ניהול משאבים של מדיניות חומת אש באמצעות אילוצים בהתאמה אישית

שירות מדיניות הארגון מאפשר לכם שליטה מרוכזת ופרוגרמטית על משאבי הארגון. אדמינים של מדיניות הארגון יכולים להגדיר מדיניות ארגונית, שהיא קבוצה של הגבלות שנקראות אילוצים, שחלות על משאביGoogle Cloud ועל משאבים שנגזרים מהם בGoogle Cloud היררכיית המשאבים. אפשר לאכוף את מדיניות הארגון ברמת הארגון, התיקייה או הפרויקט.

מדיניות הארגון מספקת אילוצים מוגדרים מראש לשירותים שונים שלGoogle Cloud . עם זאת, אם אתם רוצים שליטה מפורטת יותר בשדות הספציפיים שמוגבלים במדיניות הארגון, אתם יכולים גם ליצור אילוצים מותאמים אישית ולאכוף אותם במדיניות ארגון מותאמת אישית.

ב-Cloud Next Generation Firewall, אפשר ליצור ולאכוף אילוצים בהתאמה אישית במדיניות חומת האש הבאה:

המגבלות המותאמות אישית חלות על כל הכללים במדיניות חומת האש, כולל כללים מוגדרים מראש שנוספים כשיוצרים מדיניות של חומת אש. מידע נוסף על כללים מוגדרים מראש למדיניות חומת אש

העברה בירושה של מדיניות

כברירת מחדל, מדיניות הארגון עוברת בירושה לצאצאים של המשאבים שבהם אתם אוכפים את המדיניות. לדוגמה, אם אוכפים מדיניות בתיקייה, Google Cloud המדיניות נאכפת בכל הפרויקטים בתיקייה. מידע נוסף על ההתנהגות הזו ועל שינוי שלה זמין במאמר בנושא כללי הערכה היררכיים.

משאבים נתמכים ב-Cloud NGFW

במדיניות חומת האש, אפשר להגדיר אילוצים מותאמים אישית במשאבים ובשדות הבאים.

  • Firewall Policies: compute.googleapis.com/FirewallPolicy
    • שם הכלל: resource.rules[].ruleName
    • תיאור: resource.rules[].description
    • עדיפות: resource.rules[].priority
    • פעולה: resource.rules[].action
    • כיוון: resource.rules[].direction
    • האם הרישום ביומן מופעל: resource.rules[].enableLogging
    • מושבתת: resource.rules[].disabled
    • קבוצת פרופילים של אבטחה: resource.rules[].securityProfileGroup
    • האם בדיקת TLS מופעלת: resource.rules[].tlsInspect
    • חשבונות שירות של היעד: resource.rules[].targetServiceAccounts[]
    • תגי יעד מאובטחים: resource.rules[].targetSecureTags[]
      • שם: resource.rules[].targetSecureTags[].name
    • משאבי היעד: resource.rules[].targetResources
    • טווחי כתובות ה-IP של המקור: resource.rules[].match.srcIpRanges[]
    • טווחי כתובות ה-IP של היעד: resource.rules[].match.destIpRanges[]
    • ‫Layer4Config: resource.rules[].match.layer4Configs[]
      • פרוטוקול IP: match.layer4Configs[].ipProtocol
      • יציאות: resource.rules[].match.layer4Configs[].ports[]
    • תגי מקור מאובטחים: resource.rules[].match.srcSecureTags[]
      • שם: resource.rules[].match.srcSecureTags[].name
    • קבוצות של כתובות מקור: resource.rules[].match.srcAddressGroups[]
    • קבוצות של כתובות יעד: resource.rules[].match.destAddressGroups[]
    • שמות דומיין מלאים (FQDN) של המקור: resource.rules[].match.srcFqdns[]
    • שמות דומיין מלאים (FQDN) של היעד: resource.rules[].match.destFqdns[]
    • קודי אזורים של נקודת המוצא: resource.rules[].match.srcReigonCodes[]
    • קודי אזורים ביעד: resource.rules[].match.destReigonCodes[]
    • רשימות של מודיעין איומים ברשת המקור: resource.rules[].match.srcThreatIntelligences[]
    • רשימות של מודיעין איומים ברשת היעד: resource.rules[].match.destThreatIntelligences[]

