Sichere Tags für Firewalls

In Cloud Next Generation Firewall-Regeln werden Tags verwendet, um Quellen und Ziele anzugeben. Dieser flexible Ansatz vermeidet die Abhängigkeit von IP-Adressen.

Tag-Typen

Cloud NGFW unterstützt zwei Arten von Tags:

  • Von IAM verwaltete Tags, auch sichere Tags genannt, werden im Resource Manager als Tag-Schlüssel und Tag-Werte erstellt und verwaltet. Sichere Tag-Werte können verwendet werden, um Quellen für Regeln für eingehenden Traffic und Ziele für Regeln für eingehenden oder ausgehenden Traffic in einer hierarchischen Firewallrichtlinie, einer globalen Netzwerk-Firewallrichtlinie oder einer regionalen Netzwerk-Firewallrichtlinie anzugeben.

  • Netzwerktags sind Zeichenfolgen ohne Zugriffssteuerung, die VM-Instanzen oder Instanzvorlagen hinzugefügt werden können. Netzwerk-Tags können verwendet werden, um Quellen für VPC-Firewallregeln (Virtual Private Cloud) für eingehenden Traffic und Ziele für VPC-Firewallregeln für eingehenden oder ausgehenden Traffic anzugeben. Netzwerk-Tags können nicht von Regeln in einer hierarchischen Firewallrichtlinie, einer globalen Netzwerk-Firewallrichtlinie oder einer regionalen Netzwerk-Firewallrichtlinie verwendet werden. Weitere Informationen zu Netzwerktags finden Sie unter Netzwerktags konfigurieren.

Weitere Informationen zu den Unterschieden zwischen sicheren Tags und Netzwerktags finden Sie unter Vergleich von sicheren Tags und Netzwerktags.

Im folgenden Abschnitt dieser Seite werden sichere Tags in Firewallrichtlinien beschrieben.

Spezifikationen

Für sichere Tags gelten die folgenden Spezifikationen:

  • Übergeordnete Ressource: Die übergeordnete Ressource ist die Ressource, in der der sichere Tag-Schlüssel definiert ist. Tag-Schlüssel können in einem übergeordneten Projekt oder einer Organisation erstellt werden. Weitere Informationen zum Erstellen von Tag-Schlüsseln finden Sie unter Sichere Tags erstellen und verwalten.

  • Zweck und Zweckdaten: Wenn Sie einen sicheren Tag-Schlüssel mit Cloud NGFW verwenden möchten, müssen Sie das Attribut purpose des Tag-Schlüssels auf GCE_FIREWALL festlegen und das Attribut purpose-data angeben:

    • Sie können das Attribut purpose-data des Tag-Schlüssels auf network und dann auf eine einzelne VPC-Netzwerkspezifikation festlegen.

      • Wenn Sie für Tag-Schlüssel mit einem übergeordneten Projekt das Attribut purpose-data des Tag-Schlüssels auf network festlegen, muss sich das angegebene VPC-Netzwerk im selben Projekt wie der Tag-Schlüssel befinden.

      • Wenn Sie für Tag-Schlüssel mit einer übergeordneten Organisation das Attribut purpose-data des Tag-Schlüssels auf network festlegen, muss sich das angegebene VPC-Netzwerk in derselben Organisation wie der Tag-Schlüssel befinden.

    • Sie können das Attribut purpose-data des Tag-Schlüssels auf organization=auto festlegen. Damit werden alle VPC-Netzwerke in der Organisation identifiziert.

    Weder das Attribut purpose noch das Attribut purpose-data können geändert werden, nachdem Sie einen Tag-Schlüssel erstellt haben. Weitere Informationen zum Formatieren der Netzwerkspezifikation im Attribut purpose-data eines Tag-Schlüssels finden Sie in der Resource Manager API-Dokumentation unter Zweck.

  • Struktur und Format: Ein sicherer Tag-Schlüssel kann auf bis zu 1.000 eindeutige Tag-Werte verweisen. IAM-Hauptkonten mit der Rolle „Tag-Administrator“ (roles/resourcemanager.tagAdmin) erstellen Tag-Schlüssel und Tag-Werte für jeden Tag-Schlüssel. Weitere Informationen zu den Limits für sichere Tags finden Sie unter Limits.

