Tags sécurisés pour les pare-feu

Les règles du pare-feu Cloud nouvelle génération utilisent des tags pour spécifier les sources et les cibles. Cette approche flexible évite de dépendre des adresses IP.

Types de tags

Cloud NGFW est compatible avec deux types de tags :

  • Les tags régis par Identity and Access Management (IAM) , également appelés tags sécurisés, sont créés et gérés dans Resource Manager en tant que clés et valeurs de tag. Les valeurs de tag sécurisé peuvent être utilisées pour spécifier des sources pour les règles d'entrée et des cibles pour les règles d'entrée ou de sortie dans une stratégie de pare-feu hiérarchique, une stratégie de pare-feu de réseau globale ou une stratégie de pare-feu de réseau régionale.

  • Les tags réseau sont des chaînes de caractères sans contrôle d'accès qui peuvent être ajoutées à des instances de machine virtuelle (VM) ou à des modèles d'instance. Les tags réseau peuvent être utilisés pour spécifier des sources pour les règles de pare-feu d'entrée du cloud privé virtuel (VPC) et des cibles pour les règles de pare-feu d'entrée ou de sortie du VPC. Les tags réseau ne peuvent pas être utilisés par les règles d'une stratégie de pare-feu hiérarchique, d'une stratégie de pare-feu de réseau globale ou d'une stratégie de pare-feu de réseau régionale. Pour en savoir plus sur les tags réseau, consultez la page Ajouter des tags réseau.

Pour en savoir plus sur les différences entre les tags sécurisés et les tags réseau, consultez la section Comparaison des tags sécurisés et des tags réseau.

La section suivante de cette page décrit les tags sécurisés dans les stratégies de pare-feu.

Spécifications

Les tags sécurisés sont soumis aux spécifications suivantes :

  • Ressource parente : la ressource parente est la ressource dans laquelle la clé de tag sécurisé est définie. Les clés de tag peuvent être créées dans un projet parent ou une organisation. Pour en savoir plus sur la création de clés de tag, consultez la section Créer et gérer des tags sécurisés.

  • Objectif et données d'objectif : pour utiliser une clé de tag sécurisé avec Cloud NGFW, vous devez définir l'attribut purpose de la clé de tag sur GCE_FIREWALL et spécifier l'attribut purpose-data :

    • Vous pouvez définir l'attribut purpose-data de la clé de tag sur network, suivi d'une seule spécification de réseau VPC.

      • Pour les clés de tag avec un projet parent, si vous définissez l'attribut purpose-data de la clé de tag sur network, le réseau VPC spécifié doit se trouver dans le même projet que la clé de tag.

      • Pour les clés de tag avec une organisation parente, si vous définissez l'attribut purpose-data de la clé de tag sur network, le réseau VPC spécifié doit se trouver dans la même organisation que la clé de tag.

    • Vous pouvez définir l'attribut purpose-data de la clé de tag sur organization=auto. Cela identifie tous les réseaux VPC de l'organisation.

    Ni l'attribut purpose ni l'attribut purpose-data ne peuvent être modifiés après la création d'une clé de tag. Pour en savoir plus sur la mise en forme de la spécification réseau dans l' purpose-data attribut d'une clé de tag, consultez la section Objectif dans la documentation de l'API Resource Manager.

  • Structure et format : une clé de tag sécurisé peut référencer jusqu'à 1 000 valeurs de tag uniques. Les comptes principaux IAM dotés du rôle "Administrateur de tags" (roles/resourcemanager.tagAdmin) créent des clés et des valeurs de tag pour chaque clé de tag. Pour en savoir plus sur les limites des tags sécurisés, consultez la section Limites.

  • Déplacement de projets entre des organisations : vous pouvez déplacer un projet d'une organisation à une autre. Avant de déplacer un projet, dissociez toutes les clés de tag dont l'attribut purpose-data spécifie une organisation utilisée dans votre projet de l'organisation d'origine. Si vous ne dissociez pas d'abord les tags sécurisés, un message d'erreur s'affiche lors du déplacement.

