Esegui la migrazione delle regole firewall VPC che non utilizzano tag di rete e account di servizio

Per semplificare l'overhead operativo e centralizzare la gestione, puoi eseguire la migrazione delle regole firewall VPC (Virtual Private Cloud) esistenti a una policy del firewall di rete globale. Questo documento descrive come completare questa migrazione per le regole che non utilizzano tag di rete o service account.

Questo documento è destinato agli amministratori di rete e agli esperti di sicurezza che eseguono la migrazione delle regole firewall VPC che utilizzano tag di rete e account di servizio.

Per completare questa migrazione, esegui le seguenti attività:

  1. Valuta il tuo ambiente.
  2. Esegui la migrazione delle regole firewall VPC.
  3. Esamina la nuova policy del firewall di rete globale.
  4. Completa le attività post-migrazione.

Prima di iniziare

  1. Accedi al tuo account Google Cloud . Se non conosci Google Cloud, crea un account per valutare le prestazioni dei nostri prodotti in scenari reali. I nuovi clienti ricevono anche 300 $di crediti senza costi per l'esecuzione, il test e il deployment dei carichi di lavoro.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Enable the Compute Engine API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

  5. Installa Google Cloud CLI.

  6. Se utilizzi un provider di identità (IdP) esterno, devi prima accedere a gcloud CLI con la tua identità federata.

  7. Per inizializzare gcloud CLI, esegui questo comando: 

    gcloud init

  8. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  9. Verify that billing is enabled for your Google Cloud project.

  10. Enable the Compute Engine API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

  11. Installa Google Cloud CLI.

  12. Se utilizzi un provider di identità (IdP) esterno, devi prima accedere a gcloud CLI con la tua identità federata.

  13. Per inizializzare gcloud CLI, esegui questo comando: 

    gcloud init
  14. Assicurati di disporre del ruolo Compute Security Admin (roles/compute.securityAdmin).

Valutare l'ambiente

  1. Identifica il numero di regole firewall VPC esistenti nella tua rete.
  2. Prendi nota delle priorità associate a ogni regola firewall VPC.
  3. Assicurati di disporre dei ruoli e delle autorizzazioni Identity and Access Management (IAM) necessari per creare, associare, modificare e visualizzare le policy del firewall di rete globali.

Esegui la migrazione delle regole firewall VPC

Dopo aver valutato l'ambiente, esegui la migrazione delle regole firewall VPC a una policy del firewall di rete globale utilizzando il comando compute firewall-rules migrate.

gcloud beta compute firewall-rules migrate \
    --source-network=NETWORK_NAME \
    --target-firewall-policy=POLICY_NAME

Sostituisci quanto segue:

  • NETWORK_NAME: il nome della tua rete VPC contenente le regole firewall VPC che vuoi migrare.
  • POLICY_NAME: il nome della policy del firewall di rete globale da creare durante la migrazione.

Escludi le regole firewall dalla migrazione

Per escludere regole firewall specifiche dalla migrazione, utilizza il comando gcloud beta compute firewall-rules migrate con il flag --exclusion-patterns-file:

gcloud beta compute firewall-rules migrate \
    --source-network=NETWORK_NAME \
    --target-firewall-policy=POLICY_NAME \
    --exclusion-patterns-file=EXCLUSION_PATTERNS_FILE

Sostituisci quanto segue:

  • NETWORK_NAME: il nome della tua rete VPC che contiene le regole firewall VPC che vuoi migrare.
  • POLICY_NAME: il nome della policy del firewall di rete globale da creare durante la migrazione.

  • EXCLUSION_PATTERNS_FILE: il nome del file che contiene le espressioni regolari che definiscono i pattern di denominazione del firewall VPC da escludere dalla migrazione. Assicurati di specificare il percorso completo del file. Le regole firewall che corrispondono ai pattern specificati vengono ignorate.

    Quando definisci i pattern di esclusione, tieni presente quanto segue:

    • Ogni espressione regolare deve trovarsi su una riga separata e rappresentare un singolo pattern di denominazione del firewall.
    • Le espressioni regolari non contengono spazi iniziali o finali.

