Les règles de pare-feu réseau au niveau mondial vous permettent de mettre à jour par lot toutes les règles de pare-feu en les regroupant en un seul objet de stratégie. Vous pouvez attribuer des stratégies de pare-feu réseau à un réseau cloud privé virtuel (VPC). Ces stratégies contiennent des règles qui peuvent explicitement refuser ou autoriser des connexions.
Spécifications
- Les stratégies de pare-feu réseau au niveau mondial sont des ressources de conteneurs pour les règles de pare-feu.
Chaque ressource de stratégie de pare-feu réseau au niveau mondial est définie dans un projet.
- Une fois que vous avez créé une stratégie de pare-feu réseau au niveau mondial, vous pouvez ajouter, mettre à jour et supprimer des règles de pare-feu dans la stratégie.
- Pour en savoir plus sur les règles des stratégies de pare-feu réseau au niveau mondial, consultez la section Composants des règles de stratégie de pare-feu.
- Pour appliquer des règles de stratégie de pare-feu réseau au niveau mondial à un réseau VPC, vous devez associer la stratégie de pare-feu à ce réseau VPC.
- Vous pouvez associer une stratégie de pare-feu réseau au niveau mondial à plusieurs réseaux VPC. Assurez-vous que la stratégie de pare-feu et les réseaux associés appartiennent au même projet.
- Chaque réseau VPC ne peut être associé qu'à une stratégie de pare-feu de réseau mondial.
- Si la stratégie de pare-feu n'est associée à aucun réseau VPC, les règles de cette stratégie n'ont aucun effet. Une stratégie de pare-feu qui n'est associée à aucun réseau est une stratégie de pare-feu réseau au niveau mondial non associée.
- Lorsqu'une stratégie de pare-feu réseau au niveau mondial est associée à un ou plusieurs réseaux VPC, les règles des stratégies de pare-feu sont appliquées des manières suivantes :
- Les règles existantes sont appliquées aux ressources applicables dans les réseaux VPC associés.
- Toute modification apportée aux règles est appliquée aux ressources applicables dans les réseaux VPC associés.
- Les règles des stratégies de pare-feu réseau au niveau mondial sont appliquées avec les autres règles de pare-feu, comme décrit dans la section Ordre d'évaluation des stratégies et des règles.
Détails des règles des stratégies de pare-feu de réseau au niveau mondial
Pour plus d'informations sur les composants et les paramètres des règles d'une stratégie de pare-feu réseau au niveau mondial, consultez la section Composants des règles de stratégie de pare-feu.
Le tableau suivant récapitule les principales différences entre les règles de stratégie de pare-feu réseau au niveau mondial et les règles de pare-feu VPC :
| Règles de stratégie de pare-feu de réseau au niveau mondial | Règles de pare-feu VPC | |
|---|---|---|
| Numéro de priorité | Doit être unique dans une règle | Priorités en double autorisées |
| Comptes de service en tant que cibles | Oui | Oui |
| Comptes de service en tant que sources (règles d'entrée uniquement) |
Non | Oui |
| Type de tag | Tag sécurisé | Balise de réseau |
| Nom et description | Nom, stratégie et description de la stratégie | Nom et description de la règle |
| Mise à jour groupée | Oui (fonctions de clonage, de modification et de remplacement de règle) | Non |
| Réutiliser | Oui | Non |
| Quota | Nombre d'attributs : basé sur une complexité totale de chaque règle de la stratégie | Nombre de règles : les règles de pare-feu simples et complexes ont le même impact sur les quotas |
Règles prédéfinies
Lorsque vous créez une stratégie de pare-feu de réseau mondiale, Cloud Next Generation Firewall ajoute des règles prédéfinies avec la priorité la plus basse à la stratégie. Ces règles sont appliquées à toutes les connexions qui ne correspondent pas à une règle définie explicitement dans la stratégie, ce qui entraîne leur transmission à des stratégies de niveau inférieur ou à des règles de réseau.
