Criteri firewall

I criteri firewall consentono di raggruppare diverse regole firewall in modo da poterle aggiornare tutte insieme, con un controllo efficace mediante ruoli IAM (Identity and Access Management). Queste policy contengono regole che possono negare o consentire esplicitamente le connessioni, come le regole firewall VPC (Virtual Private Cloud).

Criteri firewall gerarchici

Le policy del firewall gerarchiche consentono di raggruppare le regole in un oggetto policy che può essere applicato a molte reti VPC in uno o più progetti. Puoi associare le policy firewall gerarchiche a un'intera organizzazione o a singole cartelle.

Per le specifiche e i dettagli dei criteri firewall gerarchici, vedi Criteri firewall gerarchici.

Criteri firewall di rete globali

I criteri firewall di rete globali consentono di raggruppare le regole in un oggetto policy applicabile a tutte le regioni (globale). Un criterio firewall non ha effetto finché non viene associato a una rete VPC. Per associare una policy firewall di rete globale a una rete, consulta Associare una policy alla rete. Dopo aver associato una policy firewall di rete globale a una rete VPC, le regole nella policy possono essere applicate alle risorse nella rete VPC. Puoi associare un criterio firewall di rete solo a una rete VPC.

Per le specifiche e i dettagli delle policy firewall di rete globali, consulta la sezione Policy firewall di rete globali.

Criteri firewall di rete regionali

I criteri firewall di rete regionali consentono di raggruppare le regole in un oggetto policy applicabile a una regione specifica. Una policy firewall di rete regionale non ha effetto finché non viene associata a una rete VPC nella stessa regione. Per associare una policy firewall di rete regionale a una rete, consulta la sezione Associare una policy alla rete. Dopo aver associato una policy firewall di rete regionale a una rete VPC, le regole della policy possono essere applicate alle risorse all'interno di quella regione della rete VPC.

Per le specifiche e i dettagli delle policy firewall regionali, consulta Policy firewall di rete regionali.

Applica criteri e regole firewall a una rete

Le reti VPC regolari supportano le regole firewall nelle policy firewall gerarchiche, nelle policy firewall di rete globali, nelle policy firewall di rete regionali e nelle regole firewall VPC. Tutte le regole firewall sono programmate come parte dello stack di virtualizzazione di rete Andromeda.

Per le reti VPC RoCE, consulta Cloud NGFW per le reti VPC RoCE anziché questa sezione.

Ordine di applicazione delle policy firewall di rete

Ogni rete VPC standard ha un ordine di applicazione dei criteri firewall di rete che controlla quando vengono valutate le regole nei criteri firewall di rete globali e regionali.

  • AFTER_CLASSIC_FIREWALL (impostazione predefinita): Cloud NGFW valuta le regole firewall VPC prima di valutare le regole nelle policy firewall di rete globali e nelle policy firewall di rete regionali.

  • BEFORE_CLASSIC_FIREWALL: Cloud NGFW valuta le regole nelle policy del firewall di rete globali e nelle policy del firewall di rete regionali prima di valutare le regole firewall VPC.

Per modificare l'ordine di applicazione delle policy firewall di rete, esegui una delle seguenti operazioni:

  • Utilizza il metodo networks.patch e imposta l'attributo networkFirewallPolicyEnforcementOrder della rete VPC.

  • Utilizza il comando gcloud compute networks update con il flag --network-firewall-policy-enforcement-order.

    Ad esempio:

    gcloud compute networks update VPC_NETWORK_NAME \
    --network-firewall-policy-enforcement-order=ENFORCEMENT_ORDER

Processo di valutazione delle regole firewall

Per un determinato pacchetto, Cloud NGFW valuta le seguenti regole esclusivamente in base alla direzione del traffico:

  • Regole firewall in entrata se una risorsa di destinazione riceve il pacchetto.
  • Regole firewall in uscita se una risorsa di destinazione invia il pacchetto.

Cloud NGFW valuta le regole firewall in un ordine specifico. L'ordine dipende dall'ordine di applicazione del criterio firewall di rete, che può essere AFTER_CLASSIC_FIREWALL o BEFORE_CLASSIC_FIREWALL.

Ordine di valutazione delle regole nell'ordine di applicazione AFTER_CLASSIC_FIREWALL

Nell'ordine di applicazione delle policy firewall di rete AFTER_CLASSIC_FIREWALL, Cloud NGFW valuta le regole firewall VPC dopo aver valutato le regole nelle policy firewall gerarchiche. Questo è l'ordine di valutazione predefinito.

Le regole firewall vengono valutate nel seguente ordine:

  1. Criteri firewall gerarchici.

    Cloud NGFW valuta i criteri firewall gerarchici nel seguente ordine:

    1. Il criterio firewall gerarchico associato all'organizzazione che contiene la risorsa di destinazione.
    2. Policy firewall gerarchiche associate agli antenati della cartella, dalla cartella di primo livello alla cartella che contiene il progetto della risorsa di destinazione.

    Quando valuta le regole in ogni criterio firewall gerarchico, Cloud NGFW esegue i seguenti passaggi:

    1. Ignora tutte le regole i cui target non corrispondono alla risorsa di destinazione.
    2. Ignora tutte le regole che non corrispondono alla direzione del pacchetto.
    3. Valuta le regole rimanenti dalla priorità più alta a quella più bassa.

      La valutazione si interrompe quando viene soddisfatta una delle seguenti condizioni:

      • Una regola che si applica alla risorsa di destinazione corrisponde al traffico.
      • Nessuna regola applicabile alla risorsa di destinazione corrisponde al traffico.

    In un criterio firewall gerarchico, al massimo una regola può corrispondere al traffico. L'azione della regola firewall in caso di corrispondenza può essere una delle seguenti:

    • allow: la regola consente il traffico e tutta la valutazione delle regole si interrompe.
    • deny: la regola nega il traffico e tutta la valutazione delle regole si interrompe.
    • apply_security_profile_group: la regola inoltra il traffico a un endpoint firewall configurato e tutta la valutazione delle regole si interrompe. La decisione di consentire o eliminare il pacchetto dipende dal profilo di sicurezza configurato del gruppo di profili di sicurezza.
    • goto_next: la valutazione della regola continua con una delle seguenti opzioni:
      • Un criterio firewall gerarchico associato a un antenato della cartella più vicino alla risorsa di destinazione, se esiste.
      • Il passaggio successivo nell'ordine di valutazione, se tutti i criteri firewall gerarchici sono stati valutati.

    Se nessuna regola in un criterio firewall gerarchico corrisponde al traffico, Cloud NGFW utilizza un'azione goto_next implicita. Questa azione continua la valutazione fino a uno dei seguenti risultati:

    • Un criterio firewall gerarchico associato a un antenato della cartella più vicino alla risorsa di destinazione, se esiste.
    • Il passaggio successivo nell'ordine di valutazione, se tutti i criteri firewall gerarchici sono stati valutati.

  2. Regole firewall VPC.

    Quando valuta le regole firewall VPC, Cloud NGFW esegue i seguenti passaggi:

    1. Ignora tutte le regole i cui target non corrispondono alla risorsa di destinazione.
    2. Ignora tutte le regole che non corrispondono alla direzione del pacchetto.
    3. Valuta le regole rimanenti dalla priorità più alta a quella più bassa.

      La valutazione si interrompe quando viene soddisfatta una delle seguenti condizioni:

      • Una regola che si applica alla risorsa di destinazione corrisponde al traffico.
      • Nessuna regola applicabile alla risorsa di destinazione corrisponde al traffico.

    Quando una o due regole firewall VPC corrispondono al traffico, l'azione in caso di corrispondenza della regola firewall può essere una delle seguenti:

    • allow: la regola consente il traffico e tutta la valutazione delle regole si interrompe.
    • deny: la regola nega il traffico e tutta la valutazione delle regole si interrompe.

    Se due regole corrispondono, devono avere la stessa priorità, ma azioni diverse. In questo caso, Cloud NGFW applica la regola firewall VPC deny e ignora la regola firewall VPC allow.

