Tags seguras para firewalls

As regras do Cloud Next Generation Firewall usam tags para especificar origens e destinos. Essa abordagem flexível evita a dependência de endereços IP.

Tipos de tags

O Cloud NGFW é compatível com dois tipos de tags:

  • As tags gerenciadas pelo Identity and Access Management (IAM), também chamadas de tags seguras, são criadas e gerenciadas no Resource Manager como chaves e valores de tag. Os valores de tags seguras podem ser usados para especificar origens de regras de entrada e destinos de regras de entrada ou saída em uma política hierárquica de firewall, uma política de firewall de rede global ou uma política de firewall de rede regional.

  • As tags de rede são strings de caracteres sem controles de acesso que podem ser adicionadas a instâncias de máquina virtual (VM) ou modelos de instância. As tags de rede podem ser usadas para especificar origens de regras de firewall de entrada da nuvem privada virtual (VPC) e destinos de regras de firewall de entrada ou saída da VPC. As tags de rede não podem ser usadas por regras em uma política hierárquica de firewall, uma política de firewall de rede global ou uma política de firewall de rede regional. Para mais informações sobre tags de rede, consulte Adicionar tags de rede.

Para mais informações sobre as diferenças entre tags seguras e de rede, consulte Comparação entre tags seguras e de rede.

A seção a seguir desta página descreve as tags seguras em políticas de firewall.

Especificações

As tags seguras têm as seguintes especificações:

  • Recurso pai: o recurso pai é aquele em que a chave de tag segura é definida. As chaves de tag podem ser criadas em um projeto ou uma organização pai. Para mais informações sobre como criar chaves de tag, consulte Criar e gerenciar tags seguras.

  • Finalidade e dados de finalidade: para usar uma chave de tag segura com o Cloud NGFW, defina o atributo purpose da chave de tag como GCE_FIREWALL e especifique o atributo purpose-data:

    • É possível definir o atributo purpose-data da chave de tag como network, seguido por uma única especificação de rede VPC.

      • Para chaves de tag com um projeto pai, se você definir o atributo purpose-data da chave de tag como network, a rede VPC especificada precisará estar localizada no mesmo projeto que a chave de tag.

      • Para chaves de tag com uma organização principal, se você definir o atributo purpose-data da chave de tag como network, a rede VPC especificada precisará estar localizada na mesma organização da chave de tag.

    • Você pode definir o atributo purpose-data da chave de tag como organization=auto. Isso identifica todas as redes VPC na organização.

    Nem o atributo purpose nem o purpose-data podem ser mudados depois que você cria uma chave de tag. Para mais informações sobre como formatar a especificação de rede no atributo purpose-data de uma chave de tag, consulte Finalidade na documentação da API Resource Manager.

  • Estrutura e formato: uma chave de tag segura pode referenciar até 1.000 valores de tag exclusivos. Os principais do IAM com o papel de administrador de tags (roles/resourcemanager.tagAdmin) criam chaves e valores para cada chave de tag. Para mais informações sobre os limites de tags seguras, consulte Limites.

  • Mover projetos entre organizações: é possível mover um projeto de uma organização para outra. Antes de mover um projeto, remova todas as chaves de tag que tenham um atributo purpose-data especificando uma organização usada no projeto da organização original. Se você não remover as tags de segurança primeiro, uma mensagem de erro vai aparecer durante a movimentação.

  • Controle de acesso: as políticas do IAM determinam quais principais do IAM podem gerenciar e usar tags seguras:

    • Os principais do IAM com o papel de administrador de tags (roles/resourcemanager.tagAdmin) podem criar chaves de tag e gerenciar os valores delas:

      • Os principais do IAM que receberam o papel de administrador de tags (roles/resourcemanager.tagAdmin) na política do IAM da organização podem criar chaves de tag com a organização como pai.

      • Os participantes do IAM que receberam o papel de administrador de tags (roles/resourcemanager.tagAdmin) na política do IAM da organização, de uma pasta ou de um projeto podem criar chaves de tag com um projeto como pai.

    • Os principais do IAM com a função Usuário de tag (roles/resourcemanager.tagUser) podem vincular valores de tag a instâncias de VM ou usar valores de tag em regras de firewall de uma política hierárquica de firewall, uma política de firewall de rede global ou uma política de firewall de rede regional.

