione o una cartella).
Una singola policy può essere associata a più risorse. Se modifichi una regola in una policy, la modifica della regola si applica a tutte le risorse associate.
A una risorsa può essere associata una sola policy del firewall. Le regole delle policy del firewall gerarchiche e le regole firewall VPC vengono valutate in un ordine ben definito.
Una policy del firewall non associata a nessuna risorsa è una policy del firewall gerarchica non associata.
Nomi delle policy
Quando crei una nuova policy, Cloud de Confiance genera automaticamente un ID
per la policy. Inoltre, devi specificare anche un nome breve per la policy.
Quando utilizzi l'interfaccia gcloud per aggiornare una policy esistente, puoi fare riferimento all'ID generato dal sistema o a una combinazione del nome breve e dell'ID dell'organizzazione. Quando utilizzi l'API per aggiornare la policy, devi fornire l'ID generato dal sistema.
Dettagli delle regole delle policy del firewall gerarchiche
Le regole delle policy del firewall gerarchiche funzionano come le regole delle policy del firewall e le regole firewall VPC, ma ci sono alcune differenze:
Le policy del firewall gerarchiche supportano le reti di destinazione, mentre le policy firewall di rete globali non le supportano. Puoi specificare le reti di destinazione per limitare una regola della policy del firewall alle VM nelle reti specificate. La specifica delle reti VPC nella regola ti consente di controllare le reti configurate con quella regola.
In combinazione con
goto_nextoallow, la specifica delle reti di destinazione ti consente di creare eccezioni per reti specifiche quando vuoi definire una policy altrimenti restrittiva.Le policy del firewall gerarchiche sono risorse a livello di organizzazione, mentre le policy firewall di rete globali sono risorse a livello di progetto.
Le regole delle policy del firewall gerarchiche supportano le chiavi dei tag sicuri come tag sicuri di origine o tag sicuri di destinazione. Per saperne di più, consulta Tag sicuri per i firewall.
Regole predefinite
Quando crei una policy del firewall gerarchica, Cloud Next Generation Firewall aggiunge alla policy regole predefinite con la priorità più bassa. Queste regole vengono applicate a tutte le connessioni che non corrispondono a una regola definita in modo esplicito nella policy, facendo sì che queste connessioni vengano trasmesse a policy o regole di rete di livello inferiore.
Per scoprire di più sui vari tipi di regole predefinite e sulle loro caratteristiche, consulta Regole predefinite per le policy del firewall.
Ruoli IAM (Identity and Access Management)
I ruoli IAM regolano le seguenti azioni relative alle policy del firewall gerarchiche:
- Creazione di una policy che risiede in una determinata risorsa
- Associazione di una policy a una determinata risorsa
- Modifica di una policy esistente
- Visualizzazione delle regole firewall effettive per una determinata rete o VM
La seguente tabella descrive i ruoli necessari per ogni passaggio:
| Capacità | Ruolo necessario |
|---|---|
| Crea una nuova policy del firewall gerarchica | Ruolo Amministratore delle policy firewall dell'organizzazione (roles/compute.orgFirewallPolicyAdmin) sulla risorsa in cui risiederà la policy |
| Associa una policy a una risorsa | Ruolo Amministratore delle risorse di sicurezza dell'organizzazione (roles/compute.orgSecurityResourceAdmin) sulla risorsa di destinazione e il ruolo Amministratore delle policy firewall dell'organizzazione (roles/compute.orgFirewallPolicyAdmin) o il ruolo Utente delle policy firewall dell'organizzazione (roles/compute.orgFirewallPolicyUser) sulla risorsa in cui risiede la policy o sulla policy stessa |
| Modifica la policy aggiungendo, aggiornando o eliminando le regole firewall della policy | Ruolo Amministratore delle policy firewall dell'organizzazione (roles/compute.orgFirewallPolicyAdmin)
sulla risorsa in cui risiede la policy o sulla policy stessa |
| Elimina la policy | Ruolo Amministratore delle policy firewall dell'organizzazione (roles/compute.orgFirewallPolicyAdmin)
sulla risorsa in cui risiede la policy o sulla policy stessa |
| Visualizza le regole firewall effettive per una rete VPC | Uno dei seguenti ruoli per la rete: Ruolo Compute Network Admin ( roles/compute.networkAdmin)Ruolo Compute Network User ( roles/compute.networkUser)Ruolo Compute Network Viewer ( roles/compute.networkViewer)Ruolo Compute Security Admin ( roles/compute.securityAdmin)Ruolo Compute Viewer ( roles/compute.viewer)
|
| Visualizza le regole firewall effettive per una VM in una rete | Uno dei seguenti ruoli per la VM: Ruolo Compute Instance Admin ( roles/compute.instanceAdmin)Ruolo Agente di servizio di Instance Group Manager ( roles/compute.instanceGroupManagerServiceAgent)Ruolo Compute Security Admin ( roles/compute.securityAdmin)Ruolo Compute Viewer ( roles/compute.viewer)
|
I seguenti ruoli sono pertinenti alle policy del firewall gerarchiche.