  • Projekte zwischen Organisationen verschieben: Sie können ein Projekt von einer Organisation in eine andere verschieben. Bevor Sie ein Projekt verschieben, müssen Sie alle Tag-Schlüssel, für die ein purpose-data-Attribut mit einer in Ihrem Projekt verwendeten Organisation angegeben ist, von der ursprünglichen Organisation trennen. Wenn Sie die sicheren Tags nicht zuerst entfernen, erhalten Sie während der Übertragung eine Fehlermeldung.

  • Zugriffssteuerung: IAM-Richtlinien bestimmen, welche IAM-Hauptkonten sichere Tags verwalten und verwenden können:

    • IAM-Hauptkonten mit der Rolle „Tag-Administrator“ (roles/resourcemanager.tagAdmin) können Tag-Schlüssel erstellen und deren Tag-Werte verwalten:

      • IAM-Hauptkonten, denen die Rolle „Tag-Administrator“ (roles/resourcemanager.tagAdmin) in der IAM-Richtlinie der Organisation zugewiesen wurde, können Tag-Schlüssel mit der Organisation als übergeordnetes Element erstellen.

      • IAM-Hauptkonten, denen die Rolle „Tag-Administrator“ (roles/resourcemanager.tagAdmin) in der IAM-Richtlinie der Organisation, eines Ordners oder eines Projekts zugewiesen ist, können Tag-Schlüssel mit einem Projekt als übergeordnetes Element erstellen.

    • IAM-Hauptkonten mit der Rolle „Tag-Nutzer“ (roles/resourcemanager.tagUser) können Tag-Werte an VM-Instanzen binden oder Tag-Werte in Firewallregeln einer hierarchischen Firewallrichtlinie, einer globalen Netzwerk-Firewallrichtlinie oder einer regionalen Netzwerk-Firewallrichtlinie verwenden.

      • IAM-Principals, denen in der IAM-Richtlinie der Organisation die Rolle „Tag-Nutzer“ (roles/resourcemanager.tagUser) zugewiesen wurde, können Tag-Werte von Tag-Schlüsseln verwenden, deren übergeordnete Einheit die Organisation ist.

      • IAM-Principals, denen die Rolle „Tag-Nutzer“ (roles/resourcemanager.tagUser) in der IAM-Richtlinie der Organisation, eines Ordners oder eines Projekts zugewiesen wurde, können Tag-Werte von Tag-Schlüsseln mit einem Projekt als übergeordnetes Element verwenden.

    • IAM-Principals, die Entwickler, Datenbankadministratoren oder operative Teams sind, können die Rolle „Tag-Nutzer“ (roles/resourcemanager.tagUser) und andere geeignete Rollen erhalten, ohne dass ihnen die Rolle „Compute-Sicherheitsadministrator“ (roles/compute.securityAdmin) zugewiesen werden muss. So können operative Teams steuern, welche Firewallregeln für die Netzwerkschnittstellen der von ihnen verwalteten VM-Instanzen gelten, ohne diese Firewallregeln ändern zu können.

    Weitere Informationen zu den erforderlichen Berechtigungen finden Sie unter IAM-Rollen.

  • Unterstützung von Firewallregeln: Regeln in hierarchischen Firewallrichtlinien, globalen Netzwerk-Firewallrichtlinien und regionalen Netzwerk-Firewallrichtlinien unterstützen Tag-Schlüssel als sichere Quell- oder Ziel-Tags. VPC-Firewallregeln unterstützen keine sicheren Tags. Weitere Informationen finden Sie unter Vergleich von sicheren Tags und Netzwerktags.

