Tags sécurisés pour les pare-feu

Les règles Cloud Next Generation Firewall utilisent des tags pour spécifier les sources et les cibles. Cette approche flexible évite la dépendance aux adresses IP.

Types de balises

Cloud NGFW accepte deux types de tags :

  • Les tags régis par Identity and Access Management (IAM), également appelés tags sécurisés, sont créés et gérés dans Resource Manager en tant que clés et valeurs de tag. Les valeurs de tags sécurisés peuvent être utilisées pour spécifier des sources pour les règles d'entrée et des cibles pour les règles d'entrée ou de sortie dans une stratégie de pare-feu hiérarchique, une stratégie de pare-feu réseau globale ou une stratégie de pare-feu réseau régionale.

  • Les tags réseau sont des chaînes de caractères sans contrôles d'accès qui peuvent être ajoutées aux instances de machine virtuelle (VM) ou aux modèles d'instance. Les tags réseau peuvent être utilisés pour spécifier des sources pour les règles de pare-feu de cloud privé virtuel (VPC) entrantes et des cibles pour les règles de pare-feu de VPC entrantes ou sortantes. Les règles d'une stratégie de pare-feu hiérarchique, d'une stratégie de pare-feu réseau globale ou d'une stratégie de pare-feu réseau régionale ne peuvent pas utiliser de tags réseau. Pour en savoir plus sur les tags réseau, consultez Ajouter des tags réseau.

Pour en savoir plus sur les différences entre les tags sécurisés et les tags réseau, consultez Comparaison des tags sécurisés et des tags réseau.

La section suivante de cette page décrit les tags sécurisés dans les règles de pare-feu.

Spécifications

Les tags sécurisés présentent les spécifications suivantes :

  • Ressource parente : ressource dans laquelle la clé de tag sécurisée est définie. Les clés de tag peuvent être créées dans un projet parent ou une organisation. Pour en savoir plus sur la création de clés de tag, consultez Créer et gérer des tags sécurisés.

  • Objectif et données d'objectif : pour utiliser une clé de tag sécurisée avec Cloud NGFW, vous devez définir l'attribut purpose de la clé de tag sur GCE_FIREWALL et spécifier l'attribut purpose-data :

    • Vous pouvez définir l'attribut purpose-data de la clé de tag sur network, suivi d'une seule spécification de réseau VPC.

      • Pour les clés de tag avec un projet parent, si vous définissez l'attribut purpose-data de la clé de tag sur network, le réseau VPC spécifié doit se trouver dans le même projet que la clé de tag.

      • Pour les clés de tag avec une organisation parente, si vous définissez l'attribut purpose-data de la clé de tag sur network, le réseau VPC spécifié doit se trouver dans la même organisation que la clé de tag.

    • Vous pouvez définir l'attribut purpose-data de la clé de tag sur organization=auto. Cela identifie tous les réseaux VPC de l'organisation.

    Vous ne pouvez modifier ni l'attribut purpose ni l'attribut purpose-data après avoir créé une clé de tag. Pour savoir comment mettre en forme la spécification du réseau dans l'attribut purpose-data d'une clé de tag, consultez Objectif dans la documentation de l'API Resource Manager.

  • Structure et format : une clé de tag sécurisée peut faire référence à un maximum de 1 000 valeurs de tag uniques. Les comptes principaux IAM dotés du rôle "Administrateur de tags" (roles/resourcemanager.tagAdmin) créent des clés et des valeurs de tags pour chaque clé de tag. Pour en savoir plus sur les limites des tags sécurisés, consultez la section Limites.

  • Déplacer des projets entre des organisations : vous pouvez déplacer un projet d'une organisation à une autre. Avant de déplacer un projet, dissociez de l'organisation d'origine toutes les clés de tag dont l'attribut purpose-data spécifie une organisation utilisée dans votre projet. Si vous ne détachez pas d'abord les tags sécurisés, un message d'erreur s'affiche lors du transfert.

