Créer et gérer des règles de mise en miroir

Cette page explique comment créer et gérer des règles de mise en miroir à l'aide de Google Cloud CLI. Avant de créer une règle de mise en miroir de paquets, vous devez créer un groupe de points de terminaison et des associations de groupes de points de terminaison. Pour en savoir plus, consultez Configurer les services consommateurs.

Créer et gérer des règles de mise en miroir pour les stratégies de pare-feu réseau

Dans cette section, découvrez comment créer et gérer des règles de mise en miroir pour les stratégies de pare-feu réseau mondiales.

Créer une stratégie de pare-feu avec une règle de mise en miroir

Créez une règle de mise en miroir de paquets dans une stratégie de pare-feu réseau.

Console

Pour créer une stratégie de pare-feu réseau, procédez comme suit :

  1. Dans la console Google Cloud , accédez à la page Règles de pare-feu.

    Accéder à la page Règles de pare-feu

  2. Dans la liste des sélecteurs de projet, sélectionnez votre Google Cloud projet au sein de votre organisation.

  3. Cliquez sur Créer une stratégie de pare-feu.

  4. Dans le champ Nom de la règle, saisissez un nom pour la règle.

  5. Pour le Champ d'application du déploiement, sélectionnez Mondial.

  6. Pour créer des règles de mise en miroir pour votre stratégie, cliquez sur Continuer > Continuer.

  7. Dans la section Ajouter des règles de mise en miroir, cliquez sur Créer une règle de mise en miroir.

    1. Dans le champ Priorité, définissez le numéro de commande de la règle, où 0 correspond à la priorité la plus élevée.
    2. Pour Direction du trafic, sélectionnez Entrée.
    3. Pour Action en cas de correspondance, sélectionnez Miroir.
    4. Pour Groupe de profils de sécurité, sélectionnez le groupe de profils de sécurité de mise en miroir personnalisée.
    5. Pour Cible, spécifiez la cible de la règle.
    6. Pour Source, spécifiez le filtre source.
    7. Pour Destinations, spécifiez les filtres de destination.
    8. Dans la section Protocoles et ports, spécifiez que la règle s'applique à tous les protocoles et à tous les ports de destination, ou spécifiez à quels protocoles et ports de destination elle s'applique.
    9. Cliquez sur Créer.

  8. Si vous souhaitez associer la stratégie à un réseau, cliquez sur Continuer, puis sur Associer la stratégie à des réseaux. Pour en savoir plus, consultez Associer une règle au réseau.

  9. Cliquez sur Créer.

gcloud

Pour créer une règle de mise en miroir dans une stratégie de pare-feu réseau, utilisez la commande gcloud compute network-firewall-policies mirroring-rules create :

 gcloud compute network-firewall-policies mirroring-rules create PRIORITY \
     --action ACTION \
     --firewall-policy FIREWALL_POLICY \
     --global-firewall-policy \
     --security-profile-group SECURITY_PROFILE_GROUP \
     --description DESCRIPTION \
     --direction DIRECTION \
     --layer4-configs LAYER4_CONIFG \
     --src-ip-ranges SRC_IP_RANGE \
     --dest-ip-ranges DEST_IP_RANGE

Remplacez les éléments suivants :

  • PRIORITY : priorité de la règle à ajouter.

  • ACTION : action à effectuer si la requête correspond à la condition de correspondance. ACTION doit être mirror ou do_not_mirror.

  • FIREWALL_POLICY : ID de la stratégie de pare-feu avec laquelle créer une règle.

  • SECURITY_PROFILE_GROUP : nom du groupe de profils de sécurité qui possède un profil de sécurité CUSTOM_MIRRORING et qui est utilisé avec l'action mirror.

  • DESCRIPTION : description facultative de la règle de mise en miroir.

  • DIRECTION : indique si la règle est une règle ingress ou egress. Si le sens n'est pas spécifié, la règle s'applique par défaut au trafic entrant. Pour le trafic entrant, vous ne pouvez pas spécifier de plages de destination. Pour le trafic sortant, vous ne pouvez pas spécifier de plages sources ni de tags sources.

  • LAYER4_CONFIG : liste des protocoles et ports de destination auxquels la règle de pare-feu s'applique.

  • SRC_IP_RANGE : plages d'adresses IP sources. Cette valeur n'est spécifiée que si DIRECTION est défini sur ingress.

  • DEST_IP_RANGE : plages d'adresses IP de destination. Cette valeur n'est spécifiée que si DIRECTION est défini sur egress.

Terraform

Pour créer une règle de mise en miroir, vous pouvez utiliser une ressource google_compute_network_firewall_policy_packet_mirroring_rule.

resource "google_compute_network_firewall_policy_packet_mirroring_rule" "default" {
  provider               = google-beta
  firewall_policy        = google_compute_network_firewall_policy.default.name
  priority               = 1000
  action                 = "mirror"
  direction              = "INGRESS"
  security_profile_group = google_network_security_security_profile_group.default.id

  match {
    layer4_configs {
      ip_protocol = "tcp"
      ports       = ["80"]
    }
    src_ip_ranges = ["10.10.0.0/16"]
  }
}

Pour savoir comment appliquer ou supprimer une configuration Terraform, consultez Commandes Terraform de base.

