Some or all of the information on this page might not apply to Cloud de Confiance by S3NS. See Differences from Google Cloud for more details.

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

תגים מאובטחים לחומות אש

בכללים של Cloud Next Generation Firewall נעשה שימוש בתגים כדי לציין מקורות ויעדים. הגישה הגמישה הזו מאפשרת להימנע מהסתמכות על כתובות IP.

סוגי תגים

‫Cloud NGFW תומך בשני סוגים של תגים:

תגים שמנוהלים על ידי הפלטפורמה לניהול זהויות והרשאות גישה (IAM), שנקראים גם תגים מאובטחים, נוצרים ומנוהלים ב-מנהל המשאבים כמפתחות תגים וכערכי תגים. אפשר להשתמש בערכי תגים מאובטחים כדי לציין מקורות לכללי תעבורה נכנסת ויעדים לכללי תעבורה נכנסת או יוצאת במדיניות חומת אש היררכית, במדיניות חומת אש בין רשתות גלובלית או במדיניות חומת אש בין רשתות אזורית.
תגי רשת הם מחרוזות תווים ללא אמצעי בקרה לגישה, שאפשר להוסיף למכונות וירטואליות (VM) או לתבניות של מכונות וירטואליות. אפשר להשתמש בתגי רשת כדי לציין מקורות לכללי חומת אש של ענן וירטואלי פרטי (VPC) לתעבורת נתונים נכנסת (ingress), ויעדים לכללי חומת אש של VPC לתעבורת נתונים נכנסת או יוצאת (egress). אי אפשר להשתמש בתגי רשת בכללים במדיניות חומת אש היררכית, במדיניות חומת אש בין רשתות גלובלית או במדיניות חומת אש בין רשתות אזורית. מידע נוסף על תגי רשת זמין במאמר הוספת תגי רשת.

מידע נוסף על ההבדלים בין תגים מאובטחים לתגים של רשת זמין במאמר השוואה בין תגים מאובטחים לתגים של רשת.

בקטע הבא בדף הזה מתוארים תגים מאובטחים במדיניות של חומת אש.

מפרטים

תגים מאובטחים צריכים לעמוד בדרישות הבאות:

משאב הורה: משאב ההורה הוא המשאב שבו מוגדר מפתח התג המאובטח. אפשר ליצור מפתחות תגים בפרויקט או בארגון הורה. מידע נוסף על יצירת מפתחות תגים זמין במאמר בנושא יצירה וניהול של תגים מאובטחים.
מטרה ונתוני מטרה: כדי להשתמש במפתח תג מאובטח עם Cloud NGFW, צריך להגדיר את המאפיין purpose של מפתח התג לערך GCE_FIREWALL, ולציין את המאפיין purpose-data:
- אפשר להגדיר את המאפיין purpose-data של מפתח התג לערך network, ואחריו לציין רשת VPC אחת.
  - אם מפתחות התגים משויכים לפרויקט אב, והגדרתם את המאפיין purpose-data של מפתח התג לערך network, רשת ה-VPC שצוינה חייבת להיות באותו פרויקט שבו נמצא מפתח התג.
  - אם מפתחות התגים משויכים לארגון ראשי, והגדרתם את מאפיין purpose-data של מפתח התג לערך network, רשת ה-VPC שצוינה חייבת להיות באותו ארגון כמו מפתח התג.
- אפשר להגדיר את מאפיין purpose-data של מפתח התג לערך organization=auto. הפקודה הזו מזהה את כל רשתות ה-VPC בארגון.
אחרי שיוצרים מפתח תג, אי אפשר לשנות את המאפיין purpose או את המאפיין purpose-data. מידע נוסף על הפורמט של מפרט הרשת במאפיין purpose-data של מפתח תג זמין במאמר מטרה במאמרי העזרה של ה-API של מנהל המשאבים.
מבנה ופורמט: מפתח תג מאובטח יכול להפנות לעד 1,000 ערכים ייחודיים של תגים. ישויות מורשות ב-IAM עם התפקיד Tag Administrator (roles/resourcemanager.tagAdmin) יוצרות מפתחות תגים וערכי תגים לכל מפתח תג. מידע נוסף על מגבלות של תגים מאובטחים זמין במאמר בנושא מגבלות.
העברת פרויקטים בין ארגונים: אפשר להעביר פרויקט מארגון אחד לארגון אחר. לפני שמזיזים פרויקט, צריך לנתק מהארגון המקורי את כל מפתחות התגים שיש להם מאפיין purpose-data שמציין ארגון שנעשה בו שימוש בפרויקט. אם לא מנתקים קודם את התגים המאובטחים, מוצגת הודעת שגיאה במהלך ההעברה.
בקרת גישה: כללי מדיניות ב-IAM קובעים אילו חשבונות ראשיים ב-IAM יכולים לנהל תגי אבטחה ולהשתמש בהם:
- ישויות מורשות ב-IAM עם תפקיד Tag Administrator (roles/resourcemanager.tagAdmin) יכולות ליצור מפתחות תגים ולנהל את ערכי התגים שלהם:
  - ישויות מורשות ב-IAM שקיבלו את התפקיד 'Tag Administrator' (roles/resourcemanager.tagAdmin) במדיניות ה-IAM של הארגון יכולות ליצור מפתחות תגים כשהארגון הוא ההורה שלהם.
  - חשבונות משתמש ב-IAM שקיבלו את התפקיד 'אדמין תגים' (roles/resourcemanager.tagAdmin) במדיניות ה-IAM של הארגון, תיקייה או פרויקט, יכולים ליצור מפתחות תגים עם פרויקט כהורה שלהם.
- גורמים ראשיים ב-IAM עם התפקיד Tag User ‏(roles/resourcemanager.tagUser) יכולים לקשר ערכי תגים למופעי מכונות וירטואליות או להשתמש בערכי תגים בכללי חומת אש של מדיניות חומת אש היררכית, מדיניות חומת אש בין רשתות גלובליות או מדיניות חומת אש בין רשתות אזוריות.
  - גורמים (principals) ב-IAM שקיבלו את התפקיד Tag User ‏(roles/resourcemanager.tagUser) במדיניות IAM של הארגון יכולים להשתמש בערכי תגים ממפתחות תגים שהארגון הוא ההורה שלהם.
  - גורמים ב-IAM שקיבלו את התפקיד Tag User (roles/resourcemanager.tagUser) במדיניות IAM של הארגון, תיקייה או פרויקט, יכולים להשתמש בערכי תגים ממפתחות תגים עם פרויקט כהורה.
- אפשר להקצות את התפקיד Tag User (roles/resourcemanager.tagUser) ואת התפקידים המתאימים האחרים למנהלי ישויות ב-IAM שהם מפתחים, אדמינים של מסדי נתונים או צוותים תפעוליים, בלי להקצות להם את התפקיד Compute Security Admin (אדמין אבטחה ב-Compute) (roles/compute.securityAdmin). כך צוותים תפעוליים יכולים לשלוט בכללי חומת האש שחלים על ממשקי הרשת של המכונות הווירטואליות שהם מנהלים, בלי אפשרות לשנות את כללי חומת האש האלה.
