VPC-Firewallregeln, die Netzwerk-Tags und Dienstkonten nutzen, migrieren

Um die Verwaltung zu zentralisieren und Sicherheitsrichtlinien in Ihren VPC-Netzwerken (Virtual Private Cloud) einheitlich durchzusetzen, migrieren Sie Ihre VPC-Firewallregeln, die Netzwerk-Tags und Quell-Dienstkonten verwenden, zu einer globalen Netzwerk-Firewallrichtlinie. So können Sie die Angriffsfläche verringern, Ihre Firewallkonfigurationen optimieren und Sicherheitsgrenzen verschärfen, indem Sie zu moderate Regeln identifizieren und beheben.

Dieses Dokument richtet sich an Netzwerkadministratoren, Sicherheitsexperten und Sicherheitsarchitekten, die Netzwerksicherheitsrichtlinien konfigurieren und verwalten.

Informationen zum Migrieren von Regeln, die keine Netzwerk-Tags oder Dienstkonten verwenden, finden Sie unter VPC-Firewallregeln migrieren, die weder Netzwerk-Tags noch Dienstkonten verwenden.

Führen Sie die folgenden Aufgaben aus, um die Migration abzuschließen:

  1. Umgebung bewerten
  2. Vorhandene Netzwerk-Tags und Dienstkonten auflisten
  3. Tags für jedes Netzwerk-Tag und jedes Quelldienstkonto erstellen
  4. Netzwerk-Tags und Dienstkonten den von Ihnen erstellten Tags zuordnen
  5. Tags an VM-Instanzen binden
  6. VPC-Firewallregeln zu einer globalen Netzwerk-Firewallrichtlinie migrieren
  7. Neue Netzwerk-Firewallrichtlinie prüfen
  8. Nach der Migration erforderliche Aufgaben ausführen

Hinweis

  1. Melden Sie sich in Ihrem Google Cloud -Konto an. Wenn Sie mit Google Cloudnoch nicht vertraut sind, erstellen Sie ein Konto, um die Leistungsfähigkeit unserer Produkte in der Praxis sehen und bewerten zu können. Neukunden erhalten außerdem ein Guthaben von 300 $, um Arbeitslasten auszuführen, zu testen und bereitzustellen.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Enable the Compute Engine API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

  5. Installieren Sie die Google Cloud CLI.

  6. Wenn Sie einen externen Identitätsanbieter (IdP) verwenden, müssen Sie sich zuerst mit Ihrer föderierten Identität in der gcloud CLI anmelden.

  7. Führen Sie den folgenden Befehl aus, um die gcloud CLI zu initialisieren: 

    gcloud init

  8. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  9. Verify that billing is enabled for your Google Cloud project.

  10. Enable the Compute Engine API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

  11. Installieren Sie die Google Cloud CLI.

  12. Wenn Sie einen externen Identitätsanbieter (IdP) verwenden, müssen Sie sich zuerst mit Ihrer föderierten Identität in der gcloud CLI anmelden.

  13. Führen Sie den folgenden Befehl aus, um die gcloud CLI zu initialisieren: 

    gcloud init
  14. Sie benötigen die Rolle „Compute Security Admin“ (roles/compute.securityAdmin).

Umgebung bewerten

Bevor Sie Ihre VPC-Firewallregeln zu einer globalen Netzwerk-Firewallrichtlinie migrieren, sollten Sie Ihre vorhandene Umgebung sowie Ihre Identity and Access Management (IAM)-Rollen und -Berechtigungen prüfen:

  1. Ermitteln Sie die Anzahl der VPC-Firewallregeln in Ihrem VPC-Netzwerk.
  2. Notieren Sie sich die Prioritäten für jede einzelne VPC-Firewallregel.
  3. Prüfen Sie, ob Sie die erforderlichen IAM-Rollen und ‑Berechtigungen zum Erstellen, Zuordnen, Ändern und Aufrufen globaler Netzwerk-Firewallrichtlinien haben.

  4. Prüfen Sie, ob Sie die erforderlichen IAM-Rollen und -Berechtigungen zum Erstellen, Aktualisieren und Löschen sicherer Tagdefinitionen haben.

    In der folgenden Tabelle sind die verschiedenen Rollen zusammengefasst, die zum Erstellen und Verwalten von Tags erforderlich sind:

    Rollenname Ausgeführte Aufgaben
    Rolle „Tag-Administrator“ (roles/resourcemanager.tagAdmin) Tagdefinitionen erstellen, aktualisieren und löschen. Weitere Informationen finden Sie unter Tags verwalten.
    Rolle „Tag-Betrachter“ (roles/resourcemanager.tagViewer) Tag-Definitionen und Tags aufrufen, die an Ressourcen angehängt sind.
    Rolle „Tag-Nutzer“ (roles/resourcemanager.tagUser) An Ressourcen angehängt Tags hinzufügen und entfernen.