| Nome ruolo | Descrizione |
|---|---|
Ruolo Amministratore delle policy firewall dell'organizzazione (roles/compute.orgFirewallPolicyAdmin)
|
Può essere concesso a una risorsa o a una singola policy. Se concesso a una risorsa,
consente agli utenti di creare, aggiornare ed eliminare le policy del firewall gerarchiche e
le relative regole. Se concesso a una singola policy, consente all'utente di aggiornare
le regole della policy, ma non di creare o eliminare la policy. Questo ruolo consente inoltre
all'utente di associare una policy a una risorsa se dispone anche del
compute.orgSecurityResourceAdmin ruolo per quella risorsa. |
Ruolo Amministratore delle risorse di sicurezza dell'organizzazione (roles/compute.orgSecurityResourceAdmin)
|
Se concesso a livello di organizzazione o a una cartella, consente agli amministratori a livello di cartella
di associare una policy a quella risorsa. Per poter utilizzare una policy, gli amministratori devono disporre anche del ruolo compute.orgFirewallPolicyUser o
compute.orgFirewallPolicyAdmin sulla risorsa proprietaria della policy o sulla policy stessa. |
Ruolo Utente delle policy firewall dell'organizzazione (roles/compute.orgFirewallPolicyUser)
|
Se concesso a una risorsa o a una singola policy, consente agli amministratori di
utilizzare la singola policy o le policy associate alla risorsa. Gli utenti
devono disporre anche del ruolo compute.orgSecurityResourceAdmin sulla
risorsa di destinazione per associare una policy a quella risorsa. |
Ruolo Compute Security Admin (roles/compute.securityAdmin)Ruolo Compute Viewer ( roles/compute.viewer)Ruolo Compute Network User ( roles/compute.networkUser)Ruolo Compute Network Viewer ( roles/compute.networkViewer) |
Consente agli utenti di visualizzare le regole firewall applicate alla rete o all'istanza. Include l' compute.networks.getEffectiveFirewalls autorizzazione
per le reti e compute.instances.getEffectiveFirewalls per le istanze. |
Nell'esempio seguente, Joe può creare, modificare ed eliminare qualsiasi policy del firewall gerarchica nella cartella policies, ma non può collegare la policy del firewall gerarchica a una cartella perché non dispone del ruolo orgSecurityResourceAdmin in nessuna cartella.
Tuttavia, poiché Joe ha concesso a Mary le autorizzazioni per utilizzare policy-1, Mary può elencare e associare la policy del firewall gerarchica alla cartella dev-projects o a uno dei suoi discendenti. Il ruolo orgFirewallPolicyUser non concede l'autorizzazione ad associare le policy a nessuna cartella; l'utente deve disporre anche del ruolo orgSecurityResourceAdmin nella cartella di destinazione.
Gestire le risorse delle policy del firewall gerarchiche
Poiché una policy del firewall gerarchica definisce solo un insieme di regole firewall e non la posizione in cui vengono applicate, puoi creare queste risorse in una parte diversa della gerarchia rispetto alle risorse a cui si applicano. In questo modo puoi associare una singola risorsa della policy del firewall gerarchica a più cartelle dell'organizzazione.