  • Contrôle des accès : les stratégies IAM déterminent quels comptes principaux IAM peuvent gérer et utiliser des tags sécurisés :

    • Les comptes principaux IAM dotés du rôle Administrateur de tags (roles/resourcemanager.tagAdmin) peuvent créer des clés de tag et gérer leurs valeurs de tag :

      • Les comptes principaux IAM auxquels le rôle Administrateur de tags (roles/resourcemanager.tagAdmin) est attribué dans la stratégie IAM de l'organisation peuvent créer des clés de tag avec l'organisation comme parent.

      • Les comptes principaux IAM auxquels le rôle Administrateur de tags (roles/resourcemanager.tagAdmin) est attribué dans la stratégie IAM de l'organisation, d'un dossier ou d'un projet peuvent créer des clés de tag avec un projet comme parent.

    • Les principaux IAM disposant du rôle Utilisateur de tags (roles/resourcemanager.tagUser) peuvent associer des valeurs de tag à des instances de VM ou utiliser des valeurs de tag dans les règles de pare-feu d'une stratégie de pare-feu hiérarchique, d'une stratégie de pare-feu réseau globale ou d'une stratégie de pare-feu réseau régionale.

      • Les principaux IAM auxquels le rôle Utilisateur de tags (roles/resourcemanager.tagUser) est attribué dans la stratégie IAM de l'organisation peuvent utiliser les valeurs de tag des clés de tag dont l'organisation est le parent.

      • Les principaux IAM auxquels le rôle Utilisateur de tags (roles/resourcemanager.tagUser) est attribué dans la règle IAM de l'organisation, d'un dossier ou d'un projet peuvent utiliser des valeurs de tag à partir de clés de tag dont le parent est un projet.

    • Les comptes principaux IAM qui sont des développeurs, des administrateurs de base de données ou des équipes opérationnelles peuvent se voir attribuer le rôle Utilisateur de tags (roles/resourcemanager.tagUser) et d'autres rôles appropriés, sans avoir besoin de se voir attribuer le rôle Administrateur de sécurité Compute (roles/compute.securityAdmin). De cette façon, les équipes opérationnelles peuvent contrôler les règles de pare-feu qui s'appliquent aux interfaces réseau des instances de VM qu'elles gèrent, sans pouvoir modifier ces règles de pare-feu.

    Pour en savoir plus sur les autorisations requises, consultez la page Rôles IAM.

  • Compatibilité avec les règles de pare-feu : les règles des stratégies de pare-feu hiérarchiques, des stratégies de pare-feu réseau mondiales et des stratégies de pare-feu réseau régionales sont compatibles avec les clés de tag en tant que tags sécurisés sources ou tags sécurisés cibles. Les règles de pare-feu VPC ne sont pas compatibles avec les tags sécurisés. Pour en savoir plus, consultez Comparaison des tags sécurisés et des tags réseau.

  • Liaison de VM et règles de pare-feu applicables : lorsque vous associez une valeur de tag sécurisé à une instance de VM, les règles de pare-feu applicables qui utilisent la valeur du tag incluent les interfaces réseau de la VM en tant que sources ou cibles :

    • Si la valeur du tag sécurisé associé à l'instance provient d'une clé de tag dont l'attribut purpose-data spécifie un seul réseau VPC :

      • Les règles de pare-feu d'Ingress qui utilisent cette valeur de tag comme tag sécurisé source ont des sources qui incluent les interfaces réseau de la VM se trouvant dans le réseau VPC spécifié.

      • Les règles de pare-feu d'Ingress et de sortie qui utilisent cette valeur de tag comme tag sécurisé cible ont des cibles qui incluent les interfaces réseau de la VM se trouvant dans le réseau VPC spécifié.

    • Si la valeur du tag sécurisé associée à l'instance provient d'une clé de tag dont l'attribut purpose-data spécifie une organisation :

      • Les règles de pare-feu d'Ingress qui utilisent cette valeur de tag comme tag sécurisé source ont des sources qui incluent les interfaces réseau de la VM dans n'importe quel réseau VPC de l'organisation.

      • Les règles de pare-feu d'Ingress et de sortie qui utilisent cette valeur de tag comme tag sécurisé ont des cibles qui incluent les interfaces réseau de la VM se trouvant dans n'importe quel réseau VPC de l'organisation.

