Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

סקירה כללית על העברת כללי חומת אש ב-VPC

כללי חומת האש של הענן הווירטואלי הפרטי (VPC) חלים על רשת VPC אחת. כדי לשלוט בצורה מדויקת יותר בתעבורה שנשלחת או מתקבלת על ידי מופעי המכונות הווירטואליות (VM) ברשת ה-VPC, אפשר להשתמש בתגי רשת או בחשבונות שירות בכללי חומת האש של ה-VPC. עם זאת, לכללי חומת האש של ה-VPC יש את המגבלות הבאות:

אין אפשרות לעריכה בקבוצה: כללי חומת האש של VPC מוחלים על בסיס כל כלל בנפרד, ולכן העריכה שלהם יכולה להיות לא יעילה.
שליטה מוגבלת בניהול הזהויות והרשאות הגישה (IAM): תגי רשת לא מספקים את אמצעי הבקרה החזקים של IAM שנדרשים לפילוח קפדני של התנועה.

כדי לפתור את הבעיות שקשורות למגבלות של כללי חומת האש ב-VPC,‏ Cloud Next Generation Firewall תומך במדיניות גלובלית ואזורית של חומת אש ברשת. אתם יכולים להגדיר ולהחיל מדיניות של חומת אש ברשת על כמה רשתות VPC בכמה אזורים. בנוסף, המדיניות הזו תומכת בתגים מאובטחים שמנוהלים על ידי IAM, ומאפשרים לכם לאכוף שליטה גרנולרית ברמת המכונה הווירטואלית כדי לבצע מיקרו-פילוח בטוח ואמין של כל סוגי התנועה ברשת.

מידע נוסף זמין במאמר היתרונות של העברת כללים של חומת אש ב-VPC למדיניות חומת אש ברשת.

כדי לשלוט בגישה לרשת ה-VPC, אתם יכולים להעביר את הכללים הקיימים של חומת האש ב-VPC למדיניות גלובלית של חומת אש ברשת, כדי ליהנות מהיכולות של מדיניות חומת האש ברשת.

היתרונות של העברת כללי חומת אש של VPC למדיניות חומת אש ברשת

מדיניות חומת אש ברשת מספקת חוויה עקבית של חומת אש בכלGoogle Cloud היררכיית המשאבים, ומציעה יתרונות תפעוליים רבים בהשוואה לכללי חומת אש של VPC.

מספקת אבטחה פרטנית ובקרת גישה באמצעות תגים שמנוהלים על ידי IAM. Google Cloud מאפשרת לכם לצרף תגים נפרדים לכל ממשק רשת של מכונה וירטואלית. על סמך התגים, אתם יכולים להגדיר את כללי המדיניות של חומת האש כדי להגביל גישה לא מורשית למשאבים ולתנועה של עומסי העבודה. כך אתם מקבלים רמת שליטה גבוהה יותר במשאבים, מה שעוזר להבטיח סביבת שירות עצמי עם הרשאות מינימליות לכל קבוצת משתמשים או אפליקציה. כללי חומת האש של VPC משתמשים בתגים של רשת, שלא תומכים בבקרת גישה של IAM.
ניהול כללים פשוט יותר. מדיניות חומת אש ברשת תומכת בעריכה של קבוצות, כך שאפשר לערוך כמה כללים במדיניות אחת. כללי חומת אש ב-VPC פועלים רק ברמת הכלל.
מקל על הפעולות. כללי מדיניות של חומת אש ברשת תומכים בשימוש בתכונות כמו אובייקטים של שם דומיין שמוגדר במלואו (FQDN), אובייקטים של מיקום גיאוגרפי, זיהוי איומים, מניעת חדירות, סינון כתובות URL וקבוצות כתובות. כללי חומת אש ב-VPC לא תומכים בתכונות המתקדמות האלה.
תמיכה במיקום גמיש של נתונים. אפשר להחיל מדיניות של חומת אש ברשת על כמה אזורים או על אזור אחד ברשת. אפשר להחיל כללים של חומת אש ב-VPC רק באופן גלובלי.

כלי להעברת כללים של חומת אש ב-VPC

כלי ההעברה של כללי חומת אש ב-VPC יכול להעביר באופן אוטומטי כללי חומת אש ב-VPC למדיניות חומת אש בין רשתות גלובלית. הכלי הוא כלי שירות של שורת הפקודה שאפשר לגשת אליו באמצעות Google Cloud CLI.