Nell'esempio seguente, policy-1 viene applicata alle cartelle dev-projects e corp-projects e quindi viene applicata a tutti i progetti contenuti in queste cartelle.
Modificare le regole di una policy
Puoi aggiungere, rimuovere e modificare le regole in una policy. Ogni modifica viene eseguita singolarmente; non esiste un meccanismo per l'aggiornamento batch delle regole in una policy. Le modifiche vengono applicate approssimativamente nell'ordine in cui vengono eseguiti i comandi, anche se non è garantito.
Se stai apportando modifiche estese a una policy del firewall gerarchica e devi assicurarti che vengano applicate contemporaneamente, puoi clonare la policy in una policy temporanea e assegnare la policy temporanea alle stesse risorse. A questo punto puoi apportare le modifiche alla policy originale e poi riassegnarla alle risorse. Per i passaggi da seguire, consulta Clonare le regole da una policy a un'altra.
Nell'esempio seguente, policy-1 è collegata alla cartella dev-projects e vuoi apportare diverse modifiche che si applicano in modo atomico. Crea una nuova policy denominata scratch-policy, quindi copia tutte le regole esistenti da policy-1 a scratch-policy per la modifica. Al termine della modifica, copia tutte le regole da scratch-policy a policy-1.
Spostare una policy
Le policy del firewall gerarchiche, come i progetti, sono subordinate a una risorsa di cartella o organizzazione. Man mano che lo schema delle cartelle si evolve, potrebbe essere necessario spostare una policy del firewall gerarchica in una nuova cartella, magari prima di eliminare una cartella. Le policy di proprietà di una cartella vengono eliminate se la cartella viene eliminata.
Il seguente diagramma illustra lo spostamento di una policy tra le associazioni di risorse o la valutazione delle regole nella policy.
Associare una policy del firewall gerarchica a una cartella
Una policy del firewall gerarchica non viene applicata a meno che non sia associata a un'organizzazione o a una cartella. Dopo l'associazione, viene applicata a tutte le VM di tutte le reti dell'organizzazione o della cartella.
Modifiche alla gerarchia delle risorse
La propagazione delle modifiche alla gerarchia delle risorse nel sistema potrebbe richiedere del tempo. Ti consigliamo di evitare aggiornamenti simultanei degli allegati delle policy del firewall gerarchiche e della gerarchia delle risorse, perché le reti potrebbero non ereditare immediatamente la policy del firewall gerarchica definita nella nuova posizione della gerarchia.
Ad esempio, se stai spostando la cartella dept-A dalla cartella dev-projects alla cartella eng-projects e stai modificando l'associazione di policy-1 a eng-projects anziché a dev-projects, assicurati di non dissociarla contemporaneamente da dev-projects.policy-1 Se la cartella dev-projects perde l'associazione alla policy del firewall gerarchica prima che sia stato aggiornato l'antenato di tutte le reti VPC al suo interno, per un breve periodo di tempo queste reti VPC non sono protette da policy-1.
Utilizzare le policy del firewall gerarchiche con il VPC condiviso
Negli scenari di VPC condiviso, un'interfaccia VM connessa a una rete di progetto host è regolata dalle regole delle policy del firewall gerarchiche del progetto host, non del progetto di servizio.
Anche se i progetti di servizio si trovano in una cartella diversa rispetto al progetto host, le interfacce VM nella rete condivisa ereditano comunque le regole della cartella del progetto host.
Utilizzare le policy del firewall gerarchiche con il peering di rete VPC
Negli scenari di peering di rete VPC, l'interfaccia VM associata a ciascuna delle reti VPC eredita le policy nella gerarchia delle rispettive reti VPC. Di seguito è riportato un esempio di peering di rete VPC in cui le reti VPC in peering appartengono a organizzazioni diverse.
Passaggi successivi
- Per creare e modificare le policy e le regole del firewall gerarchiche, consulta Utilizzare le policy del firewall gerarchiche.
- Per vedere esempi di implementazioni di policy del firewall gerarchiche, consulta Esempi di policy del firewall gerarchiche.