Etiquetas seguras para firewalls

Las reglas de Cloud Next Generation Firewall usan etiquetas para especificar orígenes y destinos. Este enfoque flexible evita la dependencia de las direcciones IP.

Tipos de etiquetas

Cloud NGFW admite dos tipos de etiquetas:

  • Las etiquetas administradas por Identity and Access Management (IAM), también conocidas como etiquetas seguras, se crean y administran en Resource Manager como claves y valores de etiquetas. Los valores de etiquetas seguras se pueden usar para especificar orígenes para reglas de entrada y destinos para reglas de entrada o salida en una política de firewall jerárquica, una política de firewall de red global o una política de firewall de red regional.

  • Las etiquetas de red son cadenas de caracteres sin controles de acceso que se pueden agregar a las instancias de máquina virtual (VM) o a las plantillas de instancias. Las etiquetas de red se pueden usar para especificar orígenes para reglas de firewall de nube privada virtual (VPC) de entrada y destinos para reglas de firewall de VPC de entrada o salida. Las reglas de una política de firewall jerárquica, una política de firewall de red global o una política de firewall de red regional no pueden usar etiquetas de red. Para obtener más información sobre las etiquetas de red, consulta Agrega etiquetas de red.

Para obtener más información sobre las diferencias entre las etiquetas seguras y las etiquetas de red tags, consulta Comparación de etiquetas seguras y etiquetas de red.

En la siguiente sección de esta página, se describen las etiquetas seguras en las políticas de firewall.

Especificaciones

Las etiquetas seguras tienen las siguientes especificaciones:

  • Recurso superior: El recurso superior es el recurso en el que se define la clave de etiqueta segura. Las claves de etiqueta se pueden crear en un proyecto superior o en una organización . Para obtener más información sobre cómo crear claves de etiqueta, consulta Crea y administra etiquetas seguras.

  • Propósito y datos de propósito: Para usar una clave de etiqueta segura con Cloud NGFW, debes establecer el atributo purpose de la clave de etiqueta en GCE_FIREWALL y especificar el atributo purpose-data:

    • Puedes establecer el atributo purpose-data de la clave de etiqueta en network, seguido de una sola especificación de red de VPC.

      • Para las claves de etiqueta con un proyecto superior, si estableces el atributo purpose-data de la clave de etiqueta en network, la red de VPC especificada debe ubicarse en el mismo proyecto que la clave de etiqueta.

      • Para las claves de etiqueta con una organización superior, si estableces el atributo purpose-data de la clave de etiqueta en network, la red de VPC especificada debe ubicarse en la misma organización que la clave de etiqueta.

    • Puedes establecer el atributo purpose-data de la clave de etiqueta en organization=auto. Esto identifica todas las redes de VPC de la organización.

    No se puede cambiar el atributo purpose ni el atributo purpose-data después de crear una clave de etiqueta. Para obtener más información sobre cómo dar formato a la especificación de red en el purpose-data atributo de una clave de etiqueta, consulta Propósito en la documentación de la API de Resource Manager.

  • Estructura y formato: Una clave de etiqueta segura puede hacer referencia a hasta 1,000 valores de etiqueta únicos. Los principales de IAM con el rol de administrador de etiquetas (roles/resourcemanager.tagAdmin) crean claves y valores de etiqueta para cada clave de etiqueta. Para obtener más información sobre los límites de etiquetas seguras, consulta Límites.

  • Cómo mover proyectos entre organizaciones: Puedes mover un proyecto de una organización a otra. Antes de mover un proyecto, desconecta las claves de etiqueta que tengan un atributo purpose-data que especifique una organización que se use en tu proyecto de la organización original. Si no desconectas las etiquetas seguras primero, recibirás un mensaje de error durante el movimiento.

  • Control de acceso: Las políticas de IAM determinan qué principales de IAM pueden administrar y usar etiquetas seguras:

    • Los principales de IAM con el rol de administrador de etiquetas (roles/resourcemanager.tagAdmin) pueden crear claves de etiqueta y administrar sus valores de etiqueta:

      • Los principales de IAM a los que se les otorgó el rol de administrador de etiquetas (roles/resourcemanager.tagAdmin) en la política de IAM de la organización pueden crear claves de etiqueta con la organización como su superior.

      • Los principales de IAM a los que se les otorgó el rol de administrador de etiquetas (roles/resourcemanager.tagAdmin) en la política de IAM de la organización, una carpeta o un proyecto pueden crear claves de etiqueta con un proyecto como su superior.

    • Los principales de IAM con el rol de usuario de etiquetas (roles/resourcemanager.tagUser) pueden vincular valores de etiqueta a instancias de VM o usar valores de etiqueta en reglas de firewall de una política de firewall jerárquica, una política de firewall de red global o una política de firewall de red regional.

      • Los principales de IAM a los que se les otorgó el rol de usuario de etiquetas (roles/resourcemanager.tagUser) en la política de IAM de la organización pueden usar valores de etiqueta de claves de etiqueta que tengan la organización como su superior.

      • Los principales de IAM a los que se les otorgó el rol de usuario de etiquetas (roles/resourcemanager.tagUser) en la política de IAM de la organización, una carpeta o un proyecto pueden usar valores de etiqueta de claves de etiqueta con un proyecto como su superior.

    • Los principales de IAM que son desarrolladores, administradores de bases de datos o equipos operativos pueden recibir el rol de usuario de etiquetas (roles/resourcemanager.tagUser) y otros roles adecuados, sin necesidad de recibir el rol de administrador de seguridad de Compute (roles/compute.securityAdmin). De esta manera, los equipos operativos pueden controlar qué reglas de firewall se aplican a las interfaces de red de las instancias de VM que administran sin poder modificar esas reglas de firewall.

    Para obtener más información sobre los permisos necesarios, consulta Funciones de IAM.

  • Compatibilidad con reglas de firewall: Las reglas de las políticas de firewall jerárquicas, las políticas de firewall de red globales y las políticas de firewall de red regionales admiten claves de etiqueta como etiquetas seguras de origen o etiquetas seguras de destino. Las reglas de firewall de VPC no admiten etiquetas seguras. Para obtener más información, consulta Comparación de etiquetas seguras y etiquetas de red.

  • Vinculación de VMs y reglas de firewall aplicables: Cuando vinculas un valor de etiqueta segura a una instancia de VM, las reglas de firewall aplicables que usan el valor de etiqueta incluyen interfaces de red de VM como orígenes o destinos:

    • Si el valor de etiqueta segura vinculado a la instancia proviene de una clave de etiqueta cuyo atributo purpose-data especifica una sola red de VPC:

      • Las reglas de firewall de entrada que usan ese valor de etiqueta como una etiqueta segura de origen tienen orígenes que incluyen las interfaces de red de la VM que están en la red de VPC especificada.

      • Las reglas de firewall de entrada y salida que usan ese valor de etiqueta como una etiqueta segura de destino tienen destinos que incluyen las interfaces de red de la VM que están en la red de VPC especificada.

    • Si el valor de etiqueta segura vinculado a la instancia proviene de una clave de etiqueta cuyo atributo purpose-data especifica una organización:

      • Las reglas de firewall de entrada que usan ese valor de etiqueta como una etiqueta segura de origen tienen orígenes que incluyen las interfaces de red de la VM que están en cualquier red de VPC de la organización.

      • Las reglas de firewall de entrada y salida que usan ese valor de etiqueta como una etiqueta segura de destino tienen destinos que incluyen las interfaces de red de la VM que están en cualquier red de VPC de la organización.

  • Cómo las reglas de firewall aplicables identifican paquetes: Cloud NGFW asigna etiquetas seguras de origen y etiquetas seguras de destino a interfaces de red, no a direcciones IP:

    • Cuando una etiqueta segura de origen de una regla de firewall de entrada incluye una interfaz de red de VM como origen, Google Cloud coincide con los paquetes que se envían desde esa interfaz de red.

    • Cuando una etiqueta segura de destino de una regla de firewall de entrada incluye una interfaz de red de VM como destino, Google Cloud coincide con los paquetes que recibe esa interfaz de red.

    • Cuando una etiqueta segura de destino de una regla de firewall de salida incluye una interfaz de red de VM como destino,coincide con los paquetes que se envían desde esa interfaz de red. Google Cloud

  • Cantidad de valores de etiqueta por instancia: Puedes vincular cada valor de etiqueta a una cantidad ilimitada de instancias de VM. La cantidad de valores de etiqueta que admite cada instancia es variable. Google Cloud impone un límite de 10 valores de etiqueta que se aplican a cada interfaz de red de una VM. Google Cloud impide que vincules valores de etiqueta adicionales a una instancia de VM si se aplican más de 10 valores de etiqueta a una o más de sus interfaces de red. Para obtener más información, consulta Vincula etiquetas seguras.

  • Intercambio de tráfico entre redes y compatibilidad con NCC: Puedes usar etiquetas seguras para identificar interfaces de red de VM en redes con intercambio de tráfico. Esto incluye redes conectadas a través del intercambio de tráfico entre redes de VPC y radios de VPC en un concentrador de Network Connectivity Center. Esta función ayuda a los consumidores de servicios publicados que usan acceso privado a servicios privados. Por ejemplo, puedes usar reglas de firewall de entrada con etiquetas seguras de origen para controlar el tráfico de las VMs del productor de servicios a tus VMs.

  • Etiquetas seguras con Google Kubernetes Engine (GKE): Puedes vincular etiquetas seguras a clústeres y grupos de nodos de GKE para usarlas en políticas de firewall de red. Para obtener más información, consulta Crea y administra etiquetas seguras.

Vincula etiquetas seguras

Para usar etiquetas seguras con Cloud NGFW, debes vincular un valor de etiqueta a una instancia de VM. Cada clave de etiqueta segura admite varios valores de etiqueta; sin embargo, para cada clave de etiqueta, solo puedes vincular uno de sus valores de etiqueta a una instancia. Para obtener más información sobre los permisos de IAM y cómo vincular etiquetas seguras, consulta Vincula etiquetas seguras.

En los ejemplos de esta sección, se muestra cómo se aplican los valores de etiqueta vinculados a las interfaces de red de VM. Considera la instancia de VM instance1 de ejemplo con dos interfaces de red:

  • nic0 está conectada a la red de VPC network1.
  • nic1 está conectada a la red de VPC network2.

Ambas redes de VPC están en la misma organización.

Instancia de VM con dos interfaces de red, cada una conectada a una red de VPC diferente.
Figura 1. Instancia de VM con dos interfaces de red, cada una conectada a una red de VPC diferente (haz clic para ampliar).

El atributo purpose-data de la clave de etiqueta correspondiente determina la relación entre los valores de etiqueta vinculados y las interfaces de red de VM.

Claves de etiqueta cuyo atributo purpose-data especifica una red de VPC

Supongamos que creas dos claves de etiqueta con los siguientes atributos purpose-data y valores de etiqueta:

  • tag_key1 tiene un atributo purpose-data que especifica la red de VPC network1 y dos valores de etiqueta tag_value1 y tag_value2.

  • tag_key2 tiene un atributo purpose-data que especifica la red de VPC network2 y un valor de etiqueta tag_value3.

El atributo `purpose-data` de cada clave de etiqueta especifica una sola red de VPC.
Figura 2. El atributo purpose-data de cada clave de etiqueta especifica una sola red de VPC (haz clic para ampliar).

Cuando vinculas los valores de etiqueta segura tag_value1 y tag_value3 a instance1:

  • tag_value1 se aplica a la interfaz de red nic0 porque su superior tag_key1 tiene un atributo purpose-data que especifica la red de VPC network1, y la interfaz de red nic0 está en network1.

  • tag_value3 se aplica a la interfaz de red nic1 porque su superior tag_key2 tiene un atributo purpose-data que especifica la red de VPC network2, y la interfaz de red nic1 está en network2.

En el siguiente diagrama, se muestran los valores de etiqueta vinculados de las claves de etiqueta cuyo atributo purpose-data especifica una sola red de VPC.

Son los valores de etiquetas vinculados de las claves de etiquetas cuyo atributo "purpose-data" especifica una sola red de VPC.
Figura 3. Valores de etiqueta vinculados de las claves de etiqueta cuyo purpose-data atributo especifica una sola red de VPC (haz clic para ampliar).

Claves de etiqueta cuyo atributo purpose-data especifica la organización

Supongamos que creas dos claves de etiqueta con los siguientes atributos purpose-data y valores de etiqueta:

  • tag_key3 tiene un atributo purpose-data que especifica la organización superior y tiene dos valores de etiqueta tag_value4 y tag_value5.

  • tag_key4 tiene un atributo purpose-data que especifica la organización superior y tiene un valor de etiqueta tag_value6.

El atributo `purpose-data` de cada clave de etiqueta especifica la organización principal.
Figura 4. El atributo purpose-data de cada clave de etiqueta especifica la organización superior (haz clic para ampliar).

Cuando vinculas el valor de etiqueta tag_value4 a instance1:

  • tag_value4 se aplica a la interfaz de red nic0 porque su superior tag_key3 tiene un atributo purpose-data que especifica la organización superior que contiene la red de VPC network1, y la interfaz de red nic0 está en network1.

  • tag_value4 también se aplica a la interfaz de red nic1 porque su superior tag_key3 incluye un atributo purpose-data que especifica la organización superior que contiene la red de VPC network2. La interfaz de red nic1 está en network2.

En el siguiente diagrama, se muestran los valores de etiqueta vinculados de las claves de etiqueta cuyo atributo purpose-data especifica la organización superior.

Son los valores de etiquetas vinculados de las claves de etiquetas cuyo atributo "purpose-data" especifica la organización principal.
Figura 5. Valores de etiqueta vinculados de las claves de etiqueta cuyo purpose-data atributo especifica la organización superior (haz clic para ampliar).

Configura etiquetas seguras

El siguiente flujo de trabajo proporciona una secuencia de pasos de alto nivel necesarios para configurar etiquetas seguras en las políticas de firewall.