לפני שמתחילים

  • אם עדיין לא עשיתם את זה, תצטרכו להגדיר אימות. אימות הוא תהליך שבו מאמתים את הזהות שלכם כדי לקבל גישה לממשקי API ולשירותים של Google Cloud . כדי להריץ קוד או דוגמאות מסביבת פיתוח מקומית, אפשר לבצע אימות ל-Compute Engine באחת מהדרכים הבאות:

    צריך לבחור את הכרטיסייה הרלוונטית לאופן שבו תכננתם להשתמש בדוגמאות בדף הזה:

    המסוף

    כשמשתמשים במסוף Google Cloud כדי לגשת לשירותים ולממשקי ה-API, לא צריך להגדיר אימות. Google Cloud

    gcloud

    1. התקינו את ה-CLI של Google Cloud. אחר כך, אתחלו את ה-CLI של Google Cloud באמצעות הפקודה הבאה: 

      gcloud init

      אם אתם משתמשים בספק זהויות חיצוני (IdP), קודם אתם צריכים להיכנס ל-CLI של gcloud באמצעות המאגר המאוחד לניהול זהויות.

  • הגדרת אזור ותחום כברירת מחדל

    • REST

    כדי להשתמש בסביבת פיתוח מקומית בדוגמאות של API בארכיטקטורת REST שבדף הזה, צריך להשתמש בפרטי הכניסה שאתם נותנים ל-CLI של gcloud.

      התקינו את ה-CLI של Google Cloud.

      אם אתם משתמשים בספק זהויות חיצוני (IdP), קודם אתם צריכים להיכנס ל-CLI של gcloud באמצעות המאגר המאוחד לניהול זהויות.

    מידע נוסף מופיע במאמר אימות לשימוש ב-REST במסמכי האימות של Google Cloud .

התפקידים הנדרשים

כדי לקבל את ההרשאות שדרושות לניהול כללי מדיניות הארגון עבור משאבי Cloud NGFW, צריך לבקש מהאדמין להקצות לכם את תפקידי ה-IAM הבאים:

להסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.

התפקידים המוגדרים מראש האלה כוללים את ההרשאות שנדרשות לניהול כללי מדיניות ארגונית למשאבי Cloud NGFW. כדי לראות בדיוק אילו הרשאות נדרשות, אפשר להרחיב את הקטע ההרשאות הנדרשות:

ההרשאות הנדרשות

כדי לנהל את מדיניות הארגון למשאבי Cloud NGFW, נדרשות ההרשאות הבאות:

  • orgpolicy.constraints.list
  • orgpolicy.policies.create
  • orgpolicy.policies.delete
  • orgpolicy.policies.list
  • orgpolicy.policies.update
  • orgpolicy.policy.get
  • orgpolicy.policy.set

יכול להיות שתקבלו את ההרשאות האלה באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש אחרים.

הגדרת אילוץ בהתאמה אישית

אפשר ליצור אילוץ בהתאמה אישית ולהגדיר אותו לשימוש במדיניות הארגון באמצעות מסוף Google Cloud או Google Cloud CLI.

המסוף

  1. במסוף Google Cloud , נכנסים לדף מדיניות הארגון.

    מעבר למדיניות הארגון

  2. לוחצים על Project picker (כלי לבחירת פרויקטים) בחלק העליון של הדף.

  3. בכלי לבחירת פרויקטים, בוחרים את המשאב שרוצים להגדיר לו את מדיניות הארגון.

  4. לוחצים על Custom constraint (הגבלה מותאמת אישית).

  5. בתיבה שם לתצוגה, מזינים שם קל לקריאה לאילוץ. האורך המקסימלי של השדה הוא 200 תווים. אל תשתמשו בפרטים אישיים מזהים (PII) או במידע אישי רגיש בשמות של אילוצים, כי הם עלולים להיחשף בהודעות שגיאה.

  6. בתיבה מזהה אילוץ, מזינים את השם שרוצים לתת לאילוץ המותאם אישית החדש. אילוץ מותאם אישית חייב להתחיל ב-custom., ויכול לכלול רק אותיות רישיות, אותיות קטנות או מספרים, לדוגמה, custom.createFirewallPolicy. האורך המקסימלי של השדה הזה הוא 70 תווים, לא כולל הקידומת, לדוגמה, organizations/123456789/customConstraints/custom..

  7. בתיבה Description (תיאור), מזינים תיאור של האילוץ שיהיה קל להבין, שיוצג כהודעת שגיאה אם תהיה הפרה של המדיניות. האורך המקסימלי של השדה הוא 2,000 תווים.