מידע נוסף על ההרשאות הנדרשות זמין במאמר בנושא תפקידים ב-IAM.
תמיכה בכללי חומת אש: כללים במדיניות היררכית של חומת אש, במדיניות גלובלית של חומת אש בין רשתות ובמדיניות אזורית של חומת אש בין רשתות תומכים במפתחות תגים כתגי מקור מאובטחים או כתגי יעד מאובטחים. כללי חומת האש של VPC לא תומכים בתגים מאובטחים. מידע נוסף זמין במאמר בנושא השוואה בין תגים מאובטחים לתגים של רשת.
‫VM binding and applicable firewall rules: כשמבצעים binding של ערך של תג מאובטח למכונה וירטואלית, כללי חומת האש הרלוונטיים שמשתמשים בערך התג כוללים את ממשקי הרשת של המכונה הווירטואלית כמקורות או כיעדים:
- אם ערך התג המאובטח שמשויך למופע מגיע ממפתח תג שהמאפיין purpose-data שלו מציין רשת VPC אחת:
  - כללי חומת אש של תעבורת נכנסת שמשתמשים בערך התג הזה כמקור מאובטח, כוללים מקורות שכוללים את ממשקי הרשת של המכונה הווירטואלית שנמצאת ברשת ה-VPC שצוינה.
  - כללי חומת אש לתעבורה נכנסת ויוצאת שמשתמשים בערך התג הזה כיעד. תג מאובטח כולל יעדים שכוללים את ממשקי הרשת של מכונת ה-VM שנמצאת ברשת ה-VPC שצוינה.
- אם ערך התג המאובטח שמשויך למופע הוא ממפתח תג שהמאפיין purpose-data שלו מציין ארגון:
  - כללים בחומת אש של תנועה נכנסת שמשתמשים בערך התג הזה כמקור תג מאובטח, כוללים מקורות שכוללים את ממשקי הרשת של המכונה הווירטואלית שנמצאים בכל רשת VPC של הארגון.
  - כללי חומת אש של תעבורת נתונים נכנסת ותעבורת נתונים יוצאת שמשתמשים בערך התג הזה כיעד, הם תגי אבטחה עם יעדים שכוללים את ממשקי הרשת של המכונה הווירטואלית שנמצאים בכל רשת VPC של הארגון.
איך כללי חומת אש רלוונטיים מזהים מנות: Cloud NGFW ממפה תגים מאובטחים של מקור ותגים מאובטחים של יעד לממשקי רשת, ולא לכתובות IP:
- כשכלל חומת אש לכניסה כולל ממשק רשת של מכונה וירטואלית כמקור, Cloud de Confiance הוא תואם לכל המנות שנשלחות מממשק הרשת הזה.
- כשכלל חומת אש של תנועת כניסה כולל ממשק רשת של מכונה וירטואלית כיעד, Cloud de Confiance הוא תואם לכל המנות שמתקבלות בממשק הרשת הזה.
- כשכלל חומת אש ליציאה כולל ממשק רשת של מכונה וירטואלית כיעד, Cloud de Confiance הוא תואם לכל המנות שנשלחות מממשק הרשת הזה.
מספר ערכי התגים לכל מופע: אפשר לקשר כל ערך תג למספר בלתי מוגבל של מופעי מכונות וירטואליות. מספר ערכי התגים שכל מופע תומך בהם משתנה. Cloud de Confiance אוכף מגבלה של 10 ערכי תגים שחלים על כל ממשק רשת של מכונה וירטואלית. Cloud de Confiance מונע מכם לקשר ערכי תגים נוספים למופע של מכונה וירטואלית אם יותר מ-10 ערכי תגים חלים על אחד מממשקי הרשת שלה או יותר. מידע נוסף זמין במאמר בנושא קישור תגים מאובטחים.
תמיכה בקישור בין רשתות שכנות (peering) ו-NCC: אפשר להשתמש בתגים מאובטחים כדי לזהות ממשקי רשת של מכונות וירטואליות ברשתות שכנות מקושרות. זה כולל רשתות שמחוברות דרך קישור בין רשתות VPC שכנות (peering) ורשתות VPC מסוג Hub and Spoke במרכז קישוריות הרשת. התכונה הזו עוזרת לצרכנים של שירותים שפורסמו באמצעות גישה לשירותים פרטיים. לדוגמה, אתם יכולים להשתמש בכללי חומת אש של תעבורת נתונים נכנסת (ingress) עם תגי מקור מאובטחים כדי לשלוט בתעבורה ממכונות וירטואליות של בעלים של שירות מנוהל למכונות הווירטואליות שלכם.
תגי אבטחה עם Google Kubernetes Engine‏ (GKE): אפשר לקשר תגי אבטחה לאשכולות ולמאגרי צמתים ב-GKE לשימוש במדיניות של חומות אש ברשת. מידע נוסף מופיע במאמר בנושא יצירה וניהול של תגים מאובטחים.

