Las políticas de cortafuegos de red globales te permiten actualizar en lote todas las reglas de cortafuegos agrupándolas en un solo objeto de política. Puedes asignar políticas de cortafuegos de red a una red de nube privada virtual (VPC). Estas políticas contienen reglas que pueden denegar o permitir conexiones de forma explícita.
Especificaciones
- Las políticas de cortafuegos de red globales son recursos de contenedor de reglas de cortafuegos.
Cada recurso de política de cortafuegos de red global se define en un proyecto.
- Después de crear una política de cortafuegos de red global, puede añadir, actualizar y eliminar reglas de cortafuegos en la política.
- Para obtener información sobre las especificaciones de las reglas de las políticas de cortafuegos de red globales, consulta Reglas de políticas de cortafuegos.
- Para aplicar reglas de políticas de cortafuegos de red globales a una red de VPC, debes asociar la política de cortafuegos a esa red de VPC.
- Puedes asociar una política de cortafuegos de red global a varias redes de VPC. Asegúrate de que la política de cortafuegos y las redes asociadas pertenezcan al mismo proyecto.
- Cada red de VPC solo se puede asociar a una política de cortafuegos de red global.
- Si la política de cortafuegos no está asociada a ninguna red de VPC, las reglas de esa política no tendrán ningún efecto. Una política de cortafuegos que no esté asociada a ninguna red es una política de cortafuegos de red global no asociada.
- Cuando una política de cortafuegos de red global se asocia a una o varias redes de VPC, las reglas de la política de cortafuegos se aplican de las siguientes formas:
- Las reglas ya creadas se aplican a los recursos correspondientes de las redes de VPC asociadas.
- Los cambios que se hagan en las reglas se aplicarán a los recursos correspondientes de las redes de VPC asociadas.
- Las reglas de las políticas de cortafuegos de red globales se aplican junto con otras reglas de cortafuegos, tal como se describe en el orden de evaluación de políticas y reglas.
Usa reglas de políticas de firewall de red globales para configurar la inspección de capa 7 del tráfico coincidente, como cuando se usa el servicio de filtrado de URL o el servicio de detección y prevención de intrusiones.
Crea una regla de política de cortafuegos con
apply_security_profile_groupaction y el nombre del grupo de perfiles de seguridad. El tráfico que coincide con la regla de política de cortafuegos se reenvía de forma transparente al endpoint del cortafuegos para que se inspeccione en la capa 7. Para saber cómo crear una regla de política de cortafuegos, consulta Crear reglas de cortafuegos de red globales.
Detalles de la regla de la política de cortafuegos de red global
Para obtener más información sobre los componentes y los parámetros de las reglas de una política de cortafuegos de red global, consulta Reglas de políticas de cortafuegos.
En la siguiente tabla se resumen las principales diferencias entre las reglas de políticas de cortafuegos de red globales y las reglas de cortafuegos de VPC:
| Reglas de políticas de cortafuegos de red globales | Reglas de cortafuegos de VPC | |
|---|---|---|
| Número de prioridad | Debe ser único en una política | Se permiten prioridades duplicadas |
| Cuentas de servicio como destinos | Sí | Sí |
| Cuentas de servicio como fuentes (solo reglas de entrada) |
No | Sí |
| Tipo de etiqueta | Etiqueta segura | Etiqueta de red |
| Nombre y descripción | Nombre de la política, política y descripción de la regla | Nombre y descripción de la regla |
| Actualización por lotes | Sí, para las funciones de clonación, edición y sustitución de políticas | No |
| Reutilizar | Sí | No |
| Cuota | Número de atributos: se basa en la complejidad total de cada regla de la política. | Número de reglas: las reglas de cortafuegos complejas y sencillas tienen el mismo impacto en la cuota. |
Reglas predefinidas
Cuando creas una política de cortafuegos de red global, Cloud Next Generation Firewall añade reglas predefinidas con la prioridad más baja a la política. Estas reglas se aplican a las conexiones que no coinciden con ninguna regla definida explícitamente en la política, lo que provoca que esas conexiones se transfieran a políticas o reglas de red de nivel inferior.
Para obtener información sobre los distintos tipos de reglas predefinidas y sus características, consulte el artículo Reglas predefinidas.
roles de Gestión de Identidades y Accesos
Los roles de gestión de identidades y accesos controlan las siguientes acciones en relación con las políticas de cortafuegos de red globales:
- Crear una política de cortafuegos de red global
- Asociar una política a una red
- Modificar una política
- Ver las reglas de cortafuegos efectivas de una red o una VM concretas
En la siguiente tabla se describen los roles necesarios para cada acción:
| Acción | Rol necesario |
|---|---|
| Crear una política de cortafuegos de red global | Rol Administrador de seguridad de Compute (roles/compute.securityAdmin)
en el proyecto al que pertenece la política |
| Asociar una política a una red | Rol Administrador de red de Compute (roles/compute.networkAdmin)
en el proyecto en el que se aplicará la política
|
| Modificar la política añadiendo, actualizando o eliminando reglas de cortafuegos de la política | Rol Administrador de seguridad de Compute (roles/compute.securityAdmin)
en el proyecto en el que se aplicará la política |
| Eliminar la política | Rol Administrador de red de Compute (roles/compute.networkAdmin)
en el proyecto en el que se aplicará la política |
| Ver las reglas de cortafuegos efectivas de una red de VPC | Cualquiera de los siguientes roles de la red: Rol Administrador de red de Compute ( roles/compute.networkAdmin)Rol Lector de red de Compute ( roles/compute.networkViewer)Rol Administrador de seguridad de Compute ( roles/compute.securityAdmin)Rol Lector de Compute ( roles/compute.viewer)
|
| Ver las reglas de cortafuegos vigentes de una VM en una red | Cualquiera de los siguientes roles de la VM: Rol Administrador de instancias de Compute (v. 1) ( roles/compute.instanceAdmin)Rol Administrador de seguridad de Compute ( roles/compute.securityAdmin)Rol Lector de Compute ( roles/compute.viewer)
|
Los siguientes roles son relevantes para las políticas de cortafuegos de red globales.
| Nombre de rol | Descripción |
|---|---|
Rol Administrador de seguridad de Compute (roles/compute.securityAdmin)
|
Se puede conceder a nivel de proyecto o de política. Si se concede para un proyecto, permite a los usuarios crear, actualizar y eliminar políticas de cortafuegos de red globales y sus reglas. A nivel de política, permite a los usuarios actualizar las reglas de la política, pero no crearla ni eliminarla. Este rol también permite a los usuarios asociar una política a una red. |
Rol Administrador de red de Compute (roles/compute.networkAdmin)
|
Se concede a nivel de proyecto o de red. Si se concede para una red, permite a los usuarios ver la lista de políticas de cortafuegos de red globales. |
Rol Lector de Compute (roles/compute.viewer)Rol Usuario de red de Compute ( roles/compute.networkUser)Rol Lector de red de Compute ( roles/compute.networkViewer) |
Permite a los usuarios ver las reglas de cortafuegos aplicadas a la red o a la instancia. Incluye el permiso compute.networks.getEffectiveFirewalls
para redes y el permiso compute.instances.getEffectiveFirewalls para instancias. |