Die Einrichtung einer privaten virtuellen Cloud erfordert die Verwaltung des Datenverkehrs, der auf das Netzwerk zugreift. Genau aus diesem Grund gibt es die GCP Firewall Policy. Worum handelt es sich dabei? Welche Richtlinien müssen implementiert werden? Wie werden sie implementiert? Finde die Antworten in diesem Artikel.
Was ist die GCP Firewall Policy?
Die Firewall Policy auf GCP dient dazu, eine Verbindung innerhalb einer Instanz einer virtuellen Maschine zu erlauben oder zu verweigern. Diese Regeln können für ein oder mehrere VPC-Netzwerke, ein oder mehrere Projekte, für die gesamte Organisation oder für einen einzelnen Ordner gelten.
Gut zu wissen: Sobald eine Firewall Policy aktiviert ist, wird sie angewendet. Das heißt, sie wird deine Instanz der virtuellen Maschine, ihr Betriebssystem und ihre Konfiguration schützen, auch wenn sie noch nicht gestartet ist.
Welche verschiedenen GPC Firewall-Strategien gibt es?
Um die Verwaltung der Firewall Policy auf GCP zu vereinfachen, musst du Firewall-Richtlinien erstellen. Das heißt, mehrere Regeln untereinander zu gruppieren. Da sie zentralisiert sind, kannst du sie leichter aktualisieren.
Aber Achtung: Je nach deinen Bedürfnissen gibt es verschiedene Richtlinien:
- Hierarchische Firewall-Richtlinien: Die Idee ist, einen einheitlichen Satz für das gesamte Unternehmen zu haben. Die Regeln werden dann entsprechend ihrer Bedeutung für die Organisation zusammengefasst.
- Globale Firewall-Richtlinien: Hier gelten die Regeln für mehrere Regionen. In diesem Rahmen setzt du zunächst eine Richtlinie auf globaler Ebene durch, die dann auf die verschiedenen Ressourcen des VPC-Netzwerks heruntergebrochen werden kann.
- Firewall-Regeln für regionale Netzwerke: Im Gegensatz dazu gelten diese Firewall-Regeln nur für ein einziges VPC-Netzwerk. Sie können aber auch auf alle Ressourcen innerhalb des Netzwerks angewendet werden.
Was sind die Bestandteile von Firewall-Regeln?
Obwohl jede Firewall-Regel ihre eigenen Besonderheiten hat, gibt es doch einige Gemeinsamkeiten zwischen den verschiedenen Firewall-Policies von GCP. Dies gilt vor allem für ihre Komponenten. Dies sind die Elemente, die du beim Festlegen einer Regel vorfinden wirst:
- Anwendung: Damit kann eine Regel aktiviert oder deaktiviert werden. Dies ist besonders nützlich bei der Fehlerbehebung, beim Testen oder bei Einsätzen, die Änderungen in Echtzeit erfordern.
- Richtung: Hier wird die Ressource definiert, an die die Regel angehängt wird (VPC-Netzwerk, hierarchische Politik…). Aber Achtung: Es kann nur eine Verbindungsrichtung geben (ein- oder ausgehend).
- Priorität: Dies ist eine Zahl, die die Priorität einer Regel gegenüber anderen Regeln definiert. Je niedriger die Zahl, desto höher ist die Priorität.
- Aktion: Dies sind einfach die Aktionen „zulassen“ oder „ablehnen“ (auch Ingree- oder Egress-Verkehr genannt). Du kannst auch die Aktion „goto.next“ einrichten.
- Ziel: Dies dient dazu, die Ursprünge des Netzwerkverkehrs, die für diese oder jene Firewallregel potenziell interessant sind, aufeinander abzustimmen. Der Kontext ändert sich je nach der festgelegten Richtung.
- Filter: Wie bei der Quelle geht es hier darum, die Ursprünge des Netzwerkverkehrs abzugleichen.
- Ports und Protokoll: Hier geht es um eine Kombination aus Netzwerkprotokollen (wie TCP, UDP, ICMP) und Ports, um die Auswahlkriterien für eine Firewallregel zu verfeinern.
- Logs: Dies ist eine Option. Die Idee ist dann, die Verbindungen, die der Regel entsprechen, im Cloud-Logging zu protokollieren.
Wie richte ich Firewall-Regeln ein?
Um eine Firewall-Regel zu erstellen, musst du zunächst ein VPC-Netzwerk und seine Komponenten definieren. Danach kannst du verschiedene Tools verwenden, z. B. die Google Cloud Console, Google Cloud CLI und das REST API.
Und um dir dabei zu helfen, eine effektive Firewall Policy-Strategie auf GCP zu implementieren, findest du hier einige Best Practices, die du anwenden kannst:
- Das Least-Privilege-Prinzip: Hierbei geht es darum, standardmäßig den gesamten Datenverkehr zu blockieren und nur spezifischen Datenverkehr (je nach Bedarf) zuzulassen.
- Die hierarchische Firewall-Strategie: Diese sollte es dir ermöglichen, Verkehr zu blockieren, der nicht zugelassen werden soll (sowohl auf Ebene der gesamten Organisation als auch auf Ebene eines einzelnen Ordners).
Autorisierungsregeln: Diese sollten auf bestimmte virtuelle Maschinen beschränkt sein. In diesem Fall empfehlen wir dir, das Dienstkonto der VMs anzugeben. - IP-Adressen: Beschränke Regeln, die auf IP-Adressen basieren, so weit wie möglich. Dies macht ihre Verwaltung komplexer.
- Firewall Insights: Mit diesem Tool kannst du überprüfen, ob die Firewall-Regeln wie geplant eingesetzt werden.
- Protokollierung der Firewall Policy: Diese Funktion ