Tag protetti per i firewall

Le regole di Cloud Next Generation Firewall utilizzano i tag per specificare le origini e le destinazioni. Questo approccio flessibile evita la dipendenza dagli indirizzi IP.

Tipi di tag

Cloud NGFW supporta due tipi di tag:

  • I tag gestiti da Identity and Access Management (IAM), chiamati anche tag protetti, vengono creati e gestiti in Resource Manager come chiavi e valori dei tag. I valori dei tag protetti possono essere utilizzati per specificare le origini per le regole in entrata e le destinazioni per le regole in entrata o in uscita in una policy del firewall gerarchica, in una policy del firewall di rete globale o in una policy del firewall di rete regionale.

  • I tag di rete sono stringhe di caratteri senza controlli degli accessi che possono essere aggiunte alle istanze di macchine virtuali (VM) o ai modelli di istanza. I tag di rete possono essere utilizzati per specificare le origini per le regole firewall in entrata di Virtual Private Cloud (VPC) e le destinazioni per le regole firewall VPC in entrata o in uscita. I tag di rete non possono essere utilizzati dalle regole in una policy del firewall gerarchica, in una policy del firewall di rete globale o in una policy del firewall di rete regionale. Per ulteriori informazioni sui tag di rete, vedi Aggiungi tag di rete.

Per saperne di più sulle differenze tra tag protetti e tag di rete, consulta Confronto tra tag protetti e tag di rete.

La sezione seguente di questa pagina descrive i tag protetti nelle policy firewall.

Specifiche

I tag protetti hanno le seguenti specifiche:

  • Risorsa padre: la risorsa padre è la risorsa in cui è definita la chiave del tag protetto. Le chiavi dei tag possono essere create in un progetto padre o in un' organizzazione. Per saperne di più sulla creazione di chiavi dei tag, consulta Crea e gestisci tag protetti.

  • Scopo e dati dello scopo: per utilizzare una chiave del tag protetto con Cloud NGFW, devi impostare l'attributo purpose della chiave del tag su GCE_FIREWALL e devi specificare l'attributo purpose-data:

    • Puoi impostare l'attributo purpose-data della chiave del tag su network, seguito da una singola specifica della rete VPC.

      • Per le chiavi dei tag con un progetto padre, se imposti l'attributo purpose-data della chiave del tag su network, la rete VPC specificata deve trovarsi nello stesso progetto della chiave del tag.

      • Per le chiavi dei tag con un'organizzazione padre, se imposti l'attributo purpose-data della chiave del tag su network, la rete VPC specificata deve trovarsi nella stessa organizzazione della chiave del tag.

    • Puoi impostare l'attributo purpose-data della chiave del tag su organization=auto. In questo modo vengono identificate tutte le reti VPC dell'organizzazione.

    Né l'attributo purpose né l'attributo purpose-data possono essere modificati dopo la creazione di una chiave del tag. Per saperne di più su come formattare la specifica della rete nell' purpose-data attributo di una chiave del tag, consulta Scopo nella documentazione dell'API Resource Manager.

  • Struttura e formato: una chiave del tag protetto può fare riferimento a un massimo di 1000 valori di tag univoci. Le entità IAM con il ruolo Tag Administrator (roles/resourcemanager.tagAdmin) creano chiavi e valori dei tag per ogni chiave del tag. Per saperne di più sui limiti dei tag protetti, consulta Limiti.

  • Spostamento dei progetti tra le organizzazioni: puoi spostare un progetto da un' organizzazione a un'altra. Prima di spostare un progetto, scollega tutte le chiavi dei tag che hanno un attributo purpose-data che specifica un'organizzazione utilizzata nel progetto dall'organizzazione originale. Se non scolleghi prima i tag protetti, riceverai un messaggio di errore durante lo spostamento.

  • Controllo degli accessi: le policy IAM determinano quali entità IAM possono gestire e utilizzare i tag protetti:

    • Le entità IAM con il ruolo Amministratore tag (roles/resourcemanager.tagAdmin) possono creare chiavi dei tag e gestire i relativi valori dei tag:

      • Le entità IAM a cui è stato concesso il ruolo Amministratore tag (roles/resourcemanager.tagAdmin) nella policy IAM dell'organizzazione possono creare chiavi dei tag con l'organizzazione come padre.

      • Le entità IAM a cui è stato concesso il ruolo Amministratore tag (roles/resourcemanager.tagAdmin) nella policy IAM dell'organizzazione, di una cartella o di un progetto possono creare chiavi dei tag con un progetto come padre.

    • Le entità IAM con il ruolo Utente tag (roles/resourcemanager.tagUser) possono associare valori di tag alle istanze VM o utilizzare valori di tag nelle regole del firewall di una policy del firewall gerarchica, in una policy del firewall di rete globale o in una policy del firewall di rete regionale.