מפרטים

כלי ההעברה יוצר מדיניות גלובלית של חומת אש ברשת, ממיר את הכללים הקיימים של חומת האש ב-VPC לכללים של מדיניות חומת האש ומוסיף את הכללים החדשים למדיניות.
אם לשני כללים או יותר של חומת אש ב-VPC יש אותה עדיפות, כלי ההעברה מעדכן אוטומטית את העדיפויות של הכללים כדי למנוע חפיפה. לכלל עם פעולת deny יש עדיפות גבוהה יותר מאשר לכלל עם פעולת allow. במהלך עדכון העדיפויות, הכלי שומר על הרצף היחסי של כללי חומת האש המקוריים ב-VPC.

לדוגמה, אם יש לכם ארבעה כללים לחומת אש ב-VPC עם עדיפות של 1000 וכלל חמישי עם עדיפות של 2000, כלי ההעברה מקצה מספר עדיפות ייחודי לארבעת הכללים הראשונים לפי הרצף – 1000, 1001, 1002 ו-1003. לכלל החמישי עם העדיפות 2000 מוקצית עדיפות חדשה וייחודית של 1004. כך מוודאים שהעדיפויות החדשות של ארבעת הכללים הראשונים גבוהות יותר מהעדיפות של כל הכללים שהעדיפות שלהם נמוכה מ-1000.

הערה: לפני שמצרפים את מדיניות חומת האש הגלובלית החדשה לרשת VPC, כדאי לבדוק את העדיפויות החדשות ולוודא שהעדיפויות שנוצרו באופן אוטומטי תואמות להגדרת רשת ה-VPC המקורית.
אם כללי חומת האש של ה-VPC מכילים תלויות, כמו תגי רשת או חשבונות שירות, כלי ההעברה יכול להשתמש בתגים שמנוהלים על ידי IAM, שמשמשים כתחליף לתגי הרשת ולחשבונות השירות האלה.
אם רשת ה-VPC מכילה כללים של חומת אש ב-VPC ומדיניות חומת אש משויכת ברשת, כלי ההעברה מעביר את הכללים התואמים של חומת האש ב-VPC, וגם את הכללים של מדיניות חומת האש ברשת, למדיניות החדשה של חומת האש הגלובלית ברשת.
כלי ההעברה שומר על הגדרות היומן של כללי חומת האש הקיימים ב-VPC. אם ההתחברות מופעלת בכלל חומת אש של VPC, כלי ההעברה ישמור אותה. אם הרישום ביומן מושבת, כלי ההעברה ישאיר אותו מושבת.
כלי ההעברה יוצר רק את מדיניות חומת האש בין רשתות גלובליות. הכלי לא מוחק כללים קיימים של חומת אש ב-VPC ולא משייך את מדיניות חומת האש החדשה בין רשתות גלובליות לרשת ה-VPC הנדרשת. צריך לשייך ידנית את מדיניות חומת האש הגלובלית לרשת ה-VPC הנדרשת, ואז להסיר את השיוך בין כללי חומת האש של ה-VPC לבין רשת ה-VPC.
אחרי שמקשרים את מדיניות חומת האש בין רשתות גלובליות לרשת ה-VPC הנדרשת, אפשר להשבית את כללי חומת האש של ה-VPC אם כללי המדיניות במדיניות חומת האש בין רשתות גלובליות פועלים כמצופה.

במקרה הצורך, אפשר לשייך את מדיניות חומת האש הגלובלית החדשה וגם את כללי חומת האש של ה-VPC לאותה רשת VPC, כי הכללים חלים בהתאם לסדר ההערכה של המדיניות והכללים. עם זאת, מומלץ להשבית את כללי חומת האש של ה-VPC.

תרחישי העברה

כדאי לעיין בתרחישים הבאים כשמעבירים את הכללים של חומת האש ב-VPC למדיניות חומת אש בין רשתות גלובלית:

בתרשים הבא מוצג תהליך ההעברה לשילובי ההגדרות שצוינו למעלה. בוחרים את תהליך העבודה שמתאים לדרישות של הרשת.

תהליך העברת כללים לחומת אש. — **איור 1.** תרשים זרימת ההעברה של כללי חומת האש ב-VPC (לחצו להגדלה).