  • Comment les règles de pare-feu applicables identifient-elles les paquets ? Cloud NGFW mappe les tags sécurisés sources et cibles aux interfaces réseau, et non aux adresses IP :

    • Lorsqu'un tag sécurisé source d'une règle de pare-feu d'entrée inclut une interface réseau de VM en tant que source, Google Cloud correspond à tous les paquets envoyés à partir de cette interface réseau.

    • Lorsqu'un tag sécurisé cible d'une règle de pare-feu d'entrée inclut une interface réseau de VM en tant que cible, Google Cloud correspond à tous les paquets reçus par cette interface réseau.

    • Lorsqu'un tag sécurisé cible d'une règle de pare-feu de sortie inclut une interface réseau de VM en tant que cible, Google Cloud correspond à tous les paquets envoyés à partir de cette interface réseau.

  • Nombre de valeurs de tag par instance : vous pouvez associer chaque valeur de tag à un nombre illimité d'instances de VM. Le nombre de valeurs de tag que chaque instance accepte est variable. Google Cloud impose une limite de 10 valeurs de tag applicables à chaque interface réseau d'une VM. Google Cloud vous empêche d'associer des valeurs de tag supplémentaires à une instance de VM si plus de 10 valeurs de tag s'appliquent à une ou plusieurs de ses interfaces réseau. Pour en savoir plus, consultez Associer des tags sécurisés.

  • Compatibilité avec l'appairage de réseaux VPC : les tags sécurisés sources des règles d'entrée d'une stratégie de pare-feu peuvent identifier les interfaces réseau de VM sources qui se trouvent dans des réseaux VPC appairés. Cela est utile pour les consommateurs de services publiés qui utilisent l'accès aux services privés. En utilisant des règles de pare-feu d'entrée avec des tags sécurisés sources, les consommateurs peuvent contrôler les VM de producteur de services qui peuvent envoyer des paquets à leurs VM de consommateur.

  • Tags sécurisés avec Google Kubernetes Engine (GKE) : les tags sécurisés créés avec la configuration purpose-data=organization=auto ne sont pas compatibles avec les clusters et les pools de nœuds GKE. Par conséquent, créez une clé de tag sécurisée pour chaque réseau VPC. Pour en savoir plus, consultez Créer et gérer des tags sécurisés.

Associer des tags sécurisés

Pour utiliser des tags sécurisés avec Cloud NGFW, vous devez associer une valeur de tag à une instance de VM. Chaque clé de tag sécurisée accepte plusieurs valeurs de tag. Toutefois, pour chaque clé de tag, vous ne pouvez lier qu'une seule de ses valeurs de tag à une instance. Pour en savoir plus sur les autorisations IAM et sur la façon d'associer des tags sécurisés, consultez Associer des tags sécurisés.

Les exemples de cette section montrent comment les valeurs de balises liées s'appliquent aux interfaces réseau des VM. Prenons l'exemple d'une instance de VM instance1 avec deux interfaces réseau :

  • nic0 est connecté au réseau VPC network1.
  • nic1 est connecté au réseau VPC network2.

Les deux réseaux VPC appartiennent à la même organisation.

Instance de VM avec deux interfaces réseau, chacune connectée à un réseau VPC différent.
Figure 1. Instance de VM avec deux interfaces réseau, chacune connectée à un réseau VPC différent (cliquez pour agrandir).

L'attribut purpose-data de la clé de tag correspondante détermine la relation entre les valeurs de tag liées et les interfaces réseau des VM.

Clés de tag dont l'attribut purpose-data spécifie un réseau VPC

Supposons que vous créiez deux clés de tag avec les attributs purpose-data et les valeurs de tag suivants :

  • tag_key1 possède un attribut purpose-data qui spécifie le réseau VPC network1 et deux valeurs de tag tag_value1 et tag_value2.

  • tag_key2 possède un attribut purpose-data qui spécifie le réseau VPC network2 et une valeur de tag tag_value3.