  8. בתיבה Resource type, בוחרים את השם של משאב REST‏ Google Cloudשמכיל את האובייקט והשדה שרוצים להגביל. לדוגמה, compute.googleapis.com/FirewallPolicy.

  9. בקטע שיטת אכיפה, בוחרים אם לאכוף את ההגבלה רק על שיטת REST CREATE או גם על שיטת REST CREATE וגם על שיטת UPDATE.

  10. כדי להגדיר תנאי, לוחצים על Edit condition.

    1. בחלונית Add condition, יוצרים תנאי CEL שמתייחס למשאב שירות נתמך. האורך המקסימלי של השדה הוא 1,000 תווים.

    2. לוחצים על Save.

  11. בקטע פעולה, בוחרים אם לאשר או לדחות את השיטה שנבדקה אם התנאי שלמעלה מתקיים.

  12. לוחצים על יצירת אילוץ.

אחרי שמזינים ערך בכל שדה, מופיעה משמאל הגדרת ה-YAML המקבילה למגבלה המותאמת אישית הזו.

gcloud

כדי ליצור אילוץ בהתאמה אישית באמצעות Google Cloud CLI, יוצרים קובץ YAML לאילוץ בהתאמה אישית:

name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
resource_types: compute.googleapis.com/RESOURCE_NAME
method_types: METHOD1 METHOD2
condition: "CONDITION"
action_type: ACTION
display_name: DISPLAY_NAME
description: DESCRIPTION

מחליפים את מה שכתוב בשדות הבאים:

  • ORGANIZATION_ID: מזהה הארגון, למשל 123456789.

  • CONSTRAINT_NAME: השם שרוצים לתת לאילוץ המותאם אישית החדש. אילוץ מותאם אישית חייב להתחיל ב-custom., ויכול לכלול רק אותיות רישיות, אותיות קטנות או מספרים, לדוגמה, custom.createFirewallPolicy. האורך המקסימלי של השדה הזה הוא 70 תווים, לא כולל הקידומת, לדוגמה, organizations/123456789/customConstraints/custom.

  • RESOURCE_NAME: השם (לא ה-URI) של משאב ה-REST של Compute Engine API שמכיל את האובייקט והשדה שרוצים להגביל. לדוגמה, FirewallPolicy.

  • METHOD1,METHOD2,...: רשימה של methods מסוג RESTful שצריך לאכוף לגביהם את האילוץ. הערך יכול להיות CREATE או CREATE ו-UPDATE.

  • CONDITION: תנאי בשפת CEL שנכתב על סמך ייצוג של משאב שירות נתמך. האורך המקסימלי של השדה הוא 1,000 תווים. מידע נוסף על המשאבים שאפשר לכתוב תנאים לגביהם זמין במאמר בנושא משאבים נתמכים.

  • ACTION: הפעולה שתתבצע אם התנאי condition יתקיים. האפשרויות הן ALLOW או DENY.

  • DISPLAY_NAME: שם קריא לאנשים של האילוץ. האורך המקסימלי של השדה הוא 200 תווים.

  • DESCRIPTION: תיאור ידידותי למשתמש של האילוץ, שיוצג כהודעת שגיאה אם תהיה הפרה של המדיניות. האורך המקסימלי של השדה הוא 2,000 תווים.

מידע נוסף על יצירת אילוץ בהתאמה אישית זמין במאמר הגדרת אילוצים בהתאמה אישית.

המסוף

כדי ליצור אילוץ בהתאמה אישית:

  1. במסוף Google Cloud , נכנסים לדף מדיניות הארגון.