  • VM-Bindung und anwendbare Firewallregeln: Wenn Sie einen sicheren Tag-Wert an eine VM-Instanz binden, enthalten anwendbare Firewallregeln, die den Tag-Wert verwenden, VM-Netzwerkschnittstellen als Quellen oder Ziele:

    • Wenn der an die Instanz gebundene Wert des sicheren Tags von einem Tag-Schlüssel stammt, für dessen purpose-data-Attribut ein einzelnes VPC-Netzwerk angegeben ist:

      • Firewallregeln für eingehenden Traffic, die diesen Tag-Wert als sicheres Quell-Tag verwenden, haben Quellen, die die Netzwerkschnittstellen der VM im angegebenen VPC-Netzwerk enthalten.

      • Firewallregeln für eingehenden und ausgehenden Traffic, die diesen Tag-Wert als sicheres Ziel-Tag verwenden, haben Ziele, die die Netzwerkschnittstellen der VM im angegebenen VPC-Netzwerk enthalten.

    • Wenn der an die Instanz gebundene sichere Tag-Wert von einem Tag-Schlüssel stammt, dessen purpose-data-Attribut eine Organisation angibt:

      • Firewallregeln für eingehenden Traffic, die diesen Tag-Wert als sicheres Quell-Tag verwenden, haben Quellen, die die Netzwerkschnittstellen der VM in einem beliebigen VPC-Netzwerk der Organisation enthalten.

      • Firewallregeln für eingehenden und ausgehenden Traffic, die diesen Tag-Wert als Ziel-Tag verwenden, haben Ziele, die die Netzwerkschnittstellen der VM in einem beliebigen VPC-Netzwerk der Organisation umfassen.

  • So werden Pakete durch anwendbare Firewallregeln identifiziert: Cloud NGFW ordnet sichere Quell-Tags und sichere Ziel-Tags Netzwerkschnittstellen und nicht IP-Adressen zu:

    • Wenn ein sicheres Quell-Tag einer Firewallregel für eingehenden Traffic eine VM-Netzwerkschnittstelle als Quelle enthält, Google Cloud entspricht dies allen Paketen, die von dieser Netzwerkschnittstelle gesendet werden.

    • Wenn ein sicheres Ziel-Tag einer Firewallregel für eingehenden Traffic eine VM-Netzwerkschnittstelle als Ziel enthält, Google Cloud entspricht allen Paketen, die von dieser Netzwerkschnittstelle empfangen werden.

    • Wenn ein sicheres Ziel-Tag einer Firewallregel für ausgehenden Traffic eine VM-Netzwerkschnittstelle als Ziel enthält, Google Cloud werden alle Pakete abgeglichen, die von dieser Netzwerkschnittstelle gesendet werden.

  • Anzahl der Tag-Werte pro Instanz: Sie können jeden Tag-Wert an eine unbegrenzte Anzahl von VM-Instanzen binden. Die Anzahl der Tag-Werte, die jede Instanz unterstützt, ist variabel. Google Cloud erzwingt ein Limit von 10 Tag-Werten, die auf jede Netzwerkschnittstelle einer VM angewendet werden. Google Cloud verhindert, dass Sie zusätzliche Tag-Werte an eine VM-Instanz binden, wenn mehr als 10 Tag-Werte auf eine oder mehrere ihrer Netzwerkschnittstellen angewendet werden. Weitere Informationen finden Sie unter Sichere Tags binden.

  • Unterstützung für VPC-Netzwerk-Peering: Mit sicheren Quell-Tags in Regeln für eingehenden Traffic einer Firewallrichtlinie können VM-Netzwerkschnittstellen in Peer-VPC-Netzwerken identifiziert werden. Das ist nützlich für Nutzer von veröffentlichten Diensten, die privaten Dienstzugriff verwenden. Mithilfe von Firewallregeln für eingehenden Traffic mit sicheren Quell-Tags können Nutzer steuern, welche VMs von Diensterstellern Pakete an ihre Nutzer-VMs senden dürfen.

  • Tags mit Google Kubernetes Engine (GKE) sichern: Mit der purpose-data=organization=auto-Konfiguration erstellte sichere Tags werden in den GKE-Clustern und -Knotenpools nicht unterstützt. Erstellen Sie daher für jedes VPC-Netzwerk einen sicheren Tag-Schlüssel. Weitere Informationen finden Sie unter Sichere Tags erstellen und verwalten.