L'attribut `purpose-data` de chaque clé de tag spécifie un seul réseau VPC.
Figure 2. L'attribut purpose-data de chaque clé de tag spécifie un seul réseau VPC (cliquez pour agrandir).

Lorsque vous associez les valeurs de tags sécurisés tag_value1 et tag_value3 à instance1 :

  • tag_value1 s'applique à l'interface réseau nic0, car son parent tag_key1 possède un attribut purpose-data qui spécifie le réseau VPC network1, et l'interface réseau nic0 se trouve dans network1.

  • tag_value3 s'applique à l'interface réseau nic1, car son parent tag_key2 possède un attribut purpose-data qui spécifie le réseau VPC network2, et l'interface réseau nic1 se trouve dans network2.

Le schéma suivant montre les valeurs des tags de liaison à partir de clés de tag dont l'attribut purpose-data spécifie un seul réseau VPC.

Valeurs de tag liées à des clés de tag dont l'attribut `purpose-data` spécifie un seul réseau VPC.
Figure 3. Valeurs de tag liées à des clés de tag dont l'attribut purpose-data spécifie un seul réseau VPC (cliquez pour agrandir).

Clés de tag dont l'attribut purpose-data spécifie l'organisation

Supposons que vous créiez deux clés de tag avec les attributs purpose-data et les valeurs de tag suivants :

  • tag_key3 possède un attribut purpose-data qui spécifie l'organisation parente et comporte deux valeurs de tag : tag_value4 et tag_value5.

  • tag_key4 possède un attribut purpose-data qui spécifie l'organisation parente et comporte une valeur de tag tag_value6.

L'attribut "purpose-data" de chaque clé de tag spécifie l'organisation parente.
Figure 4. L'attribut purpose-data de chaque clé de tag spécifie l'organisation parente (cliquez pour agrandir).

Lorsque vous associez la valeur de tag tag_value4 à instance1 :

  • tag_value4 s'applique à l'interface réseau nic0, car son parent tag_key3 possède un attribut purpose-data qui spécifie l'organisation parente contenant le réseau VPC network1, et l'interface réseau nic0 se trouve dans network1.

  • tag_value4 s'applique également à l'interface réseau nic1, car son tag_key3 parent inclut un attribut purpose-data qui spécifie l'organisation parente contenant le réseau VPC network2. L'interface réseau nic1 se trouve dans network2.

Le diagramme suivant montre les valeurs de tag de liaison à partir des clés de tag dont l'attribut purpose-data spécifie l'organisation parente.

Valeurs de tag liées à des clés de tag dont l'attribut "purpose-data" spécifie l'organisation parente.
Figure 5. Valeurs de tag liées à des clés de tag dont l'attribut purpose-data spécifie l'organisation parente (cliquez pour agrandir).

Configurer des tags sécurisés

Le workflow suivant fournit une séquence de haut niveau des étapes requises pour configurer des tags sécurisés dans les stratégies de pare-feu.

  1. Vous pouvez créer des tags sécurisés au niveau de l'organisation ou du projet. Pour créer un tag au niveau de l'organisation, vous devez d'abord obtenir l'autorisation IAM de l'administrateur de l'organisation. Pour en savoir plus, consultez Accorder des autorisations pour sécuriser les tags.

  2. Pour créer un tag sécurisé, vous devez d'abord créer une clé de tag. Cette clé de tag décrit le tag que vous créez. Pour en savoir plus, consultez Créer les clés et les valeurs des tags sécurisés.

  3. Une fois que vous avez créé une clé de tag sécurisé, vous devez y ajouter les valeurs de tag sécurisé pertinentes. Pour en savoir plus, consultez Créer les clés et les valeurs des tags sécurisés. Pour accorder aux utilisateurs un accès spécifique leur permettant de gérer les clés de tags sécurisés et d'associer les valeurs de tags aux ressources, utilisez la console Google Cloud . Pour en savoir plus, consultez Gérer l'accès aux tags.