    מעבר למדיניות הארגון

  2. בכלי לבחירת פרויקטים, בוחרים את הפרויקט שרוצים להגדיר לו את מדיניות הארגון.
  3. לוחצים על Custom constraint (הגבלה מותאמת אישית).
  4. בתיבה שם לתצוגה, מזינים שם שקל לקרוא אותו עבור האילוץ. השם הזה משמש בהודעות שגיאה, ואפשר להשתמש בו לזיהוי ולניפוי באגים. אל תשתמשו בפרטים אישיים מזהים (PII) או במידע אישי רגיש בשמות לתצוגה, כי השם הזה עשוי להיחשף בהודעות שגיאה. השדה הזה יכול להכיל עד 200 תווים.
  5. בתיבה Constraint ID (מזהה ההגבלה), מזינים את המזהה שרוצים להגדיר להגבלה החדשה בהתאמה אישית. אילוץ מותאם אישית יכול להכיל רק אותיות (כולל אותיות גדולות וקטנות) או מספרים, למשל custom.createFirewallPolicy. השדה הזה יכול להכיל עד 70 תווים, לא כולל הקידומת (custom.), לדוגמה, organizations/123456789/customConstraints/custom. אל תכללו פרטים אישיים מזהים (PII) או נתונים רגישים במזהה האילוץ, כי הם עלולים להיחשף בהודעות שגיאה.
  6. בתיבה Description, מזינים תיאור של האילוץ שכתוב בצורה שקריאה לאנשים. התיאור הזה משמש כהודעת שגיאה כשמתבצעת הפרה של המדיניות. לכלול פרטים על הסיבה להפרת המדיניות ואיך לפתור אותה. אל תכללו בתיאור פרטים אישיים מזהים (PII) או מידע אישי רגיש, כי הם עלולים להיחשף בהודעות שגיאה. השדה הזה יכול להכיל עד 2,000 תווים.
  7. בתיבה Resource type, בוחרים את השם של משאב REST‏ Google Cloud שמכיל את האובייקט והשדה שרוצים להגביל – לדוגמה, container.googleapis.com/NodePool. רוב סוגי המשאבים תומכים בעד 20 אילוצים מותאמים אישית. אם תנסו ליצור עוד אילוצים בהתאמה אישית, הפעולה תיכשל.
  8. אפשר לאכוף את ההגבלה הזו רק בשיטת REST‏ CREATE.

    9. כדי לראות את השיטות הנתמכות לכל שירות, מחפשים את השירות בקטע שירותים שתומכים באילוצים בהתאמה אישית.

  9. כדי להגדיר תנאי, לוחצים על Edit condition.
    1. בחלונית Add condition, יוצרים תנאי CEL שמתייחס למשאב שירות נתמך, לדוגמה, resource.management.autoUpgrade == false. השדה הזה יכול להכיל עד 1,000 תווים. פרטים על השימוש ב-CEL זמינים במאמר בנושא Common Expression Language. מידע נוסף על משאבי השירות שאפשר להשתמש בהם באילוצים בהתאמה אישית זמין במאמר שירותים שתומכים באילוצים בהתאמה אישית.
    2. לוחצים על Save.
  10. בקטע פעולה, בוחרים אם לאשר או לדחות את השיטה שנבדקה אם התנאי מתקיים.

    11. הפעולה deny (דחייה) פירושה שהפעולה ליצירה או לעדכון של המשאב נחסמת אם התנאי מוערך כ-True.

    הפעולה allow (אישור) אומרת שהפעולה ליצירה או לעדכון של המשאב מותרת רק אם התנאי מחזיר את הערך true. כל מקרה אחר, מלבד אלה שמפורטים במפורש בתנאי, נחסם.

  11. לוחצים על יצירת אילוץ.

    12. אחרי שמזינים ערך בכל שדה, מופיעה משמאל הגדרת ה-YAML המקבילה לאילוץ המותאם אישית הזה.

gcloud

  1. כדי ליצור אילוץ בהתאמה אישית, יוצרים קובץ YAML בפורמט הבא: 
    2. name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
resourceTypes: RESOURCE_NAME
methodTypes:
  - CREATE
condition: "CONDITION"
actionType: ACTION
displayName: DISPLAY_NAME
description: DESCRIPTION

    מחליפים את מה שכתוב בשדות הבאים:

    • ORGANIZATION_ID: מזהה הארגון, למשל 123456789.
    • CONSTRAINT_NAME: השם שרוצים לתת לאילוץ המותאם אישית החדש. אילוץ מותאם אישית יכול להכיל רק אותיות (כולל אותיות רישיות וקטנות) או מספרים, למשל, custom.createFirewallPolicy. השדה הזה יכול להכיל עד 70 תווים, לא כולל הקידומת (custom.) – לדוגמה, organizations/123456789/customConstraints/custom. אל תכללו פרטים אישיים מזהים (PII) או נתונים רגישים במזהה האילוץ, כי הם עלולים להיחשף בהודעות שגיאה.
    • RESOURCE_NAME: השם מוגדר במלואו של המשאב Google Cloudשמכיל את האובייקט והשדה שרוצים להגביל. לדוגמה: compute.googleapis.com/FirewallPolicy. רוב סוגי המשאבים תומכים בעד 20 אילוצים מותאמים אישית. אם תנסו ליצור עוד אילוצים בהתאמה אישית, הפעולה תיכשל.
    • methodTypes: שיטות ה-REST שבהן האילוץ נאכף. הערך יכול להיות רק CREATE.