Sichere Tags verknüpfen

Wenn Sie sichere Tags mit Cloud NGFW verwenden möchten, müssen Sie einen Tag-Wert an eine VM-Instanz binden. Jeder sichere Tag-Schlüssel unterstützt mehrere Tag-Werte. Sie können jedoch nur einen der Tag-Werte an eine Instanz binden. Weitere Informationen zu IAM-Berechtigungen und zum Binden sicherer Tags finden Sie unter Sichere Tags binden.

Die Beispiele in diesem Abschnitt zeigen, wie gebundene Tag-Werte auf VM-Netzwerkschnittstellen angewendet werden. Betrachten Sie die Beispiel-VM-Instanz instance1 mit zwei Netzwerkschnittstellen:

  • nic0 ist mit dem VPC-Netzwerk network1 verbunden.
  • nic1 ist mit dem VPC-Netzwerk network2 verbunden.

Beide VPC-Netzwerke befinden sich in derselben Organisation.

VM-Instanz mit zwei Netzwerkschnittstellen, die jeweils mit einem anderen VPC-Netzwerk verbunden sind.
Abbildung 1. VM-Instanz mit zwei Netzwerkschnittstellen, die jeweils mit einem anderen VPC-Netzwerk verbunden sind (zum Vergrößern klicken).

Das Attribut purpose-data des entsprechenden Tag-Schlüssels bestimmt die Beziehung zwischen gebundenen Tag-Werten und VM-Netzwerkschnittstellen.

Tag-Schlüssel, deren Attribut purpose-data ein VPC-Netzwerk angibt

Angenommen, Sie erstellen zwei Tag-Schlüssel mit den folgenden purpose-data-Attributen und Tag-Werten:

  • tag_key1 hat das Attribut purpose-data, das das network1-VPC-Netzwerk angibt, und zwei Tag-Werte: tag_value1 und tag_value2.

  • tag_key2 hat ein purpose-data-Attribut, das das network2-VPC-Netzwerk und einen Tag-Wert tag_value3 angibt.

Das Attribut `purpose-data` jedes Tag-Schlüssels gibt ein einzelnes VPC-Netzwerk an.
Abbildung 2. Das Attribut purpose-data jedes Tag-Schlüssels gibt ein einzelnes VPC-Netzwerk an (zum Vergrößern klicken).

Wenn Sie die sicheren Tag-Werte tag_value1 und tag_value3 an instance1 binden:

  • tag_value1 gilt für die Netzwerkschnittstelle nic0, da ihr übergeordnetes Element tag_key1 ein purpose-data-Attribut hat, das das VPC-Netzwerk network1 angibt, und sich die Netzwerkschnittstelle nic0 in network1 befindet.

  • tag_value3 gilt für die Netzwerkschnittstelle nic1, da ihr übergeordnetes Element tag_key2 ein purpose-data-Attribut hat, das das VPC-Netzwerk network2 angibt, und sich die Netzwerkschnittstelle nic1 in network2 befindet.

Das folgende Diagramm zeigt die Bindung von Tag-Werten aus Tag-Schlüsseln, deren Attribut purpose-data ein einzelnes VPC-Netzwerk angibt.

Gebundene Tag-Werte von Tag-Schlüsseln, für die im Attribut „purpose-data“ ein einzelnes VPC-Netzwerk angegeben ist.
Abbildung 3. Gebundene Tag-Werte aus Tag-Schlüsseln, deren purpose-data-Attribut ein einzelnes VPC-Netzwerk angibt (zum Vergrößern klicken).

Tag-Schlüssel, für die das Attribut purpose-data die Organisation angibt

Angenommen, Sie erstellen zwei Tag-Schlüssel mit den folgenden purpose-data-Attributen und Tag-Werten:

  • tag_key3 hat ein purpose-data-Attribut, das die übergeordnete Organisation angibt, und zwei Tag-Werte: tag_value4 und tag_value5.