      • Os principais do IAM que receberam a função de usuário de tag (roles/resourcemanager.tagUser) na política do IAM da organização podem usar valores de tag de chaves de tag que têm a organização como principal.

      • Os principais do IAM que receberam o papel de usuário de tag (roles/resourcemanager.tagUser) na política do IAM da organização, de uma pasta ou de um projeto podem usar valores de tag de chaves de tag com um projeto como pai.

    • Os principais do IAM que são desenvolvedores, administradores de banco de dados ou equipes operacionais podem receber o papel de usuário de tag (roles/resourcemanager.tagUser) e outros papéis adequados sem precisar receber o papel de administrador de segurança do Compute (roles/compute.securityAdmin). Assim, as equipes operacionais podem controlar quais regras de firewall se aplicam às interfaces de rede das instâncias de VM que gerenciam sem poder modificar essas regras.

    Para mais informações sobre as permissões necessárias, consulte Papéis do IAM.

  • Suporte a regras de firewall: as regras em políticas hierárquicas de firewall, políticas de firewall de rede global e políticas de firewall de rede regional são compatíveis com chaves de tag como tags seguras de origem ou de destino. As regras de firewall da VPC não são compatíveis com tags seguras. Para mais informações, consulte Comparação entre tags seguras e tags de rede.

  • Vinculação de VM e regras de firewall aplicáveis: quando você vincula um valor de tag segura a uma instância de VM, as regras de firewall aplicáveis que usam o valor da tag incluem interfaces de rede de VM como origens ou destinos:

    • Se o valor da tag segura vinculada à instância for de uma chave de tag cujo atributo purpose-data especifica uma única rede VPC:

      • As regras de firewall de entrada que usam esse valor de tag como uma tag segura de origem têm origens que incluem as interfaces de rede da VM na rede VPC especificada.

      • As regras de firewall de entrada e saída que usam esse valor de tag como uma tag segura de destino têm destinos que incluem as interfaces de rede da VM na rede VPC especificada.

    • Se o valor da tag segura vinculada à instância for de uma chave de tag cujo atributo purpose-data especifica uma organização:

      • As regras de firewall de entrada que usam esse valor de tag como uma tag segura de origem têm origens que incluem as interfaces de rede da VM em qualquer rede VPC da organização.

      • As regras de firewall de entrada e saída que usam esse valor de tag como uma tag de segurança de destino têm destinos que incluem as interfaces de rede da VM em qualquer rede VPC da organização.

  • Como as regras de firewall aplicáveis identificam pacotes: o Cloud NGFW mapeia tags seguras de origem e destino para interfaces de rede, não endereços IP:

    • Quando uma tag segura de origem de uma regra de firewall de entrada inclui uma interface de rede de VM como origem, Google Cloud corresponde a todos os pacotes enviados dessa interface de rede.

    • Quando uma tag segura de destino de uma regra de firewall de entrada inclui uma interface de rede de VM como destino, Google Cloud corresponde a todos os pacotes recebidos por essa interface de rede.

    • Quando uma tag segura de destino de uma regra de firewall de saída inclui uma interface de rede de VM como destino, Google Cloud corresponde a todos os pacotes enviados dessa interface de rede.

  • Número de valores de tag por instância: é possível vincular cada valor de tag a um número ilimitado de instâncias de VM. O número de valores de tag que cada instância aceita é variável.O Google Cloud impõe um limite de 10 valores de tag que se aplicam a cada interface de rede de uma VM.O Google Cloud impede que você vincule outros valores de tag a uma instância de VM se mais de 10 valores de tag se aplicarem a uma ou mais interfaces de rede dela. Para mais informações, consulte Vincular tags seguras.

  • Compatibilidade com peering de rede VPC: as tags seguras de origem nas regras de entrada de uma política de firewall podem identificar interfaces de rede de VM de origem que estão em redes VPC com peering. Isso é útil para consumidores de serviços publicados que usam o acesso a serviços particulares. Ao usar regras de firewall de entrada com tags seguras de origem, os consumidores podem controlar quais VMs produtor de serviços podem enviar pacotes para as VMs consumidoras.