קישור תגים מאובטחים

כדי להשתמש בתגים מאובטחים עם Cloud NGFW, צריך לקשר ערך תג למופע של מכונה וירטואלית. כל מפתח של תג מאובטח תומך בכמה ערכי תגים, אבל לכל מפתח של תג אפשר לקשר רק אחד מערכי התגים שלו למופע. מידע נוסף על הרשאות IAM ועל קישור תגים מאובטחים זמין במאמר קישור תגים מאובטחים.

בדוגמאות שבקטע הזה מוצג איך ערכים של תגים קשורים חלים על ממשקי רשת של מכונות וירטואליות. בדוגמה instance1 של מכונה וירטואלית עם שני ממשקי רשת:

‫nic0 מחובר לרשת ה-VPC‏ network1
‫nic1 מחובר לרשת ה-VPC‏ network2

שתי רשתות ה-VPC נמצאות באותו ארגון.

מכונה וירטואלית עם שני ממשקי רשת, שכל אחד מהם מחובר לרשת VPC אחרת. — **איור 1.** מכונה וירטואלית עם שני ממשקי רשת, שכל אחד מהם מחובר לרשת VPC אחרת (אפשר ללחוץ כדי להגדיל).

המאפיין purpose-data של מפתח התג המתאים קובע את הקשר בין ערכי תג קשורים לבין ממשקי רשת של מכונות וירטואליות.

מפתחות תגים שהמאפיין `purpose-data` שלהם מציין רשת VPC

נניח שיוצרים שני מפתחות תגים עם המאפיינים purpose-data וערכי התגים הבאים:

‫tag_key1 כולל מאפיין purpose-data שמציין את רשת ה-VPC ושני ערכי תגים tag_value1 ו-tag_value2.network1
‫tag_key2 כולל מאפיין purpose-data שמציין את רשת ה-VPC וערך תג אחד tag_value3.network2

המאפיין `purpose-data` של כל מפתח תג
מציין רשת VPC אחת. — **איור 2.** המאפיין `purpose-data` של כל מפתח תג מציין רשת VPC אחת (אפשר ללחוץ כדי להגדיל).

כשמקשרים ערכים של תגים מאובטחים tag_value1 ו-tag_value3 אל instance1:

המאפיין tag_value1 חל על ממשק הרשת nic0 כי ההורה שלו, tag_key1, כולל מאפיין purpose-data שמציין את רשת ה-VPC‏ network1, וממשק הרשת nic0 נמצא ב-network1.
המאפיין tag_value3 חל על ממשק הרשת nic1 כי ההורה שלו, tag_key2, כולל מאפיין purpose-data שמציין את רשת ה-VPC‏ network2, וממשק הרשת nic1 נמצא ב-network2.

הדיאגרמה הבאה מציגה ערכי תגים מקשרים ממפתחות תגים שהמאפיין purpose-data שלהם מציין רשת VPC אחת.

ערכי תגים שמוגבלים למפתחות תגים שהמאפיין `purpose-data`
שלהם מציין רשת VPC אחת. — **איור 3.** ערכים של תגים שמוגבלים למפתחות תגים שהמאפיין `purpose-data` שלהם מציין רשת VPC אחת (לחצו להגדלה).

מפתחות תגים שהמאפיין `purpose-data` שלהם מציין את הארגון

נניח שיוצרים שני מפתחות תגים עם המאפיינים purpose-data וערכי התגים הבאים:

ל-tag_key3 יש מאפיין purpose-data שמציין את ארגון האב ושני ערכי תג tag_value4 ו-tag_value5.
‫tag_key4 כולל מאפיין purpose-data שמציין את ארגון האב, וערך תג אחד tag_value6.