      • כדי לראות את השיטות הנתמכות לכל שירות, מחפשים את השירות ב שירותים שתומכים באילוצים בהתאמה אישית.

    • CONDITION: תנאי CEL שנכתב על סמך ייצוג של משאב שירות נתמך. השדה הזה יכול להכיל עד 1,000 תווים. לדוגמה: "resource.rules.all(rule, rule.action == 'goto_next')".

      • מידע נוסף על המשאבים שאפשר לכתוב תנאים לגביהם זמין במאמר משאבים נתמכים.

    • ACTION: הפעולה שתתבצע אם התנאי condition יתקיים. הערך יכול להיות רק ALLOW.

      • הפעולה allow (אישור) אומרת שאם התנאי מקבל את הערך True, הפעולה ליצירה או לעדכון של המשאב מותרת. המשמעות היא שכל מקרה אחר, חוץ מהמקרה שמופיע במפורש בתנאי, ייחסם.

    • DISPLAY_NAME: שם קריא לאנשים של האילוץ. השם הזה מופיע בהודעות שגיאה ויכול לשמש לזיהוי ולניפוי באגים. אל תשתמשו בפרטים אישיים מזהים (PII) או במידע אישי רגיש בשמות המוצגים, כי השם הזה עלול להיחשף בהודעות שגיאה. השדה הזה יכול להכיל עד 200 תווים.
    • DESCRIPTION: תיאור ידידותי למשתמש של האילוץ שיוצג כהודעת שגיאה אם המדיניות תופר. השדה הזה יכול להכיל עד 2,000 תווים.
  2. אחרי שיוצרים קובץ YAML לאילוץ חדש בהתאמה אישית, צריך להגדיר אותו כדי שיהיה זמין למדיניות הארגון בארגון. כדי להגדיר אילוץ בהתאמה אישית, משתמשים בפקודה gcloud org-policies set-custom-constraint: 
    3. gcloud org-policies set-custom-constraint CONSTRAINT_PATH

    מחליפים את CONSTRAINT_PATH בנתיב המלא לקובץ האילוצים המותאמים אישית. לדוגמה, /home/user/customconstraint.yaml.

    אחרי שהפעולה הזו תושלם, האילוצים המותאמים אישית יהיו זמינים כמדיניות ארגונית ברשימת Google Cloud מדיניות הארגון.

  3. כדי לוודא שהאילוץ המותאם אישית קיים, משתמשים בפקודה gcloud org-policies list-custom-constraints: 
    4. gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID

    מחליפים את ORGANIZATION_ID במזהה של משאב הארגון.

    מידע נוסף זמין במאמר בנושא צפייה במדיניות הארגון.

החלת אילוץ מותאם אישית

כדי לאכוף אילוץ, יוצרים מדיניות ארגון שמפנה אליו, ואז מחילים את מדיניות הארגון הזו על משאב Google Cloud .

המסוף

  1. במסוף Google Cloud , נכנסים לדף מדיניות הארגון.

    מעבר למדיניות הארגון

  2. מכלי לבחירת פרויקטים, בוחרים את הפרויקט שרוצים להגדיר לו את מדיניות הארגון.
  3. מהרשימה בדף מדיניות הארגון, בוחרים את האילוץ כדי לראות את הדף פרטי המדיניות של האילוץ הזה.
  4. כדי להגדיר את מדיניות הארגון עבור המשאב הזה, לוחצים על ניהול מדיניות.
  5. בדף עריכת מדיניות, בוחרים באפשרות במקום המדיניות של המשאב הראשי.
  6. לוחצים על Add a rule.
  7. בקטע Enforcement (אכיפה), בוחרים אם מדיניות הארגון הזו נאכפת או לא.
  8. אופציונלי: כדי להגדיר את מדיניות הארגון כתלויה בתג, לוחצים על הוספת תנאי. הערה: אם מוסיפים כלל מותנה למדיניות ארגון, צריך להוסיף לפחות כלל לא מותנה אחד, אחרת אי אפשר לשמור את המדיניות. מידע נוסף על מדיניות ארגונית עם תגים
  9. לוחצים על בדיקת שינויים כדי לדמות את ההשפעה של מדיניות הארגון. מידע נוסף זמין במאמר בדיקת שינויים במדיניות הארגון באמצעות סימולטור המדיניות.
  10. כדי לאכוף את המדיניות של הארגון במצב פרימטר לבדיקות, לוחצים על הגדרת המדיניות להרצת בדיקה. מידע נוסף זמין במאמר בנושא בדיקת מדיניות הארגון.
  11. אחרי שמוודאים שמדיניות הארגון במצב הרצה יבשה פועלת כמו שרוצים, לוחצים על הגדרת מדיניות כדי להגדיר את המדיניות הפעילה.

