Etiquetas seguras para firewalls

Las reglas de Cloud Next Generation Firewall usan etiquetas para especificar fuentes y destinos. Este enfoque flexible evita la dependencia de las direcciones IP.

Tipos de etiquetas

Cloud NGFW admite dos tipos de etiquetas:

  • Las etiquetas regidas por Identity and Access Management (IAM), también conocidas como etiquetas seguras, se crean y administran en Resource Manager como claves y valores de etiquetas. Los valores de etiquetas seguras se pueden usar para especificar orígenes para reglas de entrada y destinos para reglas de entrada o salida en una política de firewall jerárquica, una política de firewall de red global o una política de firewall de red regional.

  • Las etiquetas de red son cadenas de caracteres sin controles de acceso que se pueden agregar a las instancias de máquina virtual (VM) o a las plantillas de instancias. Las etiquetas de red se pueden usar para especificar orígenes para las reglas de firewall de entrada de la nube privada virtual (VPC) y destinos para las reglas de firewall de entrada o salida de la VPC. Las reglas de una política de firewall jerárquica, una política de firewall de red global o una política de firewall de red regional no pueden usar etiquetas de red. Para obtener más información sobre las etiquetas de red, consulta Agrega etiquetas de red.

Para obtener más información sobre las diferencias entre las etiquetas seguras y las etiquetas de red, consulta Comparación de las etiquetas seguras y las etiquetas de red.

En la siguiente sección de esta página, se describen las etiquetas seguras en las políticas de firewall.

Especificaciones

Las etiquetas seguras tienen las siguientes especificaciones:

  • Recurso principal: El recurso principal es aquel en el que se define la clave de etiqueta segura. Las claves de etiquetas se pueden crear en un proyecto principal o en una organización. Para obtener más información sobre cómo crear claves de etiquetas, consulta Crea y administra etiquetas seguras.

  • Propósito y datos de propósito: Para usar una clave de etiqueta segura con Cloud NGFW, debes establecer el atributo purpose de la clave de etiqueta en GCE_FIREWALL y especificar el atributo purpose-data:

    • Puedes establecer el atributo purpose-data de la clave de la etiqueta en network, seguido de una sola especificación de red de VPC.

      • En el caso de las claves de etiquetas con un proyecto principal, si configuras el atributo purpose-data de la clave de etiqueta como network, la red de VPC especificada debe estar ubicada en el mismo proyecto que la clave de etiqueta.

      • En el caso de las claves de etiqueta con una organización principal, si configuras el atributo purpose-data de la clave de etiqueta como network, la red de VPC especificada debe estar ubicada en la misma organización que la clave de etiqueta.

    • Puedes establecer el atributo purpose-data de la clave de la etiqueta en organization=auto. Identifica todas las redes de VPC de la organización.

    Ni el atributo purpose ni el atributo purpose-data se pueden cambiar después de que creas una clave de etiqueta. Para obtener más información sobre cómo dar formato a la especificación de red en el atributo purpose-data de una clave de etiqueta, consulta Propósito en la documentación de la API de Resource Manager.

  • Estructura y formato: Una clave de etiqueta segura puede hacer referencia a hasta 1,000 valores de etiqueta únicos. Los principales de IAM con el rol de administrador de etiquetas (roles/resourcemanager.tagAdmin) crean claves de etiquetas y valores de etiquetas para cada clave de etiqueta. Para obtener más información sobre los límites de etiquetas seguras, consulta Límites.

  • Cómo mover proyectos entre organizaciones: Puedes mover un proyecto de una organización a otra. Antes de mover un proyecto, desconecta las claves de etiquetas que tengan un atributo purpose-data que especifique una organización utilizada en tu proyecto de la organización original. Si no quitas primero las etiquetas de seguridad, recibirás un mensaje de error durante la mudanza.

  • Control de acceso: Las políticas de IAM determinan qué principales de IAM pueden administrar y usar etiquetas seguras:

    • Los principales de IAM con el rol de administrador de etiquetas (roles/resourcemanager.tagAdmin) pueden crear claves de etiquetas y administrar sus valores de etiquetas:

      • Los principales de IAM a los que se les otorgó el rol de administrador de etiquetas (roles/resourcemanager.tagAdmin) en la política de IAM de la organización pueden crear claves de etiquetas con la organización como su principal superior.

      • Los principales de IAM a los que se les otorgó el rol de administrador de etiquetas (roles/resourcemanager.tagAdmin) en la política de IAM de la organización, una carpeta o un proyecto pueden crear claves de etiquetas con un proyecto como su principal superior.

    • Los principales de IAM con el rol de usuario de etiquetas (roles/resourcemanager.tagUser) pueden vincular valores de etiquetas a instancias de VM o usar valores de etiquetas en reglas de firewall de una política de firewall jerárquica, una política de firewall de red global o una política de firewall de red regional.

      • Los principales de IAM a los que se les otorgó el rol de usuario de etiquetas (roles/resourcemanager.tagUser) en la política de IAM de la organización pueden usar valores de etiquetas de claves de etiquetas que tienen a la organización como su principal superior.

      • Los principales de IAM a los que se les otorgó el rol de Tag User (roles/resourcemanager.tagUser) en la política de IAM de la organización, una carpeta o un proyecto pueden usar valores de etiquetas de claves de etiquetas que tengan un proyecto como elemento superior.

    • A los principales de IAM que son desarrolladores, administradores de bases de datos o equipos operativos se les puede otorgar el rol de usuario de etiquetas (roles/resourcemanager.tagUser) y otros roles adecuados sin necesidad de otorgarles el rol de administrador de seguridad de Compute (roles/compute.securityAdmin). De esta manera, los equipos operativos pueden controlar qué reglas de firewall se aplican a las interfaces de red de las instancias de VM que administran sin poder modificar esas reglas de firewall.

    Para obtener más información sobre los permisos necesarios, consulta Roles de IAM.

  • Compatibilidad con reglas de firewall: Las reglas en las políticas de firewall jerárquicas, las políticas de firewall de red globales y las políticas de firewall de red regionales admiten claves de etiquetas como etiquetas seguras de origen o etiquetas seguras de destino. Las reglas de firewall de VPC no admiten etiquetas seguras. Para obtener más información, consulta Comparación de etiquetas seguras y etiquetas de red.

  • Vinculación de la VM y reglas de firewall aplicables: Cuando vinculas un valor de etiqueta segura a una instancia de VM, las reglas de firewall aplicables que usan el valor de la etiqueta incluyen las interfaces de red de la VM como fuentes o destinos:

    • Si el valor de la etiqueta segura vinculada a la instancia proviene de una clave de etiqueta cuyo atributo purpose-data especifica una sola red de VPC, haz lo siguiente:

      • Las reglas de firewall de entrada que usan ese valor de etiqueta como etiqueta de seguridad de origen tienen orígenes que incluyen las interfaces de red de la VM que se encuentran en la red de VPC especificada.

      • Las reglas de firewall de entrada y salida que usan ese valor de etiqueta como etiqueta segura de destino tienen destinos que incluyen las interfaces de red de la VM que se encuentran en la red de VPC especificada.

    • Si el valor de la etiqueta segura vinculada a la instancia proviene de una clave de etiqueta cuyo atributo purpose-data especifica una organización, se aplican las siguientes reglas:

      • Las reglas de firewall de entrada que usan ese valor de etiqueta como etiqueta de seguridad de origen tienen orígenes que incluyen las interfaces de red de la VM que se encuentran en cualquier red de VPC de la organización.

      • Las reglas de firewall de entrada y salida que usan ese valor de etiqueta como etiqueta segura de destino tienen destinos que incluyen las interfaces de red de la VM que se encuentran en cualquier red de VPC de la organización.

  • Cómo las reglas de firewall aplicables identifican los paquetes: Cloud NGFW asigna etiquetas seguras de origen y etiquetas seguras de destino a interfaces de red, no a direcciones IP:

    • Cuando una etiqueta segura de origen de una regla de firewall de entrada incluye una interfaz de red de VM como origen, Google Cloud coincide con todos los paquetes que se envían desde esa interfaz de red.

    • Cuando una etiqueta segura de destino de una regla de firewall de entrada incluye una interfaz de red de VM como destino, Google Cloud coincide con todos los paquetes que recibe esa interfaz de red.

    • Cuando una etiqueta segura de destino de una regla de firewall de salida incluye una interfaz de red de VM como destino, Google Cloud coincide con cualquier paquete que se envíe desde esa interfaz de red.

  • Cantidad de valores de etiquetas por instancia: Puedes vincular cada valor de etiqueta a una cantidad ilimitada de instancias de VM. La cantidad de valores de etiquetas que admite cada instancia es variable. Google Cloud aplica un límite de 10 valores de etiquetas que se aplican a cada interfaz de red de una VM. Google Cloud te impide vincular valores de etiquetas adicionales a una instancia de VM si se aplican más de 10 valores de etiquetas a una o más de sus interfaces de red. Para obtener más información, consulta Cómo vincular etiquetas seguras.

  • Compatibilidad con el intercambio de tráfico entre redes de VPC: Las etiquetas de seguridad de origen en las reglas de entrada de una política de firewall pueden identificar interfaces de red de VM de origen que se encuentran en redes de VPC con intercambio de tráfico. Esto es útil para los consumidores de servicios publicados que usan el acceso privado a servicios. Con las reglas de firewall de entrada que tienen etiquetas seguras de origen, los consumidores pueden controlar qué VMs de productor de servicios pueden enviar paquetes a sus VMs de consumidor.

  • Etiquetas seguras con Google Kubernetes Engine (GKE): Las etiquetas seguras creadas con la configuración de purpose-data=organization=auto no son compatibles con los clústeres y grupos de nodos de GKE. Por lo tanto, crea una clave de etiqueta segura para cada red de VPC. Para obtener más información, consulta Crea y administra etiquetas seguras.

Vincula etiquetas seguras

Para usar etiquetas seguras con Cloud NGFW, debes vincular un valor de etiqueta a una instancia de VM. Cada clave de etiqueta segura admite varios valores de etiqueta. Sin embargo, para cada clave de etiqueta, solo puedes vincular uno de sus valores de etiqueta a una instancia. Para obtener más información sobre los permisos de IAM y cómo vincular etiquetas seguras, consulta Cómo vincular etiquetas seguras.

En los ejemplos de esta sección, se muestra cómo se aplican los valores de etiquetas vinculados a las interfaces de red de la VM. Considera la instancia de VM de ejemplo instance1 con dos interfaces de red:

  • nic0 está conectada a la red de VPC network1
  • nic1 está conectada a la red de VPC network2

Ambas redes de VPC pertenecen a la misma organización.

Instancia de VM con dos interfaces de red, cada una conectada a una red de VPC diferente.
Figura 1. Instancia de VM con dos interfaces de red, cada una conectada a una red de VPC diferente (haz clic para ampliar).

El atributo purpose-data de la clave de etiqueta correspondiente determina la relación entre los valores de etiqueta vinculados y las interfaces de red de la VM.

Claves de etiquetas cuyo atributo purpose-data especifica una red de VPC

Supongamos que creas dos claves de etiqueta con los siguientes atributos purpose-data y valores de etiqueta:

  • tag_key1 tiene un atributo purpose-data que especifica la red de VPC network1 y dos valores de etiqueta tag_value1 y tag_value2.

  • tag_key2 tiene un atributo purpose-data que especifica la red de VPC network2 y un valor de etiqueta tag_value3.

