Per semplificare la gestione delle regole nelle reti Virtual Private Cloud (VPC), utilizza le policy firewall di rete globali per consolidare più regole in un singolo oggetto. Esamina le specifiche e i metodi di applicazione delle policy di rete globali per mantenere la microsegmentazione e controllare il flusso di traffico.
Per ulteriori informazioni, consulta la panoramica delle policy firewall.
Specifiche
- Le policy firewall di rete globali sono risorse container per le regole firewall.
Ogni risorsa policy del firewall di rete globale è definita all'interno di un progetto.
- Dopo aver creato una policy del firewall di rete globale, puoi aggiungere, aggiornare ed eliminare le regole firewall nella policy.
- Per informazioni sulle specifiche delle regole nelle policy del firewall di rete globali, consulta Componenti delle regole delle policy del firewall.
- Per applicare le regole delle policy del firewall di rete globali a una rete VPC, devi associare la policy del firewall a quella rete VPC.
- Puoi associare una policy del firewall di rete globale a più reti VPC. Assicurati che la policy del firewall e le reti associate appartengano allo stesso progetto.
- Ogni rete VPC può essere associata a una sola policy del firewall di rete globale.
- Se la policy del firewall non è associata a nessuna rete VPC, le regole di tale policy non hanno effetto. Una policy del firewall non associata a nessuna rete è una policy del firewall di rete globale non associata.
- Quando una policy del firewall di rete globale è associata a una o più reti VPC, le regole della policy del firewall vengono applicate nei seguenti modi:
- Le regole esistenti vengono applicate alle risorse applicabili nelle reti VPC associate.
- Le modifiche apportate alle regole vengono applicate alle risorse applicabili nelle reti VPC associate.
- Le regole nelle policy firewall di rete globali vengono applicate insieme ad altre regole firewall come descritto in Ordine di valutazione di policy e regole.
Utilizza le regole delle policy del firewall di rete globali per configurare l'ispezione di livello 7 del traffico corrispondente, ad esempio quando utilizzi il servizio di filtro URL o il servizio di rilevamento delle intrusioni e prevenzione.
Crea una regola della policy del firewall con
apply_security_profile_groupazione e il nome del gruppo di profili di sicurezza. Il traffico corrispondente alla regola della policy del firewall viene inoltrato in modo trasparente all'endpoint firewall per l'ispezione di livello 7. Per scoprire come creare una regola della policy del firewall, consulta Creare una regola.
Dettagli delle regole delle policy del firewall di rete globali
Per ulteriori informazioni sui componenti e sui parametri delle regole in una policy del firewall di rete globale, consulta Componenti delle regole delle policy del firewall.
La seguente tabella riassume le principali differenze tra le regole delle policy firewall di rete globali e le regole firewall VPC:
| Regole delle policy del firewall di rete globali | Regole firewall VPC | |
|---|---|---|
| Numero di priorità | Deve essere univoco all'interno di una policy | Priorità duplicate consentite |
| Service account come destinazioni | Sì | Sì |
| Service account come origini (solo regole in entrata) |
No | Sì |
| Tipo di tag | Tag protetto | Tag di rete |
| Nome e descrizione | Nome della policy, descrizione della policy e della regola | Nome e descrizione della regola |
| Aggiornamento batch | Sì, per le funzioni di clonazione, modifica e sostituzione delle policy | No |
| Riutilizza | Sì | No |
| Quota | Conteggio degli attributi: in base alla complessità totale di ogni regola nella policy | Conteggio delle regole: le regole firewall complesse e semplici hanno lo stesso impatto sulla quota |
Regole predefinite
Quando crei una policy del firewall di rete globale, Cloud Next Generation Firewall aggiunge alla policy regole predefinite con la priorità più bassa. Queste regole vengono applicate a tutte le connessioni che non corrispondono a una regola definita in modo esplicito nella policy, facendo sì che queste connessioni vengano trasmesse a policy o regole di rete di livello inferiore.
Per scoprire di più sui vari tipi di regole predefinite e sulle loro caratteristiche, consulta Regole predefinite per le policy firewall.
Ruoli IAM (Identity and Access Management)
I ruoli IAM regolano le seguenti azioni relative alle policy firewall di rete globali:
- Creazione di una policy del firewall di rete globale
- Associazione di una policy a una rete
- Modifica di una policy esistente
- Visualizzazione delle regole firewall effettive per una determinata rete o VM
La seguente tabella descrive i ruoli necessari per ogni azione:
| Azione | Ruolo necessario |
|---|---|
| Crea una nuova policy del firewall di rete globale | Ruolo Compute Security Admin (roles/compute.securityAdmin)
sul progetto a cui appartiene la policy |
| Associa una policy a una rete | Ruolo Compute Network Admin (roles/compute.networkAdmin)
sul progetto in cui risiederà la policy
|
| Modifica la policy aggiungendo, aggiornando o eliminando le regole firewall della policy | Ruolo Compute Security Admin (roles/compute.securityAdmin)
sul progetto in cui risiederà la policy |
| Elimina la policy | Ruolo Compute Security Admin (roles/compute.securityAdmin)
sul progetto in cui risiederà la policy |
| Visualizza le regole firewall effettive per una rete VPC | Uno dei seguenti ruoli per la rete: Ruolo Compute Network Admin ( roles/compute.networkAdmin)Ruolo Compute Network User ( roles/compute.networkUser)Ruolo Compute Network Viewer ( roles/compute.networkViewer)Ruolo Compute Security Admin ( roles/compute.securityAdmin)Ruolo Compute Viewer ( roles/compute.viewer)
|
| Visualizza le regole firewall effettive per una VM in una rete | Uno dei seguenti ruoli per la VM: Ruolo Compute Instance Admin (v1) ( roles/compute.instanceAdmin)Ruolo Service Agent di Instance Group Manager ( roles/compute.instanceGroupManagerServiceAgent)Ruolo Compute Security Admin ( roles/compute.securityAdmin)Ruolo Compute Viewer ( roles/compute.viewer)
|
I seguenti ruoli sono pertinenti alle policy firewall di rete globali.
| Nome ruolo | Descrizione |
|---|---|
Ruolo Compute Security Admin (roles/compute.securityAdmin)
|
Può essere concesso a livello di progetto o di policy. Se concesso per un progetto, consente agli utenti di creare, aggiornare ed eliminare le policy firewall di rete globali e le relative regole. A livello di policy, consente agli utenti di aggiornare le regole della policy, ma non di creare o eliminare la policy. Questo ruolo consente inoltre agli utenti di associare una policy a una rete. |
Ruolo Compute Network Admin (roles/compute.networkAdmin)
|
Concesso a livello di progetto o di rete. Se concesso per una rete, consente agli utenti di visualizzare l'elenco delle policy firewall di rete globali. |
Ruolo Compute Viewer (roles/compute.viewer)Ruolo Compute Network User ( roles/compute.networkUser)Ruolo Compute Network Viewer ( roles/compute.networkViewer) |
Consente agli utenti di visualizzare le regole firewall applicate alla rete o all'istanza. Include l' compute.networks.getEffectiveFirewalls autorizzazione
per le reti e compute.instances.getEffectiveFirewalls per le istanze. |