gcloud

  1. כדי ליצור מדיניות ארגונית עם כללים בוליאניים, יוצרים קובץ YAML של מדיניות שמפנה לאילוץ: 
    2. name: projects/PROJECT_ID/policies/CONSTRAINT_NAME
spec:
  rules:
  - enforce: true

dryRunSpec:
  rules:
  - enforce: true

    מחליפים את מה שכתוב בשדות הבאים:

    • PROJECT_ID: הפרויקט שבו רוצים לאכוף את האילוץ.
    • CONSTRAINT_NAME: השם שהגדרתם לאילוץ המותאם אישית. לדוגמה, custom.createFirewallPolicy.
  2. כדי לאכוף את מדיניות הארגון במצב הרצה יבשה, מריצים את הפקודה הבאה עם הדגל dryRunSpec: 
    3. gcloud org-policies set-policy POLICY_PATH --update-mask=dryRunSpec

    מחליפים את POLICY_PATH בנתיב המלא לקובץ ה-YAML של מדיניות הארגון. יחלפו עד 15 דקות לפני שהמדיניות תיכנס לתוקף.

  3. אחרי שמוודאים שמדיניות הארגון במצב הרצה יבשה פועלת כמו שרוצים, מגדירים את המדיניות הפעילה באמצעות הפקודה org-policies set-policy והדגל spec: 
    4. gcloud org-policies set-policy POLICY_PATH --update-mask=spec

    מחליפים את POLICY_PATH בנתיב המלא לקובץ ה-YAML של מדיניות הארגון. יחלפו עד 15 דקות לפני שהמדיניות תיכנס לתוקף.

דוגמה: יצירת אילוץ שמחייב הפעלה של רישום ביומן בכל כללי חומת האש

ההגבלה שמתוארת בקטע הזה מונעת יצירה של כללי מדיניות חומת אש בלי שהרישום ביומן מופעל. כללי מדיניות חומת אש עם פעולת goto_next לא נכללים כי הם לא תומכים ברישום ביומן.

gcloud

  1. יוצרים קובץ אילוצים enforceLoggingEnabled.yaml עם הפרטים הבאים.

    name: organizations/ORGANIZATION_ID/customConstraints/custom.enforceLoggingEnabled
resource_types: compute.googleapis.com/FirewallPolicy
condition: "resource.rules.exists(rule, rule.action != 'goto_next' && rule.enableLogging == false)"
action_type: DENY
method_types: [CREATE, UPDATE]
display_name: Enforce that all rules have logging enabled
description: Firewall policy rules with action other than goto_next can only be created when firewall rules logging is enabled.

    מחליפים את ORGANIZATION_ID במזהה הארגון.

  2. מגדירים את האילוץ המותאם אישית.

    gcloud org-policies set-custom-constraint enforceLoggingEnabled.yaml

  3. יוצרים קובץ מדיניות enforceLoggingEnabled-policy.yaml עם הפרטים שמופיעים בדוגמה הבאה, ומחילים את האילוץ הזה ברמת הפרויקט. אפשר להגדיר את ההרשאה הזו גם ברמת הארגון או התיקייה.

    name: projects/PROJECT_ID/policies/custom.enforceLoggingEnabled
spec:
 rules:
enforce: true

    מחליפים את PROJECT_ID במזהה הפרויקט.

  4. אוכפים את המדיניות.

    gcloud org-policies set-policy enforceLoggingEnabled-policy.yaml

  5. כדי לבדוק את האילוץ, יוצרים כלל במדיניות חומת האש שמאפשר תעבורת נתונים נכנסת מסוג TCP ביציאה 22, כשהרישום מושבת.