El atributo `purpose-data` de cada clave de etiqueta especifica una sola red de VPC.
Figura 2. El atributo purpose-data de cada clave de etiqueta especifica una sola red de VPC (haz clic para ampliar).

Cuando vinculas los valores de etiqueta segura tag_value1 y tag_value3 a instance1, sucede lo siguiente:

  • tag_value1 se aplica a la interfaz de red nic0 porque su elemento superior tag_key1 tiene un atributo purpose-data que especifica la red de VPC network1, y la interfaz de red nic0 está en network1.

  • tag_value3 se aplica a la interfaz de red nic1 porque su elemento superior tag_key2 tiene un atributo purpose-data que especifica la red de VPC network2, y la interfaz de red nic1 está en network2.

En el siguiente diagrama, se muestran los valores de las etiquetas de vinculación de las claves de etiquetas cuyo atributo purpose-data especifica una sola red de VPC.

Son los valores de etiquetas vinculados de las claves de etiquetas cuyo atributo `purpose-data` especifica una sola red de VPC.
Figura 3. Valores de etiquetas vinculados de claves de etiquetas cuyo atributo purpose-data especifica una sola red de VPC (haz clic para ampliar).

Claves de etiquetas cuyo atributo purpose-data especifica la organización

Supongamos que creas dos claves de etiqueta con los siguientes atributos purpose-data y valores de etiqueta:

  • tag_key3 tiene un atributo purpose-data que especifica la organización principal y tiene dos valores de etiqueta tag_value4 y tag_value5.

  • tag_key4 tiene un atributo purpose-data que especifica la organización principal y tiene un valor de etiqueta tag_value6.

El atributo `purpose-data` de cada clave de etiqueta especifica la organización principal.
Figura 4. El atributo purpose-data de cada clave de etiqueta especifica la organización principal (haz clic para ampliar).

Cuando vinculas el valor de la etiqueta tag_value4 a instance1, sucede lo siguiente:

  • tag_value4 se aplica a la interfaz de red nic0 porque su elemento superior tag_key3 tiene un atributo purpose-data que especifica la organización principal que contiene la red de VPC network1, y la interfaz de red nic0 está en network1.

  • tag_value4 también se aplica a la interfaz de red nic1 porque su tag_key3 principal incluye un atributo purpose-data que especifica la organización principal que contiene la red de VPC network2. La interfaz de red nic1 está en network2.

En el siguiente diagrama, se muestran los valores de vinculación de etiquetas de las claves de etiquetas cuyo atributo purpose-data especifica la organización principal.

Son los valores de etiquetas vinculados de las claves de etiquetas cuyo atributo "purpose-data" especifica la organización principal.
Figura 5: Valores de etiquetas vinculados de claves de etiquetas cuyo atributo purpose-data especifica la organización principal (haz clic para agrandar).

Configura etiquetas seguras

El siguiente flujo de trabajo proporciona una secuencia de pasos de alto nivel necesarios para configurar etiquetas seguras en las políticas de firewall.

  1. Puedes crear etiquetas seguras a nivel de la organización o del proyecto. Para crear una etiqueta a nivel de la organización, primero debes obtener el permiso de IAM del administrador de la organización. Para obtener más información, consulta Cómo otorgar permisos a etiquetas seguras.

  2. Para crear una etiqueta segura, primero debes crear una clave de etiqueta. Esta clave de etiqueta describe la etiqueta que estás creando. Para obtener más información, consulta Crea las claves y los valores de etiqueta segura.

  3. Después de crear una clave de etiqueta segura, debes agregarle los valores de etiqueta segura pertinentes. Para obtener más información, consulta Crea las claves y los valores de etiqueta segura. Para brindar a los usuarios acceso específico para administrar claves de etiquetas seguras y adjuntar valores de etiquetas a los recursos, usa la consola de Google Cloud . Para obtener más información, consulta Administra el acceso a las etiquetas.