המאפיין `purpose-data` של כל מפתח תג מציין את ארגון האב. — **איור 4.** המאפיין `purpose-data` של כל מפתח תג מציין את הארגון ההורה (אפשר ללחוץ כדי להגדיל).

כשמקשרים את ערך התג tag_value4 אל instance1:

‫tag_value4 חל על ממשק הרשת nic0 כי לרכיב ההורה tag_key3 יש מאפיין purpose-data שמציין את ארגון ההורה שמכיל את רשת ה-VPC‏ network1, וממשק הרשת nic0 נמצא ב-network1.
‫tag_value4 חל גם על ממשק הרשת nic1 כי אלמנט ההורה שלו tag_key3 כולל מאפיין purpose-data שמציין את ארגון ההורה שמכיל את רשת ה-VPC‏ network2. ממשק הרשת nic1 נמצא ב-network2.

בתרשים הבא מוצגים ערכי תגים מחייבים ממפתחות תגים שהמאפיין purpose-data שלהם מציין את ארגון ההורה.

ערכי תגים קשורים ממפתחות תגים שהמאפיין `purpose-data` שלהם מציין את הארגון ברמת ההורה. — **איור 5.** ערכים של תגים קשורים ממפתחות תגים שהמאפיין `purpose-data` שלהם מציין את ארגון ההורה (לחצו להגדלה).

הגדרת תגים מאובטחים

בתרשים זרימת העבודה הבא מוצגת רצף שלבים ברמה גבוהה שנדרשים כדי להגדיר תגים מאובטחים במדיניות חומת האש.

אפשר ליצור תגים מאובטחים ברמת הארגון או ברמת הפרויקט. כדי ליצור תג ברמת הארגון, האדמין הארגוני צריך קודם להעניק לכם הרשאת IAM. מידע נוסף מופיע במאמר בנושא הענקת הרשאות לתגים מאובטחים.
כדי ליצור תג מאובטח, קודם צריך ליצור מפתח תג. מפתח התג הזה מתאר את התג שאתם יוצרים. מידע נוסף זמין במאמר בנושא יצירה של מפתחות וערכים של תגים מאובטחים.
אחרי שיוצרים מפתח תג מאובטח, צריך להוסיף לו את הערכים הרלוונטיים של התג המאובטח. מידע נוסף זמין במאמר בנושא יצירה של מפתחות וערכים של תגים מאובטחים. כדי לתת למשתמשים גישה ספציפית לניהול מפתחות של תגים מאובטחים ולצירוף ערכי תגים למשאבים, משתמשים במסוף Cloud de Confiance . מידע נוסף מופיע במאמר בנושא ניהול הגישה לתגים.
אחרי שיוצרים תג מאובטח, אפשר להשתמש בו במדיניות חומת אש ברשת או במדיניות חומת אש היררכית. מידע נוסף זמין במאמרים בנושא יצירת מדיניות היררכית של חומת אש ויצירת מדיניות של חומת אש ברשת.
כדי לאפשר את התנועה שנבחרה בין המכונות הווירטואליות עם מפתחות תגי המקור ומפתחות תגי היעד, צריך ליצור כלל במדיניות חומת האש (רשת או היררכית) עם ערכי תגי המקור וערכי תגי היעד הספציפיים. למידע נוסף: יצירת כלל במדיניות חומת אש עם תגי אבטחה.
אחרי שיוצרים מפתח תג ומעניקים גישה מתאימה למפתח התג ולמשאב, אפשר לקשר את מפתח התג למופע של מכונה וירטואלית. מידע נוסף זמין במאמר בנושא קישור תגים מאובטחים.

השוואה בין תגים מאובטחים לתגים של רשתות

בטבלה הבאה מפורטים ההבדלים בין תגים מאובטחים לבין תגים לרשת. הסימן מציין שהמאפיין נתמך, והסמל מציין שהמאפיין לא נתמך.