    כדי ליצור מדיניות חומת אש, משתמשים בפקודה הבאה:

     gcloud compute network-firewall-policies create test-fw-policy --global

    לאחר מכן, יוצרים כלל במדיניות שמאפשר תעבורת TCP נכנסת:

     gcloud compute network-firewall-policies rules create 1000 \
     --action ALLOW \
     --direction INGRESS \
     --firewall-policy test-fw-policy \
     --src-ip-ranges 0.0.0.0/0 \
     --layer4-configs tcp:22 \
     --no-enable-logging \
     --global-firewall-policy

    הפלט אמור להיראות כך:

    ERROR: (gcloud.compute.network-firewall-policies.create) Could not fetch resource:
- Operation denied by custom org policy: [customConstraints/custom.enforceLoggingEnabled] :Firewall policy rules with action other than goto_next can only be created when firewall rules logging is enabled.

  6. מוחקים את מדיניות חומת האש שנוצרה בשלב הקודם. 

     gcloud compute network-firewall-policies delete test-fw-policy --global

דוגמה: יצירת אילוץ שמחייב שכל כללי חומת האש של SSH לתעבורת נתונים נכנסת (ingress) יכללו טווח מקור ספציפי

ההגבלה שמתוארת בקטע הזה אוכפת את הכללים של מדיניות חומת האש שמאפשרים תעבורת SSH נכנסת (ingress). הכללים האלה צריכים לכלול טווחים של כתובות IP של מקור שמתחילים ב-192.168. block.

gcloud

  1. יוצרים קובץ אילוצים מסוג restrictFirewallPolicyRulesSshRanges.yaml עם הפרטים הבאים.

    name: organizations/$ORGANIZATION_ID/customConstraints/custom.restrictFirewallPolicyRulesSshRanges
resource_types: compute.googleapis.com/FirewallPolicy
condition: "resource.rules.exists(rule,
rule.priority < 2147483644 &&
(rule.direction == 'INGRESS') &&
!rule.match.srcIpRanges.all(ipRange, ipRange.startsWith('192.168.')) &&
rule.match.layer4Configs.all(l4config, l4config.ipProtocol == 'tcp' && l4config.ports.all(port, port == '22'))
)"
action_type: DENY
method_types: [CREATE, UPDATE]
display_name: Limit firewall policy rules that allow ingress SSH traffic
description: Firewall Policy rules that allow ingress SSH traffic can only be created with allowed source ranges.

    מחליפים את ORGANIZATION_ID במזהה הארגון.

  2. מגדירים את האילוץ המותאם אישית.

    gcloud org-policies set-custom-constraint restrictFirewallPolicyRulesSshRanges.yaml

  3. יוצרים restrictFirewallPolicyRulesSshRanges-policy.yaml קובץ מדיניות עם המידע שמופיע בדוגמה הבאה, ומאכפים את האילוץ ברמת הפרויקט. אפשר גם להגדיר את האילוץ הזה ברמת הארגון או התיקייה.

    name: projects/PROJECT_ID/policies/custom.restrictFirewallPolicyRulesSshRanges
spec:
rules: enforce: true

    מחליפים את PROJECT_ID במזהה הפרויקט.

  4. אוכפים את המדיניות.

    gcloud org-policies set-policy restrictFirewallPolicyRulesSshRanges-policy.yaml

  5. כדי לבדוק את האילוץ, יוצרים כלל במדיניות חומת האש שמאפשר תעבורת נתונים נכנסת (ingress) מסוג SSH TCP ביציאה 22 עם טווח כתובות IP של המקור 10.0.0.0/0.

    כדי ליצור מדיניות חומת אש, משתמשים בפקודה הבאה:

    gcloud compute network-firewall-policies create test-fw-policy --global

    לאחר מכן, יוצרים כלל במדיניות שמאפשר תעבורת נתונים נכנסת מסוג SSH:

    gcloud compute network-firewall-policies rules create 1000 \
    --action ALLOW \
    --direction INGRESS \
    --firewall-policy test-fw-policy \
    --src-ip-ranges 10.0.0.0/8 \
    --layer4-configs tcp:22 \
    --global-firewall-policy

    הפלט אמור להיראות כך:

    ERROR: (gcloud.compute.network-firewall-policies.create) Could not fetch resource:
- Operation denied by custom org policy: [customConstraints/custom.restrictFirewallPolicyRulesSshRanges]: Firewall Policy rules that allow ingress SSH traffic can only be created with allowed source ranges.