  4. Después de crear una etiqueta segura, puedes usarla en una política de firewall de red o en una política de firewall jerárquica. Para obtener más información, consulta Crea una política de firewall jerárquica y Crea una política de firewall de red.

  5. Para permitir el tráfico seleccionado entre las VMs con las claves de etiqueta de origen y las claves de etiqueta de destino, crea una regla de política de firewall (de red o jerárquica) con los valores de etiqueta de origen y los valores de etiqueta de destino específicos. Para obtener más información, consulta Crea una regla de política de firewall con etiquetas seguras.

  6. Después de crear una clave de etiqueta y otorgar el acceso adecuado tanto a la clave de etiqueta como al recurso, la clave de etiqueta se puede vincular a una instancia de VM. Para obtener más información, consulta Cómo vincular etiquetas seguras.

Comparación de etiquetas seguras y etiquetas de red

En la siguiente tabla, se resumen las diferencias entre las etiquetas seguras y las etiquetas de red. La marca de verificación indica que el atributo es compatible, y el símbolo indica que el atributo no es compatible.

Atributo Etiqueta segura con el atributo purpose-data que especifica una red de VPC Etiqueta segura con el atributo purpose-data que especifica la organización Etiqueta de red
Recurso superior Organización o proyecto Organización o proyecto Proyecto
Estructura y formato Clave de etiqueta con hasta 1,000 valores Clave de etiqueta con hasta 1,000 valores String simple
Control de acceso Usar IAM Usar IAM Sin control de acceso
Interfaces de red aplicables
  • Regla de firewall de entrada con valor de etiqueta segura de origen: Las fuentes incluyen interfaces de red de VM en la red de VPC especificada por el atributo purpose-data de la clave de etiqueta.
  • Regla de firewall de entrada o salida con valor de etiqueta segura de destino: Los destinos incluyen interfaces de red de VM en la red de VPC especificada por el atributo purpose-data de la clave de la etiqueta.
  • Regla de firewall de entrada con valor de etiqueta segura de origen: Las fuentes incluyen interfaces de red de VM en cualquier red de VPC de la organización principal.
  • Regla de firewall de entrada o salida con valor de etiqueta segura de destino: Los destinos incluyen interfaces de red de VM en cualquier red de VPC de la organización principal.
  • Regla de firewall de entrada con etiqueta de red de origen: Las fuentes incluyen interfaces de red de VM en cualquier red de VPC que use la VM si esa red tiene reglas de firewall de VPC que usan la etiqueta de red de origen.
  • Regla de firewall de entrada o salida con etiqueta de red de destino: Los destinos incluyen interfaces de red de VM en cualquier red de VPC que use la VM si esa red tiene reglas de firewall de VPC que usan la etiqueta de red de destino.
Compatible con las reglas de las políticas de firewall jerárquicas
Compatible con las reglas de las políticas de firewall de red globales y regionales
Compatible con las reglas de firewall de VPC
Las reglas de firewall de entrada pueden incluir fuentes en redes de VPC conectadas a través del intercambio de tráfico entre redes de VPC. 1 1
Las reglas de firewall de entrada pueden incluir fuentes en otros radios de VPC del concentrador de Network Connectivity Center.
1El valor de una etiqueta segura de origen puede identificar interfaces de red en otra red de VPC cuando se cumplen las siguientes condiciones:
  • El atributo de clave de etiqueta purpose-data especifica la otra red de VPC (o la organización principal que contiene la otra red de VPC).
  • La otra red de VPC y la red de VPC que usa la política de firewall están conectadas a través del intercambio de tráfico entre redes de VPC.

Funciones de IAM

Para obtener más información sobre los permisos y los roles de IAM que necesitas para crear y administrar etiquetas seguras, consulta Administra etiquetas en los recursos.

¿Qué sigue?