מאפיין	תג Secure עם מאפיין `purpose-data` שמציין רשת VPC	תג מאובטח עם מאפיין `purpose-data` שמציין את הארגון (organization)	תג רשת
מקור מידע להורים	פרויקט או ארגון	פרויקט או ארגון	פרויקט
מבנה ופורמט	מפתח התג עם עד 1,000 ערכים	מפתח התג עם עד 1,000 ערכים	מחרוזת פשוטה
בקרת גישה	שימוש ב-IAM	שימוש ב-IAM	אין בקרת גישה
ממשקי רשת רלוונטיים	כלל חומת אש לתעבורה נכנסת עם ערך תג מאובטח של מקור: המקורות כוללים ממשקי רשת של מכונות וירטואליות ברשת ה-VPC שצוינה על ידי המאפיין `purpose-data` של מפתח התג. כלל חומת אש של תעבורת נתונים נכנסת (ingress) או תעבורת נתונים יוצאת (egress) עם ערך תג מאובטח של יעד: targets include VM network interfaces in the רשת VPC specified by the `purpose-data` attribute of the tag key.	כלל חומת אש לתעבורה נכנסת עם ערך תג מאובטח של מקור: המקורות כוללים ממשקי רשת של מכונות וירטואליות בכל רשת VPC של הארגון ברמת ההורה. כלל חומת אש של תעבורת נכנסת או יוצאת עם ערך תג אבטחה ליעד: היעדים כוללים ממשקי רשת של מכונות וירטואליות בכל רשת VPC של הארגון ברמת ההורה.	כלל חומת אש לתעבורה נכנסת עם תג רשת של מקור: המקורות כוללים ממשקי רשת של מכונות וירטואליות בכל רשת VPC שבה נעשה שימוש במכונה הווירטואלית, אם לרשת הזו יש כללי חומת אש של VPC שמשתמשים בתג הרשת של המקור. כלל חומת אש של תעבורה נכנסת או יוצאת עם תג רשת יעד: היעדים כוללים ממשקי רשת של מכונות וירטואליות בכל רשת VPC שבה נעשה שימוש במכונה הווירטואלית, אם לרשת הזו יש כללי חומת אש של VPC שמשתמשים בתג רשת היעד.
נתמך על ידי כללים במדיניות היררכית של חומת אש
יש תמיכה בכללים במדיניות חומת אש בין רשתות גלובלית ואזורית
נתמך על ידי כללי חומת אש ב-VPC
כללי חומת אש לתעבורת נתונים נכנסת יכולים לכלול מקורות ברשתות VPC שמחוברות באמצעות קישור בין רשתות שכנות (peering) של VPC	¹	¹
כללי חומת אש לתעבורת נתונים נכנסת יכולים לכלול מקורות ב-spokes אחרים של VPC במרכז NCC	¹	¹

¹ ערך של תג מאובטח במקור יכול לזהות ממשקי רשת ברשת VPC אחרת, אם מתקיימים שני התנאים הבאים:

המאפיין purpose-data של מפתח התג מציין את רשת ה-VPC האחרת (או את ארגון האב שמכיל את רשת ה-VPC האחרת)
רשת ה-VPC השנייה ורשת ה-VPC שמשתמשת במדיניות חומת האש מחוברות באמצעות קישור בין רשתות VPC שכנות, או ששתיהן רשתות VPC מסוג spoke באותו רכז NCC.

תפקידי IAM

במאמר ניהול תגים במשאבים תוכלו לקרוא מידע נוסף על ההרשאות והתפקידים ב-IAM שנדרשים כדי ליצור ולנהל תגים מאובטחים.

המאמרים הבאים

כדי להעניק הרשאות לתגים מאובטחים וליצור צמדי מפתח/ערך של תגים מאובטחים, אפשר לעיין במאמר בנושא יצירה וניהול של תגים מאובטחים.
כדי להשתמש בתגים מאובטחים בפירינג של רשתות, אפשר לעיין במאמר בנושא שימוש בתגים מאובטחים ברשתות בפירינג.