Décrire une règle de mise en miroir

Décrivez la règle de mise en miroir de la stratégie de pare-feu réseau à la priorité spécifiée.

Console

  1. Dans la console Google Cloud , accédez à la page Règles de pare-feu.

    Accéder à la page Règles de pare-feu

  2. Dans le sélecteur de projets, sélectionnez votre projet Google Cloud contenant la stratégie de pare-feu réseau au niveau mondial.

  3. Cliquez sur la stratégie.

  4. Pour afficher les détails d'une règle, cliquez sur sa priorité.

gcloud

Pour décrire une règle de mise en miroir dans une stratégie de pare-feu réseau, utilisez la commande gcloud compute network-firewall-policies mirroring-rules describe :

 gcloud compute network-firewall-policies mirroring-rules describe PRIORITY \
     --firewall-policy FIREWALL_POLICY \
     --global-firewall-policy

Remplacez les éléments suivants :

  • PRIORITY : priorité de la règle à décrire

  • FIREWALL_POLICY : ID de la stratégie de pare-feu avec laquelle décrire la règle

Mettre à jour une règle de mise en miroir

Mettez à jour une règle de mise en miroir dans une stratégie de pare-feu réseau.

Console

  1. Dans la console Google Cloud , accédez à la page Règles de pare-feu.

    Accéder à la page Règles de pare-feu

  2. Dans le sélecteur de projets, sélectionnez votre projet Google Cloud contenant la règle.

  3. Cliquez sur la stratégie.

  4. Dans la section Règles de mise en miroir, cliquez sur la priorité de la règle que vous souhaitez modifier.

  5. Cliquez sur Modifier.

  6. Une fois la règle modifiée, cliquez sur Enregistrer.

gcloud

Pour mettre à jour une règle de mise en miroir dans une stratégie de pare-feu réseau, exécutez la commande gcloud compute network-firewall-policies mirroring-rules update :

 gcloud compute network-firewall-policies mirroring-rules update PRIORITY \
     --action ACTION \
     --firewall-policy FIREWALL_POLICY \
     --global-firewall-policy \
     --security-profile-group SECURITY_PROFILE_GROUP \
     --description DESCRIPTION \
     --direction DIRECTION \
     --layer4-configs LAYER4_CONIFG \
     --src-ip-ranges SRC_IP_RANGE \
     --dest-ip-ranges DEST_IP_RANGE

Remplacez les éléments suivants :

  • PRIORITY : priorité de la règle à mettre à jour.

  • ACTION : action à effectuer si la requête correspond à la condition de correspondance. ACTION doit être mirror ou do_not_mirror.

  • FIREWALL_POLICY : ID de la stratégie de pare-feu avec laquelle mettre à jour une règle.

  • SECURITY_PROFILE_GROUP : nom du groupe de profils de sécurité qui possède un profil de sécurité CUSTOM_MIRRORING ou si ACTION est mirror.

  • DESCRIPTION : description facultative de la règle de mise en miroir.

  • DIRECTION : indique si la règle est une règle ingress ou egress. Si le sens n'est pas spécifié, la règle s'applique par défaut au trafic entrant. Pour le trafic entrant, vous ne pouvez pas spécifier de plages de destination. Pour le trafic sortant, vous ne pouvez pas spécifier de plages sources ni de tags sources.

  • LAYER4_CONFIG : liste des protocoles et ports de destination auxquels la règle de pare-feu s'appliquera.

  • SRC_IP_RANGE : plages d'adresses IP sources. Cette valeur n'est spécifiée que si DIRECTION est défini sur ingress.

  • DEST_IP_RANGE : plages d'adresses IP de destination. Cette valeur n'est spécifiée que si DIRECTION est défini sur egress.

Supprimer une règle de mise en miroir

Supprimez la règle de mise en miroir de paquets à la priorité spécifiée.

Console

  1. Dans la console Google Cloud , accédez à la page Règles de pare-feu.

    Accéder à la page Règles de pare-feu

  2. Dans le sélecteur de projets, sélectionnez votre projet Google Cloud contenant la règle.

  3. Cliquez sur la stratégie.

  4. Sélectionnez la règle de mise en miroir que vous souhaitez supprimer.

  5. Cliquez sur Supprimer.

gcloud

Pour supprimer une règle de mise en miroir d'une stratégie de pare-feu réseau, utilisez la commande gcloud compute network-firewall-policies mirroring-rules delete :

 gcloud compute network-firewall-policies mirroring-rules delete PRIORITY \
     --firewall-policy FIREWALL_POLICY \
     --global-firewall-policy

Remplacez les éléments suivants :

  • PRIORITY : priorité de la règle à supprimer

  • FIREWALL_POLICY : ID de la stratégie de pare-feu à partir de laquelle supprimer une règle

Étapes suivantes