      • Le entità IAM a cui è stato concesso il ruolo Utente tag (roles/resourcemanager.tagUser) nella policy IAM dell'organizzazione possono utilizzare i valori dei tag delle chiavi dei tag che hanno l'organizzazione come padre.

      • Le entità IAM a cui è stato concesso il ruolo Utente tag (roles/resourcemanager.tagUser) nella policy IAM dell'organizzazione, di una cartella o di un progetto possono utilizzare i valori dei tag delle chiavi dei tag con un progetto come padre.

    • Le entità IAM che sono sviluppatori, amministratori di database o team operativi possono ricevere il ruolo Tag User (roles/resourcemanager.tagUser) e altri ruoli appropriati, senza dover ricevere il ruolo Compute Security Admin (roles/compute.securityAdmin). In questo modo, i team operativi possono controllare quali regole firewall si applicano alle interfacce di rete delle istanze VM che gestiscono senza poter modificare queste regole firewall.

    Per saperne di più sulle autorizzazioni richieste, consulta Ruoli IAM.

  • Supporto delle regole firewall: le regole nelle policy firewall gerarchiche, nelle policy firewall di rete globali e nelle policy firewall di rete regionali supportano le chiavi dei tag come tag protetti di origine o tag protetti di destinazione. Le regole firewall VPC non supportano i tag protetti. Per saperne di più, consulta Confronto tra tag protetti e tag di rete.

  • Associazione VM e regole firewall applicabili: quando associ un valore di tag protetto a un'istanza VM, le regole firewall applicabili che utilizzano il valore del tag includono le interfacce di rete VM come origini o destinazioni:

    • Se il valore del tag protetto associato all'istanza proviene da una chiave del tag il cui attributo purpose-data specifica una singola rete VPC:

      • Le regole firewall in entrata che utilizzano questo valore del tag come tag protetto di origine hanno origini che includono le interfacce di rete della VM che si trovano nella rete VPC specificata.

      • Le regole firewall in entrata e in uscita che utilizzano questo valore del tag come tag protetto di destinazione hanno destinazioni che includono le interfacce di rete della VM che si trovano nella rete VPC specificata.

    • Se il valore del tag protetto associato all'istanza proviene da una chiave del tag il cui attributo purpose-data specifica un'organizzazione:

      • Le regole firewall in entrata che utilizzano questo valore del tag come tag protetto di origine hanno origini che includono le interfacce di rete della VM che si trovano in qualsiasi rete VPC dell'organizzazione.

      • Le regole firewall in entrata e in uscita che utilizzano questo valore del tag come tag protetto di destinazione hanno destinazioni che includono le interfacce di rete della VM che si trovano in qualsiasi rete VPC dell'organizzazione.

  • In che modo le regole firewall applicabili identificano i pacchetti: Cloud NGFW mappa i tag protetti di origine e i tag protetti di destinazione alle interfacce di rete, non agli indirizzi IP:

    • Quando un tag protetto di origine di una regola firewall in entrata include un'interfaccia di rete VM come origine, Google Cloud corrisponde a tutti i pacchetti inviati da questa interfaccia di rete.

    • Quando un tag protetto di destinazione di una regola firewall in entrata include un'interfaccia di rete VM come destinazione, Google Cloud corrisponde a tutti i pacchetti ricevuti da questa interfaccia di rete.

    • Quando un tag protetto di destinazione di una regola firewall in uscita include un'interfaccia di rete VM come destinazione, Google Cloud corrisponde a tutti i pacchetti inviati da questa interfaccia di rete.

  • Numero di valori di tag per istanza: puoi associare ogni valore di tag a un numero illimitato di istanze VM. Il numero di valori di tag supportati da ogni istanza è variabile. Google Cloud impone un limite di 10 valori di tag che si applicano a ogni interfaccia di rete di una VM. Google Cloud impedisce di associare valori di tag aggiuntivi a un'istanza VM se più di 10 valori di tag si applicano a una o più delle sue interfacce di rete. Per saperne di più, consulta Associa tag protetti.

  • Supporto del peering di rete e di NCC: puoi utilizzare i tag protetti per identificare le interfacce di rete VM nelle reti in peering. Sono incluse le reti connesse tramite il peering di rete VPC e gli spoke VPC su un hub Network Connectivity Center. Questa funzionalità aiuta i consumatori di servizi pubblicati che utilizzano l'accesso privato ai servizi. Ad esempio, puoi utilizzare le regole firewall in entrata con i tag protetti di origine per controllare il traffico dalle VM producer di servizi alle tue VM.