Visualizzare le regole firewall escluse

In base ai pattern di denominazione delle regole firewall escluse, lo strumento di migrazione non migra alcune regole firewall, ad esempio le regole firewall di Google Kubernetes Engine (GKE). Per esportare l'elenco dei pattern di denominazione delle regole firewall esclusi, utilizza il comandogcloud beta compute firewall-rules migrate con i flag --export-exclusion-patterns e --exclusion-patterns-file.

gcloud beta compute firewall-rules migrate \
    --source-network=NETWORK_NAME \
    --target-firewall-policy=POLICY_NAME \
    --exclusion-patterns-file=EXCLUSION_PATTERNS_FILE \
    --export-exclusion-patterns

Sostituisci quanto segue:

  • NETWORK_NAME: il nome della tua rete VPC che contiene le regole firewall VPC che vuoi migrare.
  • POLICY_NAME: il nome della policy del firewall di rete globale da creare durante la migrazione.

  • EXCLUSION_PATTERNS_FILE: il percorso del file in cui vengono esportati i seguenti pattern di denominazione delle regole firewall escluse.

    gke-(.+)-ipv6-all
gke-(.+)-(.+)-((master)|(vms)|(all)|(inkubelet)|(exkubelet)|(mcsd))
k8s-fw-(l7-)?(.+)
k8s-(.+)-((node)|(http)|(node-http))-hc
(.+)-hc
k8s2-(.+)-(.+)-(.+)-(.+)(-fw)?
k8s2-(.+)-l4-shared-hc-fw
gke((gw)|(mcg))1-l7-(.+)-(.+)

Per eseguire la migrazione delle regole firewall escluse che corrispondono a un pattern specifico, rimuovi il pattern dall'elenco esportato ed esegui il comando gcloud beta compute firewall-rules migrate con il flag --exclusion-patterns-file.

Forzare la migrazione mantenendo l'ordine di valutazione

Durante la migrazione, se l'ordine di valutazione di una regola firewall esclusa rientra tra gli ordini di valutazione delle regole firewall specificate dall'utente, la migrazione non va a buon fine.Questo accade perché le regole firewall escluse non vengono migrate e lo strumento di migrazione non può conservare l'ordine di valutazione originale delle regole definite dall'utente nella nuova policy del firewall di rete.

Ad esempio, se le regole firewall hanno le seguenti priorità, la migrazione non va a buon fine.

  • Una regola specificata dall'utente con priorità 100
  • Una regola esclusa con priorità 200
  • Una regola specificata dall'utente con priorità 300

Per forzare lo strumento di migrazione a eseguire la migrazione delle regole specificate dall'utente preservando l'ordine di valutazione originale e ignorando le regole del firewall escluse, utilizza il comando gcloud beta compute firewall-rules migrate con il flag --force.

gcloud beta compute firewall-rules migrate \
    --source-network=NETWORK_NAME \
    --target-firewall-policy=POLICY_NAME \
    --force

Sostituisci quanto segue:

  • NETWORK_NAME: il nome della tua rete VPC che contiene le regole firewall VPC che vuoi migrare.
  • POLICY_NAME: il nome della policy del firewall di rete globale da creare durante la migrazione.

Esamina la nuova policy del firewall di rete globale

Prima di collegare la nuova policy del firewall di rete globale a una rete VPC, Google consiglia di esaminarla per assicurarsi che la procedura di migrazione sia stata completata correttamente.

Verifica la configurazione delle policy del firewall e controlla se i seguenti componenti delle regole sono stati migrati correttamente per ogni regola:

  • Priorità relativa
  • Direzione del traffico
  • Azione in caso di corrispondenza
  • Impostazioni di log
  • Parametri target
  • Parametri di origine (per le regole in entrata)
  • Parametri di destinazione (per le regole in uscita)
  • Vincoli di protocollo e porta

Per saperne di più sui componenti di una regola della policy del firewall, consulta Componenti delle regole della policy del firewall.

Attività post-migrazione

Per attivare e utilizzare la policy del firewall di rete globale, devi completare le attività post-migrazione descritte nelle sezioni seguenti.