  • Contrôle des accès : les stratégies IAM déterminent quels comptes principaux IAM peuvent gérer et utiliser des tags sécurisés :

    • Les comptes principaux IAM dotés du rôle "Administrateur de tags" (roles/resourcemanager.tagAdmin) peuvent créer des clés de tag et gérer leurs valeurs de tag :

      • Les comptes principaux IAM auxquels le rôle "Administrateur de tags" (roles/resourcemanager.tagAdmin) est attribué dans la stratégie IAM de l'organisation peuvent créer des clés de tag dont l'organisation est le parent.

      • Les comptes principaux IAM auxquels le rôle "Administrateur de tags" (roles/resourcemanager.tagAdmin) est attribué dans la stratégie IAM de l'organisation, d'un dossier ou d'un projet peuvent créer des clés de tag dont un projet est le parent.

    • Les comptes principaux IAM dotés du rôle "Utilisateur de tags" (roles/resourcemanager.tagUser) peuvent lier des valeurs de tag à des instances de VM ou utiliser des valeurs de tag dans les règles de pare-feu d'une stratégie de pare-feu hiérarchique, d'une stratégie de pare-feu réseau globale ou d'une stratégie de pare-feu réseau régionale.

      • Les comptes principaux IAM auxquels le rôle "Utilisateur de tags" (roles/resourcemanager.tagUser) est attribué dans la stratégie IAM de l'organisation peuvent utiliser des valeurs de tag provenant de clés de tag dont l'organisation est le parent.

      • Les comptes principaux IAM auxquels le rôle "Utilisateur de tags" (roles/resourcemanager.tagUser) est attribué dans la stratégie IAM de l'organisation, d'un dossier ou d'un projet peuvent utiliser des valeurs de tag provenant de clés de tag dont un projet est le parent.

    • Les comptes principaux IAM qui sont des développeurs, des administrateurs de base de données ou des équipes opérationnelles peuvent se voir attribuer le rôle "Utilisateur de tags" (roles/resourcemanager.tagUser) et d'autres rôles appropriés, sans avoir besoin de se voir attribuer le rôle "Administrateur de sécurité Compute" (roles/compute.securityAdmin). Les équipes opérationnelles peuvent ainsi contrôler les règles de pare-feu qui s'appliquent aux interfaces réseau des instances de VM qu'elles gèrent sans pouvoir modifier ces règles de pare-feu.

    Pour en savoir plus sur les autorisations requises, consultez la section Rôles IAM.

  • Compatibilité avec les règles de pare-feu : les règles des stratégies de pare-feu hiérarchiques, des stratégies de pare-feu de réseau globales et des stratégies de pare-feu de réseau régionales sont compatibles avec les clés de tag en tant que tags sécurisés sources ou tags sécurisés cibles. Les règles de pare-feu VPC ne sont pas compatibles avec les tags sécurisés. Pour en savoir plus, consultez la section Comparaison des tags sécurisés et des tags réseau.

  • Liaison de VM et règles de pare-feu applicables : lorsque vous liez une valeur de tag sécurisé à une instance de VM, les règles de pare-feu applicables qui utilisent la valeur de tag incluent les interfaces réseau de la VM en tant que sources ou cibles :

    • Si la valeur de tag sécurisé liée à l'instance provient d'une clé de tag dont l'attribut purpose-data spécifie un seul réseau VPC :

      • Les règles de pare-feu d'Ingress qui utilisent cette valeur de tag comme tag sécurisé source ont des sources qui incluent les interfaces réseau de la VM qui se trouvent dans le réseau VPC spécifié.

      • Les règles de pare-feu d'Ingress et de sortie qui utilisent cette valeur de tag comme tag sécurisé cible ont des cibles qui incluent les interfaces réseau de la VM qui se trouvent dans le réseau VPC spécifié.

    • Si la valeur de tag sécurisé liée à l'instance provient d'une clé de tag dont l'attribut purpose-data spécifie une organisation :

      • Les règles de pare-feu d'Ingress qui utilisent cette valeur de tag comme tag sécurisé source ont des sources qui incluent les interfaces réseau de la VM qui se trouvent dans n'importe quel réseau VPC de l'organisation.

      • Les règles de pare-feu d'Ingress et de sortie qui utilisent cette valeur de tag comme tag sécurisé cible ont des cibles qui incluent les interfaces réseau de la VM qui se trouvent dans n'importe quel réseau VPC de l'organisation.

  • Comment les règles de pare-feu applicables identifient les paquets : Cloud NGFW mappe les tags sécurisés sources et les tags sécurisés cibles aux interfaces réseau, et non aux adresses IP :

    • Lorsqu'un tag sécurisé source d'une règle de pare-feu d'entrée inclut une interface réseau de VM en tant que source, Google Cloud correspond à tous les paquets envoyés à partir de cette interface réseau.

    • Lorsqu'un tag sécurisé cible d'une règle de pare-feu d'entrée inclut une interface réseau de VM en tant que cible, Google Cloud correspond à tous les paquets reçus par cette interface réseau.

    • Lorsqu'un tag sécurisé cible d'une règle de pare-feu de sortie inclut une interface réseau de VM en tant que cible, Google Cloud correspond à tous les paquets envoyés à partir de cette interface réseau.

  • Nombre de valeurs de tag par instance : vous pouvez lier chaque valeur de tag à un nombre illimité d'instances de VM. Le nombre de valeurs de tag compatibles avec chaque instance est variable. Google Cloud impose une limite de 10 valeurs de tag qui s'appliquent à chaque interface réseau d'une VM. Google Cloud vous empêche de lier des valeurs de tag supplémentaires à une instance de VM si plus de 10 valeurs de tag s'appliquent à une ou plusieurs de ses interfaces réseau. Pour en savoir plus, consultez la section Lier des tags sécurisés.

  • Compatibilité avec l'appairage de réseaux et le centre de connectivité réseau : vous pouvez utiliser des tags sécurisés pour identifier les interfaces réseau de VM dans les réseaux appairés. Cela inclut les réseaux connectés via l'appairage de réseaux VPC et les spokes VPC sur un hub Network Connectivity Center. Cette fonctionnalité aide les consommateurs de services publiés à utiliser l'accès aux services privés. Par exemple, vous pouvez utiliser des règles de pare-feu d'entrée avec des tags sécurisés sources pour contrôler le trafic des VM de producteur de services vers vos VM.

  • Tags sécurisés avec Google Kubernetes Engine (GKE) : vous pouvez lier des tags sécurisés à des clusters et des pools de nœuds GKE pour les utiliser dans les stratégies de pare-feu de réseau. Pour en savoir plus, consultez la section Créer et gérer des tags sécurisés.

Lier des tags sécurisés

Pour utiliser des tags sécurisés avec Cloud NGFW, vous devez lier une valeur de tag à une instance de VM. Chaque clé de tag sécurisé est compatible avec plusieurs valeurs de tag. Toutefois, pour chaque clé de tag, vous ne pouvez lier qu'une seule de ses valeurs de tag à une instance. Pour en savoir plus sur les autorisations IAM et sur la liaison de tags sécurisés, consultez la section Lier des tags sécurisés.

Les exemples de cette section montrent comment les valeurs de tag liées s'appliquent aux interfaces réseau de VM. Prenons l'exemple de l'instance de VM instance1 avec deux interfaces réseau :

  • nic0 est connecté au réseau VPC network1.
  • nic1 est connecté au réseau VPC network2.

Les deux réseaux VPC se trouvent dans la même organisation.

Instance de VM avec deux interfaces réseau, chacune connectée à un réseau VPC différent.
Figure 1. Instance de VM avec deux interfaces réseau, chacune connectée à un réseau VPC différent (cliquez pour agrandir).

L'attribut purpose-data de la clé de tag correspondante détermine la relation entre les valeurs de tag liées et les interfaces réseau de VM.

Clés de tag dont l'attribut purpose-data spécifie un réseau VPC

Supposons que vous créez deux clés de tag avec les attributs purpose-data et les valeurs de tag suivants :

  • tag_key1 possède un attribut purpose-data qui spécifie le réseau VPC network1 et deux valeurs de tag tag_value1 et tag_value2.

  • tag_key2 possède un attribut purpose-data qui spécifie le réseau VPC network2 et une valeur de tag tag_value3.