  • tag_key4 hat ein purpose-data-Attribut, das die übergeordnete Organisation angibt, und einen Tagwert tag_value6.

Das Attribut „purpose-data“ jedes Tag-Schlüssels gibt die übergeordnete Organisation an.
Abbildung 4. Das Attribut purpose-data jedes Tag-Schlüssels gibt die übergeordnete Organisation an (zum Vergrößern klicken).

Wenn Sie den Tag-Wert tag_value4 an instance1 binden:

  • tag_value4 gilt für die Netzwerkschnittstelle nic0, da ihr übergeordnetes Element tag_key3ein purpose-data-Attribut hat, das die übergeordnete Organisation mit dem VPC-Netzwerk network1 angibt, und die Netzwerkschnittstelle nic0 sich in network1 befindet.

  • tag_value4 gilt auch für die Netzwerkschnittstelle nic1, da ihr übergeordnetes Element tag_key3 ein purpose-data-Attribut enthält, das die übergeordnete Organisation angibt, die das VPC-Netzwerk network2 enthält. Die Netzwerkschnittstelle nic1 befindet sich in network2.

Das folgende Diagramm zeigt, wie Tag-Werte aus Tag-Schlüsseln gebunden werden, deren Attribut purpose-data die übergeordnete Organisation angibt.

Gebundene Tag-Werte von Tag-Schlüsseln, deren Attribut „purpose-data“ die übergeordnete Organisation angibt.
Abbildung 5. Gebundene Tag-Werte von Tag-Schlüsseln, deren purpose-data-Attribut die übergeordnete Organisation angibt (zum Vergrößern klicken).

Sichere Tags konfigurieren

Der folgende Workflow enthält eine allgemeine Abfolge von Schritten, die zum Konfigurieren sicherer Tags in Firewallrichtlinien erforderlich sind.

  1. Sie können sichere Tags auf Organisations- oder Projektebene erstellen. Wenn Sie ein Tag auf Organisationsebene erstellen möchten, müssen Sie zuerst vom Organisationsadministrator die IAM-Berechtigung erhalten. Weitere Informationen finden Sie unter Berechtigungen für sichere Tags erteilen.

  2. Zum Erstellen eines sicheren Tags müssen Sie zuerst einen Tag-Schlüssel erstellen. Dieser Tag-Schlüssel beschreibt das Tag, das Sie erstellen. Weitere Informationen finden Sie unter Sichere Tag-Schlüssel und ‑Werte erstellen.

  3. Nachdem Sie einen sicheren Tag-Schlüssel erstellt haben, müssen Sie die entsprechenden sicheren Tag-Werte hinzufügen. Weitere Informationen finden Sie unter Sichere Tag-Schlüssel und ‑Werte erstellen. Wenn Sie Nutzern Zugriff gewähren möchten, um sichere Tag-Schlüssel zu verwalten und Tag-Werte an Ressourcen anzuhängen, verwenden Sie die Google Cloud Console. Weitere Informationen finden Sie unter Zugriff auf Tags verwalten.

  4. Nachdem Sie ein sicheres Tag erstellt haben, können Sie es entweder in einer Netzwerk-Firewallrichtlinie oder in einer hierarchischen Firewallrichtlinie verwenden. Weitere Informationen finden Sie unter Hierarchische Firewallrichtlinie erstellen und Netzwerk-Firewallrichtlinie erstellen.

  5. Wenn Sie den ausgewählten Traffic zwischen den VMs mit den Quell-Tag-Schlüsseln und Ziel-Tag-Schlüsseln zulassen möchten, erstellen Sie eine Firewallregel (Netzwerk oder hierarchisch) mit den spezifischen Quell-Tag-Werten und Ziel-Tag-Werten. Weitere Informationen finden Sie unter Firewallrichtlinien-Regel mit sicheren Tags erstellen.

  6. Nachdem ein Tag-Schlüssel erstellt und der entsprechende Zugriff auf den Tag-Schlüssel und die Ressource gewährt wurde, kann der Tag-Schlüssel an eine VM-Instanz gebunden werden. Weitere Informationen finden Sie unter Sichere Tags binden.