  • Tags seguras com o Google Kubernetes Engine (GKE): as tags seguras criadas com a configuração purpose-data=organization=auto não são compatíveis com os clusters e pools de nós do GKE. Portanto, crie uma chave de tag segura para cada rede VPC. Para mais informações, consulte Criar e gerenciar tags seguras.

Vincular tags seguras

Para usar tags seguras com o Cloud NGFW, vincule um valor de tag a uma instância de VM. Cada chave de tag segura aceita vários valores de tag. No entanto, para cada chave de tag, é possível vincular apenas um dos valores de tag a uma instância. Para mais informações sobre permissões do IAM e como vincular tags seguras, consulte Vincular tags seguras.

Os exemplos nesta seção mostram como os valores de tag vinculados se aplicam às interfaces de rede da VM. Considere o exemplo de instância de VM instance1 com duas interfaces de rede:

  • nic0 está conectado à rede VPC network1
  • nic1 está conectado à rede VPC network2

As duas redes VPC estão na mesma organização.

Instância de VM com duas interfaces de rede, cada uma conectada a uma rede VPC diferente.
Figura 1. Instância de VM com duas interfaces de rede, cada uma conectada a uma rede VPC diferente (clique para ampliar).

O atributo purpose-data da chave de tag correspondente determina a relação entre os valores de tag vinculados e as interfaces de rede da VM.

Chaves de tag cujo atributo purpose-data especifica uma rede VPC

Suponha que você crie duas chaves de tag com os seguintes atributos purpose-data e valores de tag:

  • tag_key1 tem um atributo purpose-data que especifica a rede VPC network1 e dois valores de tag tag_value1 e tag_value2.

  • tag_key2 tem um atributo purpose-data que especifica a rede VPC network2 e um valor de tag tag_value3.

O atributo `purpose-data` de cada chave de tag especifica uma única rede VPC.
Figura 2. O atributo purpose-data de cada chave de tag especifica uma única rede VPC (clique para ampliar).

Ao vincular os valores de tag segura tag_value1 e tag_value3 a instance1:

  • tag_value1 se aplica à interface de rede nic0 porque o pai tag_key1 tem um atributo purpose-data que especifica a rede VPC network1, e a interface de rede nic0 está em network1.

  • tag_value3 se aplica à interface de rede nic1 porque o pai tag_key2 tem um atributo purpose-data que especifica a rede VPC network2, e a interface de rede nic1 está em network2.

O diagrama a seguir mostra valores de tag de vinculação de chaves de tag cujo atributo purpose-data especifica uma única rede VPC.

Valores de tag vinculados de chaves de tag cujo atributo "purpose-data" especifica uma única rede VPC.
Figura 3. Valores de tag vinculados de chaves de tag cujo atributo purpose-data especifica uma única rede VPC (clique para ampliar).

Chaves de tag cujo atributo purpose-data especifica a organização

Suponha que você crie duas chaves de tag com os seguintes atributos purpose-data e valores de tag:

  • tag_key3 tem um atributo purpose-data que especifica a organização principal e tem dois valores de tag tag_value4 e tag_value5.

  • tag_key4 tem um atributo purpose-data que especifica a organização principal e tem um valor de tag tag_value6.

O atributo `purpose-data` de cada chave de tag especifica a organização principal.
Figura 4. O atributo purpose-data de cada chave de tag especifica a organização principal (clique para ampliar).

Ao vincular o valor de tag tag_value4 a instance1:

  • tag_value4 se aplica à interface de rede nic0 porque o pai tag_key3tem um atributo purpose-data que especifica a organização pai que contém a rede VPC network1, e a interface de rede nic0 está em network1.

  • tag_value4 também se aplica à interface de rede nic1 porque o tag_key3 pai inclui um atributo purpose-data que especifica a organização pai que contém a rede VPC network2. A interface de rede nic1 está em network2.

O diagrama a seguir mostra a vinculação de valores de tag de chaves de tag cujo atributo purpose-data especifica a organização mãe.

Valores de tag vinculados de chaves de tag cujo atributo "purpose-data" especifica a organização principal.
Figura 5. Valores de tag vinculados de chaves de tag cujo atributo purpose-data especifica a organização mãe (clique para ampliar).

Configurar tags seguras

O fluxo de trabalho a seguir mostra uma sequência de alto nível das etapas necessárias para configurar tags seguras em políticas de firewall.