L'attribut `purpose-data` de chaque clé de tag spécifie un seul réseau VPC.
Figure 2. L'attribut purpose-data de chaque clé de tag spécifie un seul réseau VPC (cliquez pour agrandir).

Lorsque vous liez les valeurs de tag sécurisé tag_value1 et tag_value3 à instance1 :

  • tag_value1 s'applique à l'interface réseau nic0, car son parent tag_key1 possède un attribut purpose-data qui spécifie le réseau VPC network1, et l'interface réseau nic0 se trouve dans network1.

  • tag_value3 s'applique à l'interface réseau nic1, car son parent tag_key2 possède un attribut purpose-data qui spécifie le réseau VPC network2, et l'interface réseau nic1 se trouve dans network2.

Le schéma suivant montre la liaison des valeurs de tag à partir de clés de tag dont l'attribut purpose-data spécifie un seul réseau VPC.

Valeurs de tag liées à des clés de tag dont l'attribut `purpose-data` spécifie un seul réseau VPC.
Figure 3. Valeurs de tag liées à partir de clés de tag dont l'attribut purpose-data spécifie un seul réseau VPC (cliquez pour agrandir).

Clés de tag dont l'attribut purpose-data spécifie l'organisation

Supposons que vous créez deux clés de tag avec les attributs purpose-data et les valeurs de tag suivants :

  • tag_key3 possède un attribut purpose-data qui spécifie l'organisation parente et deux valeurs de tag tag_value4 et tag_value5.

  • tag_key4 possède un attribut purpose-data qui spécifie l'organisation parente et une valeur de tag tag_value6.

L'attribut "purpose-data" de chaque clé de tag spécifie l'organisation parente.
Figure 4. L'attribut purpose-data de chaque clé de tag spécifie l'organisation parente (cliquez pour agrandir).

Lorsque vous liez la valeur de tag tag_value4 à instance1 :

  • tag_value4 s'applique à l'interface réseau nic0, car son parent tag_key3 possède un attribut purpose-data qui spécifie l'organisation parente contenant le réseau VPC network1, et l'interface réseau nic0 se trouve dans network1.

  • tag_value4 s'applique également à l'interface réseau nic1, car son parent tag_key3 inclut un attribut purpose-data qui spécifie l'organisation parente contenant le réseau VPC network2. L'interface réseau nic1 se trouve dans network2.

Le schéma suivant montre la liaison des valeurs de tag à partir de clés de tag dont l'attribut purpose-data spécifie l'organisation parente.

Valeurs de tag liées à des clés de tag dont l'attribut "purpose-data" spécifie l'organisation parente.
Figure 5. Valeurs de tag liées à partir de clés de tag dont l'attribut purpose-data spécifie l'organisation parente (cliquez pour agrandir).

Configurer des tags sécurisés

Le workflow suivant fournit une séquence de haut niveau des étapes requises pour configurer des tags sécurisés dans les stratégies de pare-feu.

  1. Vous pouvez créer des tags sécurisés au niveau de l'organisation ou du projet. Pour créer un tag au niveau de l'organisation, vous devez d'abord obtenir l'autorisation IAM de l'administrateur de l'organisation. Pour en savoir plus, consultez la section Accorder des autorisations aux tags sécurisés.

  2. Pour créer un tag sécurisé, vous devez d'abord créer une clé de tag. Cette clé de tag décrit le tag que vous créez. Pour en savoir plus, consultez la section Créer les clés et les valeurs de tag sécurisé.

  3. Une fois que vous avez créé une clé de tag sécurisé, vous devez y ajouter les valeurs de tag sécurisé pertinentes. Pour en savoir plus, consultez la section Créer les clés et les valeurs de tag sécurisé. Pour accorder aux utilisateurs un accès spécifique afin de gérer les clés de tag sécurisé et d'associer des valeurs de tag à des ressources, utilisez la Google Cloud console. Pour en savoir plus, consultez la section Gérer l'accès aux tags.