Vorhandene Netzwerktags und Dienstkonten auflisten

Stellen Sie fest, ob Ihre VPC-Firewallregeln Netzwerk-Tags oder Dienstkonten verwenden, und erstellen Sie eine JSON-Datei, um die Details der vorhandenen Netzwerk-Tags und Dienstkonten zu speichern.

Verwenden Sie den compute firewall-rules migrate-Befehl mit dem Flag --export-tag-mapping, um die Netzwerk-Tags und Dienstkonten in Ihrem Netzwerk in eine JSON-Zuordnungsdatei zu exportieren.

gcloud beta compute firewall-rules migrate \
    --source-network=NETWORK_NAME \
    --export-tag-mapping \
    --tag-mapping-file=TAG_MAPPING_FILE

Ersetzen Sie dabei Folgendes:

  • NETWORK_NAME: Name Ihres VPC-Netzwerks, das die VPC-Firewallregeln enthält, die Sie migrieren möchten.
  • TAG_MAPPING_FILE: Name der JSON-Datei für die Zuordnung.

Wenn Ihre VPC-Firewallregeln nur Dienstkonten enthalten, enthält die generierte JSON-Datei auch nur Dienstkonten. Wenn Ihre VPC-Firewallregeln nur Netzwerk-Tags enthalten, enthält die generierte JSON-Datei auch nur Netzwerk-Tags. Dienstkonten haben das Präfix sa, Netzwerktags nicht.

Die folgende generierte JSON-Datei enthält beispielsweise ein Netzwerk-Tag sql-server und ein Dienstkonto example@example.com.

{"sql-server": null, "sa:example@example.com": null}

Tags erstellen

Anhand der in der Zuordnungsdatei aufgeführten Netzwerk-Tags und Quell-Dienstkonten müssen Sie die entsprechenden sicheren Tags in Ihrem Netzwerk erstellen.

Die neuen sicheren Tags ersetzen die Netzwerk-Tags und Dienstkonten und bewahren die ursprüngliche Netzwerkkonfiguration nach der Migration bei.

Als Hauptkonto mit der Rolle „Tag-Administrator“ erstellen Sie für jedes Netzwerk-Tag und jedes Dienstkonto das entsprechende sichere Tag-Schlüssel/Wert-Paar.

gcloud resource-manager tags keys create TAG_KEY \
    --parent organizations/ORGANIZATION_ID \
    --purpose GCE_FIREWALL \
    --purpose-data network=PROJECT_ID/NETWORK_NAME

gcloud resource-manager tags values create TAG_VALUE \
    --parent ORGANIZATION_ID/TAG_KEY

Ersetzen Sie dabei Folgendes:

  • TAG_KEY: Name des Tag-Schlüssels.
  • ORGANIZATION_ID: ID Ihrer Organisation.
  • PROJECT_ID: die Projekt-ID.
  • NETWORK_NAME: der Name des VPC-Netzwerks.
  • TAG_VALUE: der Wert, der dem Tag-Schlüssel zugewiesen werden soll

Wenn Sie beispielsweise eine VPC-Firewallregel mit dem Netzwerk-Tag sql-server haben, erstellen Sie ein entsprechendes Schlüssel/Wert-Paar für das sichere Tag mit sql-server:production.

gcloud resource-manager tags keys create sql-server \
    --parent organizations/123456 \
    --purpose GCE_FIREWALL \
    --purpose-data network=test-project/test-network

gcloud resource-manager tags values create production \
   --parent 123456/sql-server

Netzwerk-Tags und Dienstkonten Tags zuordnen

Nachdem Sie IAM-gesteuerte sichere Tags für alle von Ihren VPC-Firewallregeln verwendeten Netzwerk-Tags und Dienstkonten erstellt haben, müssen Sie die Tags den entsprechenden Netzwerk-Tags und Dienstkonten in der Zuordnungs-JSON-Datei zuordnen.

Bearbeiten Sie die JSON-Datei, um die Netzwerk-Tags und Dienstkonten den entsprechenden sicheren Tags zuzuordnen.

