Tags seguras para firewalls

As regras do Cloud Next Generation Firewall usam tags para especificar origens e destinos. Essa abordagem flexível evita a dependência de endereços IP.

Tipos de tags

O Cloud NGFW oferece suporte a dois tipos de tags:

  • As tags regidas pelo Identity and Access Management (IAM), também chamadas de tags seguras, são criadas e gerenciadas no Resource Manager como chaves e valores de tag. Os valores de tag segura podem ser usados para especificar origens de regras de entrada e destinos de regras de entrada ou saída em uma política de firewall hierárquica, uma política de firewall de rede global ou uma política de firewall de rede regional.

  • As tags de rede são strings de caracteres sem controles de acesso que podem ser adicionadas a instâncias de máquina virtual (VM) ou modelos de instância. As tags de rede podem ser usadas para especificar origens de regras de firewall de nuvem privada virtual (VPC) de entrada e destinos de regras de firewall de VPC de entrada ou saída. As tags de rede não podem ser usadas por regras em uma política de firewall hierárquica, uma política de firewall de rede global ou uma política de firewall de rede regional. Para mais informações sobre tags de rede, consulte Adicionar tags de rede.

Para mais informações sobre as diferenças entre tags seguras e de rede, consulte Comparação entre tags seguras e de rede.

A seção a seguir desta página descreve as tags seguras em políticas de firewall.

Especificações

As tags seguras têm as seguintes especificações:

  • Recurso pai: o recurso pai é aquele em que a chave de tag segura é definida. As chaves de tag podem ser criadas em um projeto pai ou em uma organização. Para mais informações sobre como criar chaves de tag, consulte Criar e gerenciar tags seguras.

  • Finalidade e dados de finalidade: para usar uma chave de tag segura com o Cloud NGFW, defina o atributo purpose da chave de tag como GCE_FIREWALL e especifique o atributo purpose-data:

    • É possível definir o atributo purpose-data da chave de tag como network, seguido por uma única especificação de rede VPC.

      • Para chaves de tag com um projeto pai, se você definir o atributo purpose-data da chave de tag como network, a rede VPC especificada precisará estar no mesmo projeto que a chave de tag.

      • Para chaves de tag com uma organização pai, se você definir o atributo purpose-data da chave de tag como network, a rede VPC especificada precisará estar na mesma organização que a chave de tag.

    • É possível definir o atributo purpose-data da chave de tag como organization=auto. Isso identifica todas as redes VPC na organização.

    Nem o purpose nem o purpose-data atributo podem ser alterados depois que você cria uma chave de tag. Para mais informações sobre como formatar a especificação de rede no purpose-data atributo de uma chave de tag, consulte Finalidade na documentação da API Resource Manager.

  • Estrutura e formato: uma chave de tag segura pode referenciar até 1.000 valores de tag exclusivos . Principais do IAM com a função de Administrador de Tags (roles/resourcemanager.tagAdmin) criam chaves e valores de tag para cada chave de tag. Para mais informações sobre limites de tags seguras, consulte Limites.

  • Como mover projetos entre organizações: é possível mover um projeto de uma organização para outra. Antes de mover um projeto, desvincule todas as chaves de tag que tenham um atributo purpose-data especificando uma organização usada no projeto da organização original. Se você não desvincular as tags seguras primeiro, vai receber uma mensagem de erro durante a movimentação.

  • Controle de acesso: as políticas do IAM determinam quais principais do IAM podem gerenciar e usar tags seguras:

    • Os principais do IAM com a função de administrador de tags (roles/resourcemanager.tagAdmin) podem criar chaves de tag e gerenciar os valores delas:

      • Os principais do IAM que receberam a função de administrador de tags (roles/resourcemanager.tagAdmin) na política do IAM da organização podem criar chaves de tag com a organização como pai.

      • Os principais do IAM que receberam a função de Administrador de Tags (roles/resourcemanager.tagAdmin) na política do IAM da organização, de uma pasta ou de um projeto podem criar chaves de tag com um projeto como pai.

    • Os principais do IAM com o papel de usuário de tags (roles/resourcemanager.tagUser) podem vincular valores de tag a instâncias de VM ou usar valores de tag em regras de firewall de uma política de firewall hierárquica, uma política de firewall de rede global ou uma política de firewall de rede regional.

      • Os principais do IAM que receberam o papel de usuário de tags (roles/resourcemanager.tagUser) na política do IAM da organização podem usar valores de tag de chaves de tag que têm a organização como pai.

      • Os principais do IAM que receberam o papel de usuário de tags (roles/resourcemanager.tagUser) na política do IAM da organização, de uma pasta ou de um projeto podem usar valores de tag de chaves de tag com um projeto como pai.

    • Os principais do IAM que são desenvolvedores, administradores de banco de dados ou equipes operacionais podem receber o papel de usuário de tags (roles/resourcemanager.tagUser) e outros papéis apropriados, sem precisar receber o papel de administrador de segurança do Compute (roles/compute.securityAdmin). Dessa forma, as equipes operacionais podem controlar quais regras de firewall se aplicam às interfaces de rede das instâncias de VM que gerenciam sem poder modificar essas regras de firewall.

    Para mais informações sobre as permissões necessárias, consulte Papéis do IAM.

  • Suporte a regras de firewall: as regras em políticas de firewall hierárquicas, políticas de firewall de rede global e políticas de firewall de rede regional oferecem suporte a chaves de tag como tags seguras de origem ou tags seguras de destino. As regras de firewall da VPC não oferecem suporte a tags seguras. Para mais informações, consulte Comparação entre tags seguras e de rede.

  • Vinculação de VM e regras de firewall aplicáveis: ao vincular um valor de tag segura a uma instância de VM, as regras de firewall aplicáveis que usam o valor da tag incluem interfaces de rede de VM como origens ou destinos:

    • Se o valor da tag segura vinculado à instância for de uma chave de tag cujo atributo purpose-data especifica uma única rede VPC:

      • As regras de firewall de entrada que usam esse valor de tag como uma tag segura de origem têm origens que incluem as interfaces de rede da VM que estão na rede VPC especificada.

      • As regras de firewall de entrada e saída que usam esse valor de tag como uma tag segura de destino têm destinos que incluem as interfaces de rede da VM que estão na rede VPC especificada.

    • Se o valor da tag segura vinculado à instância for de uma chave de tag cujo atributo purpose-data especifica uma organização:

      • As regras de firewall de entrada que usam esse valor de tag como uma tag segura de origem têm origens que incluem as interfaces de rede da VM que estão em qualquer rede VPC da organização.

      • As regras de firewall de entrada e saída que usam esse valor de tag como uma tag segura de destino têm destinos que incluem as interfaces de rede da VM que estão em qualquer rede VPC da organização.

  • Como as regras de firewall aplicáveis identificam pacotes: o Cloud NGFW mapeia tags seguras de origem e tags seguras de destino para interfaces de rede, não para endereços IP:

    • Quando uma tag segura de origem de uma regra de firewall de entrada inclui uma interface de rede de VM como origem, Google Cloud ela corresponde a todos os pacotes enviados dessa interface de rede.

    • Quando uma tag segura de destino de uma regra de firewall de entrada inclui uma interface de rede de VM como destino, Google Cloud ela corresponde a todos os pacotes recebidos por essa interface de rede.

    • Quando uma tag segura de destino de uma regra de firewall de saída inclui uma interface de rede de VM como destino, Google Cloud ela corresponde a todos os pacotes enviados dessa interface de rede.

  • Número de valores de tag por instância: é possível vincular cada valor de tag a um número ilimitado de instâncias de VM. O número de valores de tag que cada instância oferece suporte é variável. Google Cloud impõe um limite de 10 valores de tag que se aplicam a cada interface de rede de uma VM. Google Cloud impede que você vincule valores de tag adicionais a uma instância de VM se mais de 10 valores de tag forem aplicados a uma ou mais interfaces de rede. Para mais informações, consulte Vincular tags seguras.

  • Peering de rede e suporte do NCC: é possível usar tags seguras para identificar interfaces de rede de VM em redes com peering. Isso inclui redes conectadas por peering de rede VPC e spokes VPC em um hub do Network Connectivity Center. Esse recurso ajuda os consumidores de serviços publicados usando o acesso a serviços particulares. Por exemplo, é possível usar regras de firewall de entrada com tags seguras de origem para controlar o tráfego de VMs produtor de serviços para suas VMs.

  • Tags seguras com o Google Kubernetes Engine (GKE): é possível vincular tags seguras a clusters e pools de nós do GKE para uso em políticas de firewall de rede. Para mais informações, consulte Criar e gerenciar tags seguras.

Vincular tags seguras

Para usar tags seguras com o Cloud NGFW, é necessário vincular um valor de tag a uma instância de VM. Cada chave de tag segura oferece suporte a vários valores de tag. No entanto, para cada chave de tag, só é possível vincular um dos valores de tag a uma instância. Para mais informações sobre permissões do IAM e como vincular tags seguras, consulte Vincular tags seguras.

Os exemplos nesta seção mostram como os valores de tag vinculados se aplicam às interfaces de rede de VM. Considere o exemplo de instância de VM instance1 com duas interfaces de rede:

  • nic0 está conectado à rede VPC network1.
  • nic1 está conectado à rede VPC network2.

As duas redes VPC estão na mesma organização.

Instância de VM com duas interfaces de rede, cada uma conectada a uma rede VPC diferente.
Figura 1. Instância de VM com duas interfaces de rede, cada uma conectada a uma rede VPC diferente (clique para ampliar).

O atributo purpose-data da chave de tag correspondente determina a relação entre os valores de tag vinculados e as interfaces de rede de VM.

Chaves de tag cujo atributo purpose-data especifica uma rede VPC

Suponha que você crie duas chaves de tag com os seguintes atributos purpose-data e valores de tag:

  • tag_key1 tem um atributo purpose-data que especifica a rede VPC network1 e dois valores de tag tag_value1 e tag_value2.

  • tag_key2 tem um atributo purpose-data que especifica a rede VPC network2 e um valor de tag tag_value3.

O atributo `purpose-data` de cada chave de tag especifica uma única rede VPC.
Figura 2. O atributo purpose-data de cada chave de tag especifica uma única rede VPC (clique para ampliar).

Ao vincular os valores de tag segura tag_value1 e tag_value3 a instance1:

  • tag_value1 se aplica à interface de rede nic0 porque o pai tag_key1 tem um atributo purpose-data que especifica a rede VPC network1, e a interface de rede nic0 está em network1.

  • tag_value3 se aplica à interface de rede nic1 porque o pai tag_key2 tem um atributo purpose-data que especifica a rede VPC network2, e a interface de rede nic1 está em network2.

O diagrama a seguir mostra os valores de tag de vinculação de chaves de tag cujo atributo purpose-data especifica uma única rede VPC.

Valores de tag vinculados de chaves de tag cujo atributo "purpose-data" especifica uma única rede VPC.
Figura 3. Valores de tag vinculados de chaves de tag cujo purpose-data atributo especifica uma única rede VPC (clique para ampliar).

Chaves de tag cujo atributo purpose-data especifica a organização

Suponha que você crie duas chaves de tag com os seguintes atributos purpose-data e valores de tag:

  • tag_key3 tem um atributo purpose-data que especifica a organização pai e tem dois valores de tag tag_value4 e tag_value5.

  • tag_key4 tem um atributo purpose-data que especifica a organização pai e tem um valor de tag tag_value6.

O atributo `purpose-data` de cada chave de tag especifica a organização principal.
Figura 4. O atributo purpose-data de cada chave de tag especifica a organização pai (clique para ampliar).

Ao vincular o valor de tag tag_value4 a instance1:

  • tag_value4 se aplica à interface de rede nic0 porque o pai tag_key3 tem um atributo purpose-data que especifica a organização pai que contém a rede VPC network1, e a interface de rede nic0 está em network1.

  • tag_value4 também se aplica à interface de rede nic1 porque o pai tag_key3 inclui um atributo purpose-data que especifica a organização pai que contém a rede VPC network2. A interface de rede nic1 está em network2.

O diagrama a seguir mostra os valores de tag de vinculação de chaves de tag cujo atributo purpose-data especifica a organização pai.

Valores de tag vinculados de chaves de tag cujo atributo "purpose-data" especifica a organização principal.
Figura 5. Valores de tag vinculados de chaves de tag cujo purpose-data atributo especifica a organização pai (clique para ampliar).

Configurar tags seguras

O fluxo de trabalho a seguir fornece uma sequência de alto nível das etapas necessárias para configurar tags seguras em políticas de firewall.