  • Tag protetti con Google Kubernetes Engine (GKE): puoi associare tag protetti ai cluster GKE e ai pool di nodi per l'utilizzo nelle policy firewall di rete. Per saperne di più, consulta Crea e gestisci tag protetti.

Associa tag protetti

Per utilizzare i tag protetti con Cloud NGFW, devi associare un valore di tag a un'istanza VM. Ogni chiave del tag protetto supporta più valori di tag; tuttavia, per ogni chiave del tag, puoi associare solo uno dei relativi valori di tag a un'istanza. Per saperne di più sulle autorizzazioni IAM e su come associare i tag protetti, consulta Associa tag protetti.

Gli esempi in questa sezione mostrano come i valori dei tag associati si applicano alle interfacce di rete VM. Considera l'istanza VM di esempio instance1 con due interfacce di rete:

  • nic0 è connessa alla rete VPC network1
  • nic1 è connessa alla rete VPC network2

Entrambe le reti VPC si trovano nella stessa organizzazione.

Istanza VM con due interfacce di rete, ognuna connessa a una rete VPC diversa.
Figura 1. Istanza VM con due interfacce di rete, ognuna connessa a una rete VPC diversa (fai clic per ingrandire).

L'attributo purpose-data della chiave del tag corrispondente determina la relazione tra i valori dei tag associati e le interfacce di rete VM.

Chiavi dei tag il cui attributo purpose-data specifica una rete VPC

Supponiamo di creare due chiavi dei tag con i seguenti attributi purpose-data e valori dei tag:

  • tag_key1 ha un attributo purpose-data che specifica la rete VPC network1 e due valori di tag tag_value1 e tag_value2.

  • tag_key2 ha un attributo purpose-data che specifica la rete VPC network2 e un valore di tag tag_value3.

L'attributo `purpose-data` di ogni chiave tag specifica una singola rete VPC.
Figura 2. L'attributo purpose-data di ogni chiave del tag specifica una singola rete VPC (fai clic per ingrandire).

Quando associ i valori dei tag protetti tag_value1 e tag_value3 a instance1:

  • tag_value1 si applica all'interfaccia di rete nic0 perché il relativo padre tag_key1 ha un attributo purpose-data che specifica la rete VPC network1 e l'interfaccia di rete nic0 si trova in network1.

  • tag_value3 si applica all'interfaccia di rete nic1 perché il relativo padre tag_key2 ha un attributo purpose-data che specifica la rete VPC network2 e l'interfaccia di rete nic1 si trova in network2.

Il seguente diagramma mostra l'associazione dei valori dei tag dalle chiavi dei tag il cui attributo purpose-data specifica una singola rete VPC.

Valori dei tag vincolati dalle chiavi dei tag il cui attributo `purpose-data` specifica una singola rete VPC.
Figura 3. Valori dei tag associati dalle chiavi dei tag il cui purpose-data attributo specifica una singola rete VPC (fai clic per ingrandire).

Chiavi dei tag il cui attributo purpose-data specifica l'organizzazione

Supponiamo di creare due chiavi dei tag con i seguenti attributi purpose-data e valori dei tag:

  • tag_key3 ha un attributo purpose-data che specifica l'organizzazione padre e ha due valori di tag tag_value4 e tag_value5.

  • tag_key4 ha un attributo purpose-data che specifica l'organizzazione padre e ha un valore di tag tag_value6.

L'attributo `purpose-data` di ogni chiave tag specifica l'organizzazione principale.
Figura 4. L'attributo purpose-data di ogni chiave del tag specifica l'organizzazione padre (fai clic per ingrandire).

Quando associ il valore del tag tag_value4 a instance1:

  • tag_value4 si applica all'interfaccia di rete nic0 perché il relativo padre tag_key3 ha un attributo purpose-data che specifica l'organizzazione padre contenente la rete VPC network1 e l'interfaccia di rete nic0 si trova in network1.

  • tag_value4 si applica anche all'interfaccia di rete nic1 perché il relativo padre tag_key3 include un attributo purpose-data che specifica l'organizzazione padre che contiene la rete VPC network2. L'interfaccia di rete nic1 si trova in network2.

Il seguente diagramma mostra l'associazione dei valori dei tag dalle chiavi dei tag il cui attributo purpose-data specifica l'organizzazione padre.

Valori dei tag associati alle chiavi dei tag il cui attributo `purpose-data` specifica l'organizzazione principale.
Figura 5. Valori dei tag associati dalle chiavi dei tag il cui purpose-data attributo specifica l'organizzazione padre (fai clic per ingrandire).

Configura tag protetti

Il seguente flusso di lavoro fornisce una sequenza di passaggi di alto livello necessari per configurare i tag protetti nelle policy firewall.