{"sql-server": "tagValues/yyyyy", "sa:example@example.com": "tagValues/zzzzz"}

Die folgende JSON-Datei ordnet beispielsweise das Netzwerk-Tag sql-server zum Tag-Wert des Schlüsselssql-server und das Dienstkontoexample@example.com zum Tag-Wert des Schlüsselsexample@example.com zu:

{"sql-server": "tagValues/production", "sa:example@example.com": "tagValues/example"}

Tags an VMs binden

Binden Sie die neu erstellten sicheren Tags anhand der JSON-Datei für die Tag-Zuordnung an die VMs, an die die vorhandenen Netzwerk-Tags angehängt sind:

  1. Gehen Sie als Hauptkonto mit der Rolle „Tag-Administrator“ so vor:

    1. Beachten Sie die erforderlichen Berechtigungen, um sichere Tags an Google Cloud -Ressourcen anzuhängen.
    2. Weisen Sie dem Hauptkonto, das die sicheren Tags verwendet und die Tags an VMs bindet, die Rolle „Tag-Nutzer“ zu.

  2. Verwenden Sie als Hauptkonto mit der Rolle „Tag-Nutzer“ den compute firewall-rules migrate-Befehl mit dem Flag --bind-tags-to-instances:

    gcloud beta compute firewall-rules migrate \
   --source-network=NETWORK_NAME \
   --bind-tags-to-instances \
   --tag-mapping-file=TAG_MAPPING_FILE

    Ersetzen Sie dabei Folgendes:

    • NETWORK_NAME: der Name des VPC-Netzwerks.
    • TAG_MAPPING_FILE: Name der JSON-Datei für die Zuordnung.

VPC-Firewallregeln zu einer globalen Netzwerk-Firewallrichtlinie migrieren

Migrieren Sie Ihre VPC-Firewallregeln zu einer globalen Netzwerk-Firewallrichtlinie. Führen Sie den Befehl compute-firewall-rules migrate aus.

gcloud beta compute firewall-rules migrate \
    --source-network=NETWORK_NAME \
    --target-firewall-policy=POLICY_NAME \
    --tag-mapping-file=TAG_MAPPING_FILE

Ersetzen Sie dabei Folgendes:

  • NETWORK_NAME: Name Ihres VPC-Netzwerks, das die VPC-Firewallregeln enthält, die Sie migrieren möchten.
  • POLICY_NAME: Name der globalen Firewallrichtlinie für Netzwerke, die während der Migration erstellt werden soll.

Firewallregeln von der Migration ausschließen

Verwenden Sie den Befehl gcloud beta compute firewall-rules migrate mit dem Flag --exclusion-patterns-file, um bestimmte Firewallregeln von der Migration auszuschließen:

gcloud beta compute firewall-rules migrate \
    --source-network=NETWORK_NAME \
    --target-firewall-policy=POLICY_NAME \
    --exclusion-patterns-file=EXCLUSION_PATTERNS_FILE

Ersetzen Sie Folgendes:

  • NETWORK_NAME: Name Ihres VPC-Netzwerk, das die VPC-Firewallregeln enthält, die Sie migrieren möchten.
  • POLICY_NAME: Name der globalen Richtlinie für Netzwerkfirewalls, die während der Migration erstellt werden soll.

  • EXCLUSION_PATTERNS_FILE: der Name der Datei, die reguläre Ausdrücke enthält, die VPC-Firewall-Benennungsmuster definieren, die von der Migration ausgeschlossen werden sollen. Geben Sie den vollständigen Pfad der Datei an. Firewallregeln, die den angegebenen Mustern entsprechen, werden übersprungen.

    Beachten Sie beim Definieren der Ausschlussmuster Folgendes:

    • Jeder reguläre Ausdruck muss in einer eigenen Zeile stehen und ein einzelnes Firewall-Namensmuster darstellen.
    • Die regulären Ausdrücke dürfen keine führenden oder nachgestellten Leerzeichen enthalten.

Ausgeschlossene Firewallregeln ansehen

Basierend auf den ausgeschlossenen Benennungsmustern für Firewallregeln werden einige Firewallregeln, z. B. Google Kubernetes Engine-Firewallregeln (GKE), nicht vom Migrationstool migriert. Verwenden Sie den Befehl gcloud beta compute firewall-rules migrate mit den Flags --export-exclusion-patterns und --exclusion-patterns-file, um die Liste der ausgeschlossenen Benennungsmuster für Firewallregeln zu exportieren.

gcloud beta compute firewall-rules migrate \
    --source-network=NETWORK_NAME \
    --target-firewall-policy=POLICY_NAME \
    --exclusion-patterns-file=EXCLUSION_PATTERNS_FILE \
    --export-exclusion-patterns

Ersetzen Sie Folgendes:

  • NETWORK_NAME: Name Ihres VPC-Netzwerk, das die VPC-Firewallregeln enthält, die Sie migrieren möchten.
  • POLICY_NAME: Name der globalen Richtlinie für Netzwerkfirewalls, die während der Migration erstellt werden soll.