  1. É possível criar tags seguras no nível da organização ou do projeto. Para criar uma tag no nível da organização, primeiro é necessário receber a permissão do IAM do administrador da organização. Para mais informações, consulte Conceder permissões a tags seguras.

  2. Para criar uma tag segura, primeiro é necessário criar uma chave de tag. Essa chave de tag descreve a tag que você está criando. Para mais informações, consulte Criar as chaves e os valores de tag segura.

  3. Depois de criar uma chave de tag segura, adicione os valores de tag segura relevantes a ela. Para mais informações, consulte Criar as chaves e os valores de tag segura. Para conceder aos usuários acesso específico para gerenciar chaves de tag seguras e anexar valores de tag a recursos, use o Google Cloud console. Para mais informações, consulte Gerenciar o acesso a tags.

  4. Depois de criar uma tag segura, é possível usá-la em uma política de firewall de rede ou em uma política de firewall hierárquica. Para mais informações, consulte Criar uma política de firewall hierárquica e Criar uma política de firewall de rede.

  5. Para permitir o tráfego selecionado entre as VMs com as chaves de tag de origem e as chaves de tag de destino, crie uma regra de política de firewall (de rede ou hierárquica) com os valores de tag de origem e de destino específicos. Para mais informações, consulte Criar uma regra de política de firewall com tags seguras.

  6. Depois que uma chave de tag é criada e o acesso apropriado é concedido à chave de tag e ao recurso, a chave de tag pode ser vinculada a uma instância de VM. Para mais informações, consulte Vincular tags seguras.

Comparação entre tags seguras e de rede

A tabela a seguir resume as diferenças entre tags seguras e de rede. A marca de seleção indica que o atributo é compatível, e o símbolo indica que o atributo não é compatível.

Atributo Tag segura com purpose-data atributo especificando a rede VPC Tag segura com purpose-data atributo especificando a organização Tag de rede
Recurso pai Projeto ou organização Projeto ou organização Projeto
Estrutura e formato Chave de tag com até 1.000 valores Chave de tag com até 1.000 valores String simples
Controle de acesso Como usar o IAM Como usar o IAM Sem controle de acesso
Interfaces de rede aplicáveis
  • Regra de firewall de entrada com valor de tag segura de origem: as origens incluem interfaces de rede de VM na rede VPC especificada pelo purpose-data atributo da chave de tag.
  • Regra de firewall de entrada ou saída com valor de tag segura de destino: os destinos incluem interfaces de rede de VM na rede VPC especificada pelo purpose-data atributo da chave de tag.
  • Regra de firewall de entrada com valor de tag segura de origem: as origens incluem interfaces de rede de VM em qualquer rede VPC da organização pai.
  • Regra de firewall de entrada ou saída com valor de tag segura de destino: os destinos incluem interfaces de rede de VM em qualquer rede VPC da organização pai.
  • Regra de firewall de entrada com tag de rede de origem: as origens incluem interfaces de rede de VM em qualquer rede VPC usada pela VM se essa rede tiver regras de firewall de VPC usando a tag de rede de origem.
  • Regra de firewall de entrada ou saída com tag de rede de destino: os destinos incluem interfaces de rede de VM em qualquer rede VPC usada pela VM se essa rede tiver regras de firewall de VPC usando a tag de rede de destino.
Com suporte de regras em políticas de firewall hierárquicas
Com suporte de regras em políticas de firewall de rede globais e regionais
Com suporte de regras de firewall da VPC
As regras de firewall de entrada podem incluir origens em redes VPC conectadas usando peering de rede VPC 1 1
As regras de firewall de entrada podem incluir origens em outros spokes VPC no hub do NCC 1 1
1Um valor de tag segura de origem pode identificar interfaces de rede em outra rede VPC quando as duas condições a seguir forem verdadeiras:
  • O atributo purpose-data da chave de tag especifica a outra rede VPC (ou a organização pai que contém a outra rede VPC).
  • A outra rede VPC e a rede VPC que usa a política de firewall estão conectadas usando peering de rede VPC ou são spokes VPC no mesmo hub do NCC.

Papéis IAM

Para mais informações sobre os papéis e permissões do IAM necessários para criar e gerenciar tags seguras, consulte Gerenciar tags em recursos.

A seguir