  1. Puedes crear etiquetas seguras a nivel de la organización o del proyecto. Para crear una etiqueta a nivel de la organización, primero debes recibir el permiso de IAM del administrador de la organización. Para obtener más información, consulta Otorga permisos a etiquetas seguras.

  2. Para crear una etiqueta segura, primero debes crear una clave de etiqueta. Esta clave de etiqueta describe la etiqueta que estás creando. Para obtener más información, consulta Crea las claves y los valores de etiqueta segura.

  3. Después de crear una clave de etiqueta segura, debes agregarle los valores de etiqueta segura pertinentes. Para obtener más información, consulta Crea las claves y los valores de etiqueta segura. Para brindar a los usuarios acceso específico para administrar claves de etiquetas seguras y adjuntar valores de etiqueta a los recursos, usa la Google Cloud consola. Para obtener más información, consulta Administra el acceso a las etiquetas.

  4. Después de crear una etiqueta segura, puedes usarla en una política de firewall de red o en una política de firewall jerárquica. Para obtener más información, consulta Crea una política de firewall jerárquica y Crea una política de firewall de red.

  5. Para permitir el tráfico seleccionado entre las VMs con las claves de etiqueta de origen y las claves de etiqueta de destino, crea una regla de política de firewall (de red o jerárquica) con los valores de etiqueta de origen y los valores de etiqueta de destino específicos. Para obtener más información, consulta Crea una regla de política de firewall con etiquetas seguras.

  6. Después de crear una clave de etiqueta y otorgar el acceso adecuado a la clave de etiqueta y al recurso, la clave de etiqueta se puede vincular a una instancia de VM. Para obtener más información, consulta Vincula etiquetas seguras.

Comparación de etiquetas seguras y etiquetas de red

En la siguiente tabla, se resumen las diferencias entre las etiquetas seguras y las etiquetas de red. La marca de verificación indica que el atributo es compatible, y el símbolo indica que el atributo no es compatible.

Atributo Etiqueta segura con atributo purpose-data que especifica una red de VPC Etiqueta segura con purpose-data atributo que especifica la organización Etiqueta de red
Recurso superior Proyecto u organización Proyecto u organización Proyecto
Estructura y formato Clave de etiqueta con hasta 1,000 valores Clave de etiqueta con hasta 1,000 valores String simple
Control de acceso Usar IAM Usar IAM Sin control de acceso
Interfaces de red aplicables
  • Regla de firewall de entrada con valor de etiqueta segura de origen: Los orígenes incluyen interfaces de red de VM en la red de VPC especificada por el purpose-data atributo de la clave de etiqueta.
  • Regla de firewall de entrada o salida con valor de etiqueta segura de destino: Los destinos incluyen interfaces de red de VM en la red de VPC especificada por el purpose-data atributo de la clave de etiqueta.
  • Regla de firewall de entrada con valor de etiqueta segura de origen: Los orígenes incluyen interfaces de red de VM en cualquier red de VPC de la organización superior.
  • Regla de firewall de entrada o salida con valor de etiqueta segura de destino: Los destinos incluyen interfaces de red de VM en cualquier red de VPC de la organización superior.
  • Regla de firewall de entrada con etiqueta de red de origen: Los orígenes incluyen interfaces de red de VM en cualquier red de VPC que use la VM si esa red tiene reglas de firewall de VPC que usan la etiqueta de red de origen.
  • Regla de firewall de entrada o salida con etiqueta de red de destino: Los destinos incluyen interfaces de red de VM en cualquier red de VPC que use la VM si esa red tiene reglas de firewall de VPC que usan la etiqueta de red de destino.
Compatible con reglas en políticas de firewall jerárquicas
Compatible con reglas en políticas de firewall de red globales y regionales
Compatible con las reglas de firewall de VPC
Las reglas de firewall de entrada pueden incluir orígenes en redes de VPC conectadas mediante el intercambio de tráfico entre redes de VPC 1 1
Las reglas de firewall de entrada pueden incluir orígenes en otros radios de VPC en el concentrador de NCC 1 1
1Un valor de etiqueta segura de origen puede identificar interfaces de red en otra red de VPC cuando se cumplen las siguientes condiciones:
  • El atributo de clave de etiqueta purpose-data especifica la otra red de VPC (o la organización superior que contiene la otra red de VPC ).
  • La otra red de VPC y la red de VPC que usa la política de firewall están conectadas mediante el intercambio de tráfico entre redes de VPC o son radios de VPC en el mismo concentrador de NCC.

Funciones de IAM

Para obtener más información sobre los roles y permisos de IAM que tú necesitas para crear y administrar etiquetas seguras, consulta Administra etiquetas en los recursos.

¿Qué sigue?