  6. מוחקים את מדיניות חומת האש שנוצרה בשלב הקודם. 

    gcloud compute network-firewall-policies delete test-fw-policy --global

דוגמה: יצירת אילוץ שמחייב את כל כללי חומת האש של SSH בכניסה להשתמש בקבוצות כתובות ספציפיות

ההגבלה שמתוארת בקטע הזה מחייבת כללים של מדיניות חומת האש שמאפשרים לתעבורת SSH נכנסת להשתמש רק בקבוצות הכתובות שצוינו בהיקף הארגון. מידע נוסף על קבוצות כתובות זמין במאמר קבוצות כתובות למדיניות חומת אש.

gcloud

  1. יוצרים קובץ אילוצים מסוג restrictFirewallPolicyRulesSshAddressGroups.yaml עם הפרטים הבאים.

    name: organizations/ORGANIZATION_ID/customConstraints/custom.restrictFirewallPolicyRulesSshAddressGroups
resource_types: compute.googleapis.com/FirewallPolicy
condition: "!resource.rules.all(rule, rule.priority >= 2147483644 || rule.match.srcAddressGroups.exists(group, ['ADDRESS_GROUP_1','ADDRESS_GROUP_2', ... , 'ADDRESS_GROUP_N'].exists(value, value == group) ) )"
action_type: DENY
method_types: [CREATE, UPDATE]
display_name: Limit firewall policy rules that allow ingress SSH traffic
description: Firewall policy rules that allow ingress SSH traffic can only be created with allowed address groups.

    מחליפים את ORGANIZATION_ID במזהה הארגון.

    מחליפים את '<code><var>ADDRESS_GROUP_1</var></code>', '<code><var>ADDRESS_GROUP_2</var></code>', ... , '<code><var>ADDRESS_GROUP_N</var></code>' במזהי כתובות URL ייחודיים של קבוצות הכתובות שרוצים לאפשר, לדוגמה, 'organizations/my-org/locations/europe-west1/addressGroups/my-address-group'.

  2. מגדירים את האילוץ המותאם אישית.

    gcloud org-policies set-custom-constraint restrictFirewallPolicyRulesSshAddressGroups.yaml

  3. יוצרים קובץ מדיניות restrictFirewallPolicyRulesSshAddressGroups-policy.yaml באמצעות הדוגמה הבאה. לאחר מכן, אוכפים את המגבלה ברמת הפרויקט. אפשר גם להגדיר את האילוץ הזה ברמת הארגון או התיקייה.

    name: projects/PROJECT_ID/policies/custom.restrictFirewallPolicyRulesSshAddressGroups
spec:
rules: enforce: true

    מחליפים את PROJECT_ID במזהה הפרויקט.

  4. אוכפים את המדיניות.

    gcloud org-policies set-policy restrictFirewallPolicyRulesSshAddressGroups-policy.yaml

  5. כדי לבדוק את האילוץ, יוצרים כלל במדיניות חומת האש שמאפשר תעבורת נתונים נכנסת (ingress) מסוג SSH TCP ביציאה 22 עם קבוצת כתובות מקור test-address-group.

    כדי ליצור מדיניות חומת אש, משתמשים בפקודה הבאה:

    gcloud compute network-firewall-policies create test-fw-policy --global

    לאחר מכן, יוצרים כלל במדיניות שמאפשר תעבורת נתונים נכנסת מסוג SSH:

    gcloud compute network-firewall-policies rules create 1000 \
    --action ALLOW \
    --direction INGRESS \
    --firewall-policy test-fw-policy \
    --src-address-groups organizations/my-org/locations/europe-west1/addressGroups/test-address-group \
    --layer4-configs tcp:22 \
    --global-firewall-policy

    הפלט אמור להיראות כך:

    ERROR: (gcloud.compute.network-firewall-policies.create) Could not fetch resource:
- Operation denied by custom org policy: [customConstraints/custom.restrictFirewallPolicyRulesSshAddressGroups]: Firewall policy rules that allow ingress SSH traffic can only be created with allowed address groups.

  6. מוחקים את מדיניות חומת האש שנוצרה בשלב הקודם. 

    gcloud compute network-firewall-policies delete test-fw-policy --global

באופן דומה, אתם יכולים לאכוף את כל כללי חומת האש של SSH לגישה נכנסת כך שישתמשו רק בקבוצות כתובות ספציפיות בהיקף הפרויקט.

המאמרים הבאים