Vergleich von sicheren Tags und Netzwerktags

In der folgenden Tabelle werden die Unterschiede zwischen sicheren Tags und Netzwerktags zusammengefasst. Das Häkchen weist darauf hin, dass das Attribut unterstützt wird, und das Symbol darauf, dass das Attribut nicht unterstützt wird.

Attribut Sicheres Tag mit dem Attribut purpose-data, das ein VPC-Netzwerk angibt Sicheres Tag mit dem Attribut purpose-data, das die Organisation angibt Netzwerk-Tag
Übergeordnete Ressource Projekt oder Organisation Projekt oder Organisation Projekt
Struktur und Format Tag-Schlüssel mit bis zu 1.000 Werten Tag-Schlüssel mit bis zu 1.000 Werten Einfacher String
Zugriffssteuerung IAM verwenden IAM verwenden Keine Zugriffssteuerung
Anwendbare Netzwerkschnittstellen
  • Firewallregel für eingehenden Traffic mit sicherem Quell-Tag-Wert: Quellen umfassen VM-Netzwerkschnittstellen im VPC-Netzwerk, das durch das Attribut purpose-data des Tag-Schlüssels angegeben wird.
  • Firewallregel für eingehenden oder ausgehenden Traffic mit dem Wert für das sichere Ziel-Tag: Zu den Zielen gehören VM-Netzwerkschnittstellen im VPC-Netzwerk, das durch das Attribut purpose-data des Tag-Schlüssels angegeben wird.
  • Firewallregel für eingehenden Traffic mit sicherem Quell-Tag-Wert: Quellen umfassen VM-Netzwerkschnittstellen in einem beliebigen VPC-Netzwerk der übergeordneten Organisation.
  • Firewallregel für eingehenden oder ausgehenden Traffic mit sicherem Ziel-Tag-Wert: Ziele umfassen VM-Netzwerkschnittstellen in einem beliebigen VPC-Netzwerk der übergeordneten Organisation.
  • Firewallregel für eingehenden Traffic mit Quell-Netzwerk-Tag: Quellen umfassen VM-Netzwerkschnittstellen in jedem von der VM verwendeten VPC-Netzwerk, wenn dieses Netzwerk VPC-Firewallregeln mit dem Quell-Netzwerk-Tag hat.
  • Firewallregel für eingehenden oder ausgehenden Traffic mit Ziel-Netzwerk-Tag: Zu den Zielen gehören VM-Netzwerkschnittstellen in jedem VPC-Netzwerk, das von der VM verwendet wird, wenn dieses Netzwerk VPC-Firewallregeln mit dem Ziel-Netzwerk-Tag hat.
Unterstützt von Regeln in hierarchischen Firewallrichtlinien
Unterstützt von Regeln in globalen und regionalen Netzwerk-Firewallrichtlinien
Unterstützt von VPC-Firewallregeln
Firewallregeln für eingehenden Traffic können Quellen in VPC-Netzwerken enthalten, die über VPC-Netzwerk-Peering verbunden sind. 1 1
Firewallregeln für eingehenden Traffic können Quellen in anderen VPC-Spokes im Network Connectivity Center-Hub enthalten.
1 Mit einem sicheren Quell-Tag-Wert können Netzwerkschnittstellen in einem anderen VPC-Netzwerk identifiziert werden, wenn beide der folgenden Bedingungen erfüllt sind:
  • Das Attribut purpose-data des Tag-Schlüssels gibt das andere VPC-Netzwerk (oder die übergeordnete Organisation, die das andere VPC-Netzwerk enthält) an.
  • Das andere VPC-Netzwerk und das VPC-Netzwerk, in dem die Firewallrichtlinie verwendet wird, sind über VPC-Netzwerk-Peering verbunden.

IAM-Rollen

Weitere Informationen zu den IAM-Rollen und ‑Berechtigungen, die Sie zum Erstellen und Verwalten sicherer Tags benötigen, finden Sie unter Tags für Ressourcen verwalten.

Nächste Schritte