Pour en savoir plus sur les différents types de règles prédéfinies et leurs caractéristiques, consultez la section Règles prédéfinies pour les stratégies de pare-feu.
rôles IAM (Identity and Access Management)
Les rôles IAM régissent les actions suivantes en ce qui concerne les stratégies de pare-feu réseau au niveau mondial :
- Créer une stratégie de pare-feu de réseau au niveau mondial
- Associer une stratégie à un réseau
- Modifier une stratégie existante
- Afficher les stratégies de pare-feu en vigueur pour un réseau ou une VM spécifique
Le tableau suivant décrit les rôles nécessaires pour chaque action :
| Action | Rôle nécessaire |
|---|---|
| Créer une règle de pare-feu réseau au niveau mondial | Rôle d'administrateur de sécurité Compute (roles/compute.securityAdmin)
sur le projet auquel appartient la stratégie |
| Associer une stratégie à un réseau | Rôle d'administrateur réseau Compute (roles/compute.networkAdmin)
sur le projet hébergeant la stratégie
|
| Modifier la stratégie en ajoutant, en mettant à jour ou en supprimant des règles de stratégie de pare-feu | Rôle d'administrateur de sécurité Compute (roles/compute.securityAdmin)
sur le projet contenant la stratégie |
| Supprimer la règle | Rôle d'administrateur de sécurité Compute (roles/compute.securityAdmin)
sur le projet contenant la stratégie |
| Afficher les stratégies de pare-feu efficaces pour un réseau VPC | L'un des rôles suivants pour le réseau : Rôle d'administrateur réseau Compute ( roles/compute.networkAdmin)Rôle d'utilisateur de réseau Compute ( roles/compute.networkUser)Rôle de lecteur de réseau Compute ( roles/compute.networkViewer)Rôle d'administrateur de sécurité Compute ( roles/compute.securityAdmin)Rôle de lecteur Compute ( roles/compute.viewer)
|
| Afficher les stratégies de pare-feu efficaces pour une VM dans un réseau | L'un des rôles suivants pour la VM : Rôle d'administrateur d'instances Compute (v1) ( roles/compute.instanceAdmin)Rôle d'agent de service du gestionnaire de groupes d'instances ( roles/compute.instanceGroupManagerServiceAgent)Rôle d'administrateur de sécurité Compute ( roles/compute.securityAdmin)Rôle de lecteur Compute ( roles/compute.viewer)
|
Les rôles suivants sont pertinents pour les stratégies de pare-feu réseau au niveau mondial.
| Nom de rôle | Description |
|---|---|
Rôle d'administrateur de sécurité Compute (roles/compute.securityAdmin)
|
Peut être attribué au niveau du projet ou de la stratégie. Si ce rôle est accordé pour un projet, permet aux utilisateurs de créer, de mettre à jour et de supprimer des stratégies de pare-feu réseau au niveau mondial et leurs règles. Au niveau des stratégies, permet aux utilisateurs de mettre à jour les règles de stratégie, mais pas de les créer ni de les supprimer. Ce rôle permet également aux utilisateurs d'associer une stratégie à un réseau. |
Rôle d'administrateur réseau Compute (roles/compute.networkAdmin)
|
Accordé au niveau du projet ou du réseau. Si ce rôle est accordé pour un réseau, il permet aux utilisateurs d'afficher la liste des stratégies de pare-feu réseau au niveau mondial. |
Rôle de lecteur Compute (roles/compute.viewer)Rôle d'utilisateur de réseau Compute ( roles/compute.networkUser)Rôle de lecteur de réseau Compute ( roles/compute.networkViewer) |
Permet aux utilisateurs d'afficher les règles de pare-feu appliquées au réseau ou à l'instance. Fournit l'autorisation compute.networks.getEffectiveFirewalls pour les réseaux et l'autorisation compute.instances.getEffectiveFirewalls pour les instances. |