  4. Une fois que vous avez créé un tag sécurisé, vous pouvez l'utiliser dans une stratégie de pare-feu réseau ou une stratégie de pare-feu hiérarchique. Pour en savoir plus, consultez Créer une stratégie de pare-feu hiérarchique et Créer une stratégie de pare-feu réseau.

  5. Pour autoriser le trafic sélectionné entre les VM avec les clés de tags sources et les clés de tags cibles, créez une règle de stratégie de pare-feu (réseau ou hiérarchique) avec les valeurs de tags sources et de tags cibles spécifiques. Pour en savoir plus, consultez Créer une règle de stratégie de pare-feu avec des tags sécurisés.

  6. Une fois qu'une clé de tag est créée et qu'un accès approprié est fourni pour la clé de tag et la ressource, la clé de tag peut être associée à une instance de VM. Pour en savoir plus, consultez Associer des tags sécurisés.

Comparaison des tags sécurisés et des tags réseau

Le tableau suivant récapitule les différences entre les tags sécurisés et les tags réseau. La coche  indique que l'attribut est compatible, et le symbole  indique qu'il ne l'est pas.

Attribut Tag sécurisé avec l'attribut purpose-data spécifiant un réseau VPC Tag sécurisé avec l'attribut purpose-data spécifiant l'organisation Balise de réseau
Ressource parente Projet ou organisation Projet ou organisation Projet
Structure et format Clé de tag contenant jusqu'à 1 000 valeurs Clé de tag contenant jusqu'à 1 000 valeurs Chaîne simple
Contrôle des accès Utiliser Cloud IAM Utiliser Cloud IAM Aucun contrôle des accès
Interfaces réseau applicables
  • Règle de pare-feu d'Ingress avec une valeur de tag sécurisé source : les sources incluent les interfaces réseau de VM dans le réseau VPC spécifié par l'attribut purpose-data de la clé de tag.
  • Règle de pare-feu d'Ingress ou de sortie avec une valeur de tag sécurisé cible : les cibles incluent les interfaces réseau de VM dans le réseau VPC spécifié par l'attribut purpose-data de la clé de tag.
  • Règle de pare-feu d'Ingress avec une valeur de tag sécurisé source : les sources incluent les interfaces réseau de VM dans n'importe quel réseau VPC de l'organisation parente.
  • Règle de pare-feu d'Ingress ou de sortie avec une valeur de tag sécurisé cible : les cibles incluent les interfaces réseau de VM dans n'importe quel réseau VPC de l'organisation parente.
  • Règle de pare-feu d'Ingress avec tag réseau source : les sources incluent les interfaces réseau de VM dans n'importe quel réseau VPC utilisé par la VM si ce réseau comporte des règles de pare-feu VPC utilisant le tag réseau source.
  • Règle de pare-feu d'Ingress ou de sortie avec un tag réseau cible : les cibles incluent les interfaces réseau de VM dans n'importe quel réseau VPC utilisé par la VM si ce réseau comporte des règles de pare-feu VPC utilisant le tag réseau cible.
Compatible avec les règles des stratégies de pare-feu hiérarchiques
Compatible avec les règles des stratégies de pare-feu réseau mondiales et régionales
Compatible avec les règles de pare-feu VPC
Les règles de pare-feu d'Ingress peuvent inclure des sources dans les réseaux VPC connectés à l'aide de l'appairage de réseaux VPC. 1 1
Les règles de pare-feu d'Ingress peuvent inclure des sources dans d'autres spokes VPC du hub Network Connectivity Center.
1 Une valeur de tag sécurisé source peut identifier des interfaces réseau dans un autre réseau VPC lorsque les deux conditions suivantes sont remplies :
  • L'attribut de clé de tag purpose-data spécifie l'autre réseau VPC (ou l'organisation parente contenant l'autre réseau VPC).
  • L'autre réseau VPC et le réseau VPC qui utilise la stratégie de pare-feu sont connectés à l'aide de l'appairage de réseaux VPC.

Rôles IAM

Pour en savoir plus sur les rôles et autorisations IAM dont vous avez besoin pour créer et gérer des tags sécurisés, consultez Gérer les tags sur les ressources.

Étapes suivantes