    Se nessuna regola firewall VPC corrisponde al traffico, Cloud NGFW utilizza un'azione goto_next implicita per continuare con il passaggio successivo nell'ordine di valutazione.

  3. Policy del firewall di rete globale.

    Quando valuta le regole in una policy del firewall di rete globale, Cloud NGFW esegue i seguenti passaggi:

    1. Ignora tutte le regole i cui target non corrispondono alla risorsa di destinazione.
    2. Ignora tutte le regole che non corrispondono alla direzione del pacchetto.
    3. Valuta le regole rimanenti dalla priorità più alta a quella più bassa.

      La valutazione si interrompe quando viene soddisfatta una delle seguenti condizioni:

      • Una regola che si applica alla risorsa di destinazione corrisponde al traffico.
      • Nessuna regola applicabile alla risorsa di destinazione corrisponde al traffico.

    In un criterio firewall di rete globale, al massimo una regola può corrispondere al traffico. L'azione della regola firewall in caso di corrispondenza può essere una delle seguenti:

    • allow: la regola consente il traffico e tutta la valutazione delle regole si interrompe.
    • deny: la regola nega il traffico e tutta la valutazione delle regole si interrompe.
    • apply_security_profile_group: la regola inoltra il traffico a un endpoint firewall configurato e tutta la valutazione delle regole si interrompe. La decisione di consentire o eliminare il pacchetto dipende dal profilo di sicurezza configurato del gruppo di profili di sicurezza.
    • goto_next: la valutazione della regola continua fino al passaggio della policy firewall di rete regionale nell'ordine di valutazione.

    Se nessuna regola in una policy del firewall di rete globale corrisponde al traffico, Cloud NGFW utilizza un'azione goto_next implicita. Questa azione continua la valutazione fino al passaggio della policy firewall di rete regionale nell'ordine di valutazione.

  4. Policy firewall di rete regionali.

    Cloud NGFW valuta le regole nelle policy del firewall di rete regionali associate alla regione e alla rete VPC della risorsa di destinazione.

    Quando valuta le regole in una policy firewall di rete regionale, Cloud NGFW esegue i seguenti passaggi:

    1. Ignora tutte le regole i cui target non corrispondono alla risorsa di destinazione.
    2. Ignora tutte le regole che non corrispondono alla direzione del pacchetto.
    3. Valuta le regole rimanenti dalla priorità più alta a quella più bassa.

      La valutazione si interrompe quando viene soddisfatta una delle seguenti condizioni:

      • Una regola che si applica alla risorsa di destinazione corrisponde al traffico.
      • Nessuna regola applicabile alla risorsa di destinazione corrisponde al traffico.

    In un criterio firewall di rete regionale, al massimo una regola può corrispondere al traffico. L'azione della regola firewall in caso di corrispondenza può essere una delle seguenti:

    • allow: la regola consente il traffico e tutta la valutazione delle regole si interrompe.
    • deny: la regola nega il traffico e tutta la valutazione delle regole si interrompe.
    • goto_next: la valutazione della regola continua con il passaggio successivo nell'ordine di valutazione.

    Se nessuna regola di un criterio firewall di rete regionale corrisponde al traffico, Cloud NGFW utilizza un'azione goto_next implicita. Questa azione continua la valutazione al passaggio successivo nell'ordine di valutazione.

  5. Regole firewall implicite.

    Cloud NGFW applica le seguenti regole firewall implicite quando tutte le regole che corrispondevano al traffico avevano un'azione goto_next esplicita o quando la valutazione delle regole è continuata seguendo azioni goto_next implicite.

    • Traffico in uscita consentito implicito
    • Traffico in entrata implicito

Il seguente diagramma mostra l'ordine di valutazione quando l'ordine di applicazione dei criteri firewall di rete è AFTER_CLASSIC_FIREWALL:

Flusso di risoluzione delle regole firewall.
Figura 1. Flusso di risoluzione delle regole firewall se l'ordine di applicazione della policy firewall di rete è AFTER_CLASSIC_FIREWALL (fai clic per ingrandire).

Ordine di valutazione delle regole nell'ordine di applicazione BEFORE_CLASSIC_FIREWALL

Nell'BEFORE_CLASSIC_FIREWALLordine di applicazione delle policy firewall di rete, Cloud NGFW valuta le regole firewall VPC dopo aver valutato le regole nelle policy firewall di rete.

Le regole firewall vengono valutate nel seguente ordine:

  1. Criteri firewall gerarchici.

    Cloud NGFW valuta i criteri firewall gerarchici nel seguente ordine:

    1. Il criterio firewall gerarchico associato all'organizzazione che contiene la risorsa di destinazione.
    2. I criteri firewall gerarchici associati agli antenati della cartella, dalla cartella di primo livello fino alla cartella che contiene il progetto della risorsa di destinazione.

    Quando valuta le regole in ogni criterio firewall gerarchico, Cloud NGFW esegue i seguenti passaggi:

    1. Ignora tutte le regole i cui target non corrispondono alla risorsa di destinazione.
    2. Ignora tutte le regole che non corrispondono alla direzione del pacchetto.
    3. Valuta le regole rimanenti dalla priorità più alta a quella più bassa.

      La valutazione si interrompe quando viene soddisfatta una delle seguenti condizioni:

      • Una regola che si applica alla risorsa di destinazione corrisponde al traffico.
      • Nessuna regola applicabile alla risorsa di destinazione corrisponde al traffico.

    In un criterio firewall gerarchico, al massimo una regola può corrispondere al traffico. L'azione della regola firewall in caso di corrispondenza può essere una delle seguenti:

    • allow: la regola consente il traffico e tutta la valutazione delle regole si interrompe.
    • deny: la regola nega il traffico e tutta la valutazione delle regole si interrompe.
    • apply_security_profile_group: la regola inoltra il traffico a un endpoint firewall configurato e tutta la valutazione delle regole si interrompe. La decisione di consentire o eliminare il pacchetto dipende dal profilo di sicurezza configurato del gruppo di profili di sicurezza.
    • goto_next: la valutazione della regola continua con una delle seguenti opzioni:
      • Un criterio firewall gerarchico associato a un antenato della cartella più vicino alla risorsa di destinazione, se esiste.
      • Il passaggio successivo nell'ordine di valutazione, se tutti i criteri firewall gerarchici sono stati valutati.

    Se nessuna regola in un criterio firewall gerarchico corrisponde al traffico, Cloud NGFW utilizza un'azione goto_next implicita. Questa azione continua la valutazione fino a uno dei seguenti risultati:

    • Un criterio firewall gerarchico associato a un antenato della cartella più vicino alla risorsa di destinazione, se esiste.
    • Il passaggio successivo nell'ordine di valutazione, se tutti i criteri firewall gerarchici sono stati valutati.

  2. Policy del firewall di rete globale.

    Quando valuta le regole in una policy del firewall di rete globale, Cloud NGFW esegue i seguenti passaggi:

    1. Ignora tutte le regole i cui target non corrispondono alla risorsa di destinazione.
    2. Ignora tutte le regole che non corrispondono alla direzione del pacchetto.
    3. Valuta le regole rimanenti dalla priorità più alta a quella più bassa.

      La valutazione si interrompe quando viene soddisfatta una delle seguenti condizioni:

      • Una regola che si applica alla risorsa di destinazione corrisponde al traffico.
      • Nessuna regola applicabile alla risorsa di destinazione corrisponde al traffico.

    In un criterio firewall di rete globale, al massimo una regola può corrispondere al traffico. L'azione della regola firewall in caso di corrispondenza può essere una delle seguenti:

    • allow: la regola consente il traffico e tutta la valutazione delle regole si interrompe.
    • deny: la regola nega il traffico e tutta la valutazione delle regole si interrompe.
    • apply_security_profile_group: la regola inoltra il traffico a un endpoint firewall configurato e tutta la valutazione delle regole si interrompe. La decisione di consentire o eliminare il pacchetto dipende dal profilo di sicurezza configurato del gruppo di profili di sicurezza.
    • goto_next: la valutazione della regola continua fino al passaggio della policy firewall di rete regionale nell'ordine di valutazione.

    Se nessuna regola in una policy del firewall di rete globale corrisponde al traffico, Cloud NGFW utilizza un'azione goto_next implicita. Questa azione continua la valutazione fino al passaggio della policy firewall di rete regionale nell'ordine di valutazione.

  3. Policy firewall di rete regionali.

    Cloud NGFW valuta le regole nelle policy del firewall di rete regionali associate alla regione e alla rete VPC della risorsa di destinazione. Se più criteri sono associati alla stessa regione e alla stessa rete, viene valutato per primo quello con la priorità di associazione più alta.

    Quando valuta le regole in una policy firewall di rete regionale, Cloud NGFW esegue i seguenti passaggi:

    1. Ignora tutte le regole i cui target non corrispondono alla risorsa di destinazione.
    2. Ignora tutte le regole che non corrispondono alla direzione del pacchetto.
    3. Valuta le regole rimanenti dalla priorità più alta a quella più bassa.

      La valutazione si interrompe quando viene soddisfatta una delle seguenti condizioni:

      • Una regola che si applica alla risorsa di destinazione corrisponde al traffico.
      • Nessuna regola applicabile alla risorsa di destinazione corrisponde al traffico.

    In un criterio firewall di rete regionale, al massimo una regola può corrispondere al traffico. L'azione della regola firewall in caso di corrispondenza può essere una delle seguenti:

    • allow: la regola consente il traffico e tutta la valutazione delle regole si interrompe.
    • deny: la regola nega il traffico e tutta la valutazione delle regole si interrompe.
    • goto_next: la valutazione della regola continua con il passaggio successivo nell'ordine di valutazione.

    Se nessuna regola di un criterio firewall di rete regionale corrisponde al traffico, Cloud NGFW utilizza un'azione goto_next implicita. Questa azione continua la valutazione al passaggio successivo nell'ordine di valutazione.

  4. Regole firewall VPC.

    Quando valuta le regole firewall VPC, Cloud NGFW esegue i seguenti passaggi:

    1. Ignora tutte le regole i cui target non corrispondono alla risorsa di destinazione.
    2. Ignora tutte le regole che non corrispondono alla direzione del pacchetto.
    3. Valuta le regole rimanenti dalla priorità più alta a quella più bassa.

      La valutazione si interrompe quando viene soddisfatta una delle seguenti condizioni:

      • Una regola che si applica alla risorsa di destinazione corrisponde al traffico.
      • Nessuna regola applicabile alla risorsa di destinazione corrisponde al traffico.

    Quando una o due regole firewall VPC corrispondono al traffico, l'azione in caso di corrispondenza della regola firewall può essere una delle seguenti:

    • allow: la regola consente il traffico e tutta la valutazione delle regole si interrompe.
    • deny: la regola nega il traffico e tutta la valutazione delle regole si interrompe.

    Se due regole corrispondono, devono avere la stessa priorità, ma azioni diverse. In questo caso, Cloud NGFW applica la regola firewall VPC deny e ignora la regola firewall VPC allow.

    Se nessuna regola firewall VPC corrisponde al traffico, Cloud NGFW utilizza un'azione goto_next implicita per continuare con il passaggio successivo nell'ordine di valutazione.

  5. Regole firewall implicite.

    Cloud NGFW applica le seguenti regole firewall implicite quando tutte le regole che corrispondevano al traffico avevano un'azione goto_next esplicita o quando la valutazione delle regole è continuata seguendo azioni goto_next implicite.

    • Traffico in uscita consentito implicito
    • Traffico in entrata implicito

Il seguente diagramma mostra l'ordine di valutazione quando l'ordine di applicazione dei criteri firewall di rete è BEFORE_CLASSIC_FIREWALL:

Flusso di risoluzione delle regole firewall.
Figura 2. Flusso di risoluzione delle regole firewall se l'ordine di applicazione della policy firewall di rete è BEFORE_CLASSIC_FIREWALL (fai clic per ingrandire).

Regole firewall effettive

Le regole delle policy firewall gerarchiche, le regole firewall VPC e le regole delle policy firewall di rete globali e regionali controllano le connessioni. Potrebbe essere utile visualizzare tutte le regole firewall che interessano una singola rete o un'interfaccia VM.

Regole firewall effettive della rete

Puoi visualizzare tutte le regole firewall applicate a una rete VPC. L'elenco include tutti i seguenti tipi di regole:

  • Regole ereditate dai criteri firewall gerarchici
  • Regole firewall VPC
  • Regole applicate dai criteri firewall di rete globali e regionali

Regole firewall effettive dell'istanza

Puoi visualizzare tutte le regole firewall applicate all'interfaccia di rete di una VM. L'elenco include tutti i seguenti tipi di regole:

  • Regole ereditate dai criteri firewall gerarchici
  • Regole applicate dal firewall VPC dell'interfaccia
  • Regole applicate dai criteri firewall di rete globali e regionali

Le regole sono ordinate dal livello dell'organizzazione fino alla rete VPC. Vengono visualizzate solo le regole che si applicano all'interfaccia VM. Le regole di altre norme non vengono mostrate.

Per visualizzare le regole dei criteri firewall effettivi all'interno di una regione, consulta Recuperare i criteri firewall regionali effettivi per una rete.

Regole predefinite

Quando crei un criterio firewall gerarchico, un criterio firewall di rete globale o un criterio firewall di rete regionale, Cloud NGFW aggiunge regole predefinite al criterio. Le regole predefinite che Cloud NGFW aggiunge al criterio dipendono da come crei il criterio.

Se crei un criterio firewall utilizzando la Google Cloud console, Cloud NGFW aggiunge le seguenti regole al nuovo criterio:

  1. Regole Goto-next per intervalli IPv4 privati
  2. Regole di negazione predefinite di Google Threat Intelligence
  3. Regole di negazione della geolocalizzazione predefinite
  4. Regole Vai al successivo con la priorità più bassa possibile

Se crei una policy firewall utilizzando Google Cloud CLI o l'API, Cloud NGFW aggiunge alla policy solo le regole goto-next con la priorità più bassa possibile.

Tutte le regole predefinite in una nuova policy firewall utilizzano intenzionalmente priorità basse (numeri di priorità elevati) in modo da poterle sostituire creando regole con priorità più elevate. Ad eccezione delle regole Vai al successivo con la priorità più bassa possibile, puoi anche personalizzare le regole predefinite.

Regole di salto alla successiva per gli intervalli IPv4 privati

  • Una regola di uscita con intervalli IPv4 di destinazione 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, priorità 1000 e azione goto_next.

  • Una regola di traffico in entrata con intervalli IPv4 di origine 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, priorità 1001 e azione goto_next.

Regole di negazione predefinite di Google Threat Intelligence

  • Una regola di ingresso con elenco di origine Google Threat Intelligence iplist-tor-exit-nodes, priorità 1002 e azione deny.

  • Una regola di ingresso con elenco di origine Google Threat Intelligence iplist-known-malicious-ips, priorità 1003 e azione deny.

  • Una regola di uscita con elenco di destinazione Google Threat Intelligence iplist-known-malicious-ips, priorità 1004 e azione deny.

Per saperne di più su Google Threat Intelligence, consulta Google Threat Intelligence per le regole dei criteri firewall.

Regole di negazione della geolocalizzazione predefinite

  • Una regola di ingresso con localizzazioni di origine corrispondenti CU,IR, KP, SY, XC, e XD, priorità 1005 e azione deny.

Per saperne di più sulle geolocalizzazioni, consulta Oggetti di geolocalizzazione.

Regole Vai al successivo con la priorità più bassa possibile

Non puoi modificare o eliminare le seguenti regole:

  • Una regola di traffico in uscita con intervallo IPv6 di destinazione ::/0, priorità 2147483644 e azione goto_next.

  • Una regola di traffico in entrata con intervallo IPv6 di origine ::/0, priorità 2147483645 e azione goto_next.

  • Una regola di traffico in uscita con intervallo IPv4 di destinazione 0.0.0.0/0, priorità 2147483646 e azione goto_next.

  • Una regola di traffico in entrata con intervallo IPv4 di origine 0.0.0.0/0, priorità 2147483647 e azione goto_next.

Passaggi successivi