  1. É possível criar tags seguras no nível da organização ou do projeto. Para criar uma tag no nível da organização, primeiro você precisa receber permissão do IAM pelo administrador da organização. Para mais informações, consulte Conceder permissões para tags seguras.

  2. Para criar uma tag segura, primeiro crie uma chave de tag. Essa chave de tag descreve a tag que você está criando. Para mais informações, consulte Criar chaves e valores de tags seguras.

  3. Depois de criar uma chave de tag segura, adicione os valores de tag segura relevantes a ela. Para mais informações, consulte Criar chaves e valores de tags seguras. Para conceder aos usuários acesso específico para gerenciar chaves de tag seguras e anexar valores de tag aos recursos, use o console Google Cloud . Para mais informações, consulte Gerenciar o acesso a tags.

  4. Depois de criar uma tag segura, você pode usá-la em uma política de firewall de rede ou em uma política de firewall hierárquica. Para mais informações, consulte Criar uma política hierárquica de firewall e Criar uma política de firewall de rede.

  5. Para permitir o tráfego selecionado entre as VMs com as chaves de tag de origem e de destino, crie uma regra de política de firewall (de rede ou hierárquica) com os valores específicos de tag de origem e de destino. Para mais informações, consulte Criar uma regra de política de firewall com tags seguras.

  6. Depois que uma chave de tag é criada e o acesso apropriado é concedido a ela e ao recurso, a chave de tag pode ser vinculada a uma instância de VM. Para mais informações, consulte Vincular tags seguras.

Comparação entre tags seguras e de rede

A tabela a seguir resume as diferenças entre tags seguras e de rede. A marca de seleção indica que o atributo é compatível, e o símbolo indica que não há suporte para o atributo.

Atributo Tag segura com atributo purpose-data especificando uma rede VPC Tag segura com o atributo purpose-data especificando a organização Tag de rede
Recurso pai Projeto ou organização Projeto ou organização Projeto
Estrutura e formato Chave de tag com até 1.000 valores Chave de tag com até 1.000 valores String simples
Controle de acesso Como usar o IAM Como usar o IAM Sem controle de acesso
Interfaces de rede aplicáveis
  • Regra de firewall de entrada com valor de tag segura de origem: as origens incluem interfaces de rede de VM na rede VPC especificada pelo atributo purpose-data da chave de tag.
  • Regra de firewall de entrada ou saída com valor de tag segura de destino: os destinos incluem interfaces de rede de VM na rede VPC especificada pelo atributo purpose-data da chave de tag.
  • Regra de firewall de entrada com valor de tag segura de origem: as origens incluem interfaces de rede de VM em qualquer rede VPC da organização principal.
  • Regra de firewall de entrada ou saída com valor de tag segura de destino: os destinos incluem interfaces de rede de VM em qualquer rede VPC da organização principal.
  • Regra de firewall de entrada com tag de rede de origem: as origens incluem interfaces de rede de VM em qualquer rede VPC usada pela VM se essa rede tiver regras de firewall da VPC usando a tag de rede de origem.
  • Regra de firewall de entrada ou saída com tag de rede de destino: os destinos incluem interfaces de rede de VM em qualquer rede VPC usada pela VM se essa rede tiver regras de firewall da VPC usando a tag de rede de destino.
Compatível com regras em políticas hierárquicas de firewall
Compatível com regras em políticas de firewall de rede globais e regionais
Compatível com regras de firewall da VPC
As regras de firewall de entrada podem incluir origens em redes VPC conectadas usando o peering de rede VPC. 1 1
As regras de firewall de entrada podem incluir origens em outros spokes de VPC no hub do Network Connectivity Center.
1Um valor de tag segura de origem pode identificar interfaces de rede em outra rede VPC quando as duas condições a seguir são verdadeiras:
  • O atributo da chave de tag purpose-data especifica a outra rede VPC (ou a organização mãe que contém a outra rede VPC).
  • A outra rede VPC e a rede VPC que usa a política de firewall estão conectadas usando o peering de rede VPC.

Papéis IAM

Para mais informações sobre os papéis e as permissões do IAM necessários para criar e gerenciar tags seguras, consulte Gerenciar tags em recursos.

A seguir