  • EXCLUSION_PATTERNS_FILE: Der Pfad der Datei, in die die folgenden ausgeschlossenen Benennungsmuster für Firewallregeln exportiert werden.

    gke-(.+)-ipv6-all
gke-(.+)-(.+)-((master)|(vms)|(all)|(inkubelet)|(exkubelet)|(mcsd))
k8s-fw-(l7-)?(.+)
k8s-(.+)-((node)|(http)|(node-http))-hc
(.+)-hc
k8s2-(.+)-(.+)-(.+)-(.+)(-fw)?
k8s2-(.+)-l4-shared-hc-fw
gke((gw)|(mcg))1-l7-(.+)-(.+)

Wenn Sie ausgeschlossene Firewallregeln migrieren möchten, die einem bestimmten Muster entsprechen, entfernen Sie das Muster aus der exportierten Liste und führen Sie den Befehl gcloud beta compute firewall-rules migrate mit dem Flag --exclusion-patterns-file aus.

Migration erzwingen und gleichzeitig die Reihenfolge der Auswertung beibehalten

Wenn während der Migration die Auswertungsreihenfolge einer ausgeschlossenen Firewallregel zwischen die Auswertungsreihenfolgen der vom Nutzer angegebenen Firewallregeln fällt, schlägt die Migration fehl.Das liegt daran, dass die ausgeschlossenen Firewallregeln nicht migriert werden und das Migrationstool die ursprüngliche Auswertungsreihenfolge der nutzerdefinierten Regeln in der neuen Netzwerk-Firewallrichtlinie nicht beibehalten kann.

Wenn Ihre Firewallregeln beispielsweise die folgenden Prioritäten haben, schlägt die Migration fehl.

  • Eine vom Nutzer angegebene Regel mit der Priorität 100
  • Eine ausgeschlossene Regel mit der Priorität 200
  • Eine vom Nutzer angegebene Regel mit der Priorität 300

Wenn Sie erzwingen möchten, dass das Migrationstool die vom Nutzer angegebenen Regeln migriert, die ursprüngliche Reihenfolge der Auswertung beibehält und ausgeschlossene Firewallregeln ignoriert, verwenden Sie den Befehl gcloud beta compute firewall-rules migrate mit dem Flag --force.

gcloud beta compute firewall-rules migrate \
    --source-network=NETWORK_NAME \
    --target-firewall-policy=POLICY_NAME \
    --force

Ersetzen Sie Folgendes:

  • NETWORK_NAME: Name Ihres VPC-Netzwerk, das die VPC-Firewallregeln enthält, die Sie migrieren möchten.
  • POLICY_NAME: Name der globalen Richtlinie für Netzwerkfirewalls, die während der Migration erstellt werden soll.

Neue globale Firewallrichtlinie für Netzwerke prüfen

Bevor Sie die neu erstellte Richtlinie einem VPC-Netzwerk zuordnen, empfiehlt Google, dass Sie die Richtlinie prüfen, um sicherzustellen, dass die Migration korrekt abgeschlossen wurde.

Gehen Sie so vor:

  • Die Konfiguration der Firewallrichtlinienregeln ist korrekt und die folgenden Regelkomponenten wurden für die einzelnen Regeln korrekt migriert:

    • Relative Priorität
    • Traffic-Richtung
    • Aktion bei Übereinstimmung
    • Log-Einstellungen
    • Zielparameter
    • Quellparameter (für Eingangsregeln)
    • Zielparameter (für Ausgangsregeln)
    • Einschränkungen für Protokolle und Ports

  • Prüfen Sie, ob die sicheren Tags an die richtige VM angehängt sind. Führen Sie den Befehl resource-manager tags bindings list aus.

    gcloud resource-manager tags bindings list \
    --location=ZONE_ID \
    --parent //compute.googleapis.com/projects/PROJECT_ID/zones/ZONE_ID/instances/INSTANCE_NAME \
    --effective

    Ersetzen Sie dabei Folgendes:

    • ZONE_ID: die Zone Ihrer VM.
    • PROJECT_ID: die Projekt-ID.
    • INSTANCE_NAME ist der Name Ihrer VM.

Nach der Migration erforderliche Aufgaben

Um die neue globale Netzwerk-Firewallrichtlinie zu aktivieren und zu verwenden, müssen Sie die Aufgaben nach der Migration ausführen. Weitere Informationen finden Sie unter Aufgaben nach der Migration.

Nächste Schritte