  4. Une fois que vous avez créé un tag sécurisé, vous pouvez l'utiliser dans une stratégie de pare-feu réseau ou une stratégie de pare-feu hiérarchique. Pour en savoir plus, consultez les sections Créer une stratégie de pare-feu hiérarchique et Créer une stratégie de pare-feu réseau.

  5. Pour autoriser le trafic sélectionné entre les VM avec les clés de tag sources et les clés de tag cibles, créez une règle de stratégie de pare-feu (réseau ou hiérarchique) avec les valeurs de tag sources et les valeurs de tag cibles spécifiques. Pour en savoir plus, consultez la section Créer une règle de stratégie de pare-feu avec des tags sécurisés.

  6. Une fois qu'une clé de tag est créée et qu'un accès approprié est accordé à la fois à la clé de tag et à la ressource, la clé de tag peut être liée à une instance de VM. Pour en savoir plus, consultez la section Lier des tags sécurisés.

Comparaison des tags sécurisés et des tags réseau

Le tableau suivant récapitule les différences entre les tags sécurisés et les tags réseau. La coche indique que l'attribut est compatible, et le symbole indique qu'il ne l'est pas.

Attribut Tag sécurisé avec un attribut purpose-data spécifiant un réseau VPC Tag sécurisé avec un attribut purpose-data spécifiant l'organisation Balise de réseau
Ressource parente Projet ou organisation Projet ou organisation Projet
Structure et format Clé de tag avec jusqu'à 1 000 valeurs Clé de tag avec jusqu'à 1 000 valeurs Chaîne simple
Contrôle des accès Utiliser Cloud IAM Utiliser Cloud IAM Aucun contrôle des accès
Interfaces réseau applicables
  • Règle de pare-feu d'Ingress avec valeur de tag sécurisé source : les sources incluent les interfaces réseau de VM dans le réseau VPC spécifié par l'attribut purpose-data de la clé de tag.
  • Règle de pare-feu d'Ingress ou de sortie avec valeur de tag sécurisé cible : les cibles incluent les interfaces réseau de VM dans le réseau VPC spécifié par l'attribut purpose-data de la clé de tag.
  • Règle de pare-feu d'Ingress avec valeur de tag sécurisé source : les sources incluent les interfaces réseau de VM dans n'importe quel réseau VPC de l'organisation parente.
  • Règle de pare-feu d'Ingress ou de sortie avec valeur de tag sécurisé cible : les cibles incluent les interfaces réseau de VM dans n'importe quel réseau VPC de l'organisation parente.
  • Règle de pare-feu d'Ingress avec tag réseau source : les sources incluent les interfaces réseau de VM dans n'importe quel réseau VPC utilisé par la VM si ce réseau comporte des règles de pare-feu VPC utilisant le tag réseau source.
  • Règle de pare-feu d'Ingress ou de sortie avec tag réseau cible : les cibles incluent les interfaces réseau de VM dans n'importe quel réseau VPC utilisé par la VM si ce réseau comporte des règles de pare-feu VPC utilisant le tag réseau cible.
Compatible avec les règles des stratégies de pare-feu hiérarchiques
Compatible avec les règles des stratégies de pare-feu de réseau globales et régionales
Compatible avec les règles de pare-feu VPC
Les règles de pare-feu d'Ingress peuvent inclure des sources dans les réseaux VPC connectés à l'aide de l'appairage de réseaux VPC 1 1
Les règles de pare-feu d'Ingress peuvent inclure des sources dans d'autres spokes VPC sur le hub du centre de connectivité réseau 1 1
1Une valeur de tag sécurisé source peut identifier des interfaces réseau dans un autre réseau VPC lorsque les deux conditions suivantes sont remplies :
  • L'attribut de clé de tag purpose-data spécifie l'autre réseau VPC (ou l'organisation parente contenant l'autre réseau VPC).
  • L'autre réseau VPC et le réseau VPC qui utilise la stratégie de pare-feu sont connectés à l'aide de l'appairage de réseaux VPC ou sont tous deux des spokes VPC sur le même hub du centre de connectivité réseau.

Rôles IAM

Pour en savoir plus sur les rôles et les autorisations IAM dont vous avez besoin pour créer et gérer des tags sécurisés, consultez la section Gérer les tags sur les ressources.

Étape suivante