  1. Puoi creare tag protetti a livello di organizzazione o progetto. Per creare un tag a livello di organizzazione, devi prima ricevere l'autorizzazione IAM dall'amministratore dell'organizzazione. Per saperne di più, consulta Concedi autorizzazioni ai tag protetti.

  2. Per creare un tag protetto, devi prima creare una chiave del tag. Questa chiave del tag descrive il tag che stai creando. Per saperne di più, consulta Crea le chiavi e i valori dei tag protetti.

  3. Dopo aver creato una chiave del tag protetto, devi aggiungervi i valori dei tag protetti pertinenti. Per saperne di più, consulta Crea le chiavi e i valori dei tag protetti. Per concedere agli utenti un accesso specifico per gestire le chiavi dei tag protetti e associare i valori dei tag alle risorse, utilizza la Google Cloud console. Per saperne di più, consulta Gestisci l'accesso ai tag.

  4. Dopo aver creato un tag protetto, puoi utilizzarlo in una policy del firewall di rete o in una policy del firewall gerarchica. Per saperne di più, consulta Crea una policy del firewall gerarchica e Crea una policy del firewall di rete.

  5. Per consentire il traffico selezionato tra le VM con le chiavi dei tag di origine e le chiavi dei tag di destinazione, crea una regola della policy del firewall (di rete o gerarchica) con i valori dei tag di origine e i valori dei tag di destinazione specifici. Per saperne di più, consulta Crea una regola della policy del firewall con tag protetti.

  6. Dopo aver creato una chiave del tag e aver concesso l'accesso appropriato sia alla chiave del tag sia alla risorsa, la chiave del tag può essere associata a un'istanza VM. Per saperne di più, consulta Associa tag protetti.

Confronto tra tag protetti e tag di rete

La seguente tabella riassume le differenze tra tag protetti e tag di rete. Il segno di spunta indica che l'attributo è supportato, mentre il simbolo indica che l'attributo non è supportato.

Attributo Tag protetto con attributo purpose-data che specifica una rete VPC Tag protetto con attributo purpose-data che specifica l'organizzazione Tag di rete
Risorsa padre Progetto o organizzazione Progetto o organizzazione Progetto
Struttura e formato Chiave del tag con un massimo di 1000 valori Chiave del tag con un massimo di 1000 valori Stringa semplice
Controllo degli accessi Utilizzo di IAM Utilizzo di IAM Nessun controllo dell'accesso
Interfacce di rete applicabili
  • Regola firewall in entrata con valore del tag protetto di origine: le origini includono le interfacce di rete VM nella rete VPC specificata dall'attributo purpose-data della chiave del tag.
  • Regola firewall in entrata o in uscita con valore del tag protetto di destinazione: le destinazioni includono le interfacce di rete VM nella rete VPC specificata dall'attributo purpose-data della chiave del tag.
  • Regola firewall in entrata con valore del tag protetto di origine: le origini includono le interfacce di rete VM in qualsiasi rete VPC dell'organizzazione padre.
  • Regola firewall in entrata o in uscita con valore del tag protetto di destinazione: le destinazioni includono le interfacce di rete VM in qualsiasi rete VPC dell'organizzazione padre.
  • Regola firewall in entrata con tag di rete di origine: le origini includono le interfacce di rete VM in qualsiasi rete VPC utilizzata dalla VM se la rete ha regole firewall VPC che utilizzano il tag di rete di origine.
  • Regola firewall in entrata o in uscita con tag di rete di destinazione: le destinazioni includono le interfacce di rete VM in qualsiasi rete VPC utilizzata dalla VM se la rete ha regole firewall VPC che utilizzano il tag di rete di destinazione.
Supportato dalle regole nelle policy firewall gerarchiche
Supportato dalle regole nelle policy firewall di rete globali e regionali
Supportato dalle regole firewall VPC
Le regole firewall in entrata possono includere origini nelle reti VPC connesse tramite il peering di rete VPC 1 1
Le regole firewall in entrata possono includere origini in altri spoke VPC sull'hub NCC 1 1
1Un valore del tag protetto di origine può identificare le interfacce di rete in un'altra rete VPC quando sono vere entrambe le seguenti condizioni:
  • L'attributo della chiave del tag purpose-data specifica l'altra rete VPC (o l'organizzazione padre contenente l'altra rete VPC)
  • L'altra rete VPC e la rete VPC che utilizza la policy del firewall sono connesse tramite il peering di rete VPC o sono entrambe spoke VPC sullo stesso hub NCC.

Ruoli IAM

Per saperne di più sui ruoli e sulle autorizzazioni IAM necessari per creare e gestire i tag protetti, consulta Gestisci i tag sulle risorse.

Passaggi successivi