Associa la policy del firewall di rete globale alla tua rete

Lo strumento di migrazione crea la policy del firewall di rete globale in base alle regole firewall VPC esistenti. Devi associare manualmente la policy alla rete VPC richiesta per attivare le regole della policy per tutte le VM all'interno di quella rete. Per associare la policy del firewall di rete globale, utilizza il comando compute network-firewall-policies associations create.

gcloud compute network-firewall-policies associations create \
    --firewall-policy=POLICY_NAME \
    --network=NETWORK_NAME \
    --global-firewall-policy
    --replace-association-on-target

Sostituisci quanto segue:

  • POLICY_NAME: il nome della policy di rete globale che vuoi associare alla tua rete VPC.
  • NETWORK_NAME: il nome della tua rete VPC.

Per saperne di più sull'associazione di una policy del firewall di rete globale a una rete VPC, consulta Associa una policy alla rete.

Modificare l'ordine di valutazione delle norme e delle regole

Per impostazione predefinita, Cloud Next Generation Firewall valuta le regole firewall VPC prima di valutare una policy del firewall di rete globale. Per assicurarti che le policy globali del firewall di rete abbiano la precedenza sulle regole firewall VPC, utilizza il comando compute networks update per modificare l'ordine di valutazione delle regole.

gcloud compute networks update NETWORK-NAME \
    --network-firewall-policy-enforcement-order=BEFORE_CLASSIC_FIREWALL

Sostituisci NETWORK_NAME con il nome della tua rete VPC.

Per verificare se la policy firewall di rete globale viene valutata prima delle regole firewall VPC, utilizza il comando compute networks get-effective-firewalls.

gcloud compute networks get-effective-firewalls NETWORK_NAME

Nell'output del comando precedente, se TYPE: network-firewall-policy viene visualizzato prima di TYPE: network-firewall, viene valutato per primo il criterio firewall di rete globale.

Per saperne di più sull'ordine di valutazione delle norme e delle regole in evoluzione, consulta Modificare l'ordine di valutazione delle norme e delle regole.

Attiva la registrazione delle regole firewall

Il logging ti aiuta a determinare se una regola firewall funziona come previsto. Lo strumento di migrazione conserva lo stato di logging delle regole firewall VPC esistenti quando crea la nuova policy del firewall di rete globale. Assicurati che la registrazione sia abilitata per le regole all'interno della policy del firewall di rete globale. Per attivare il logging per le regole delle policy del firewall, utilizza il comando compute network-firewall-policies rules update.

gcloud compute network-firewall-policies rules update PRIORITY \
    --firewall-policy=POLICY_NAME \
    --enable-logging
    --global-firewall-policy

Sostituisci quanto segue:

  • PRIORITY: la priorità della regola da aggiornare.
  • POLICY_NAME: il nome della policy del firewall di rete globale di cui vuoi aggiornare la regola.

Testa la policy del firewall di rete globale

Prima di eliminare le regole firewall VPC, testa i criteri firewall di rete globali per verificare se le regole dei criteri funzionano in base alle tue aspettative per il traffico che corrisponde alle regole.

Segui questi passaggi:

  1. Assicurati di aver abilitato il logging nelle regole firewall VPC e nella policy del firewall di rete globale.
  2. Modifica l'ordine di valutazione delle regole in modo che la policy del firewall di rete globale venga valutata prima delle regole firewall VPC.
  3. Monitora i log per verificare che la policy del firewall di rete globale abbia conteggi di hit e che le regole firewall VPC siano in shadowing.

Elimina le regole firewall VPC dalla tua rete

Google consiglia di disattivare prima le regole firewall VPC prima di eliminarle completamente. Puoi ripristinare queste regole se la policy del firewall di rete globale creata dallo strumento di migrazione non fornisce i risultati previsti.

Per disattivare una regola firewall VPC, utilizza il comando compute firewall-rules update.

gcloud compute firewall-rules update RULE_NAME --disabled

Sostituisci RULE_NAME con il nome della regola firewall VPC da disattivare.

Per eliminare una regola firewall VPC, utilizza il comando compute firewall-rules delete.

gcloud compute firewall-rules delete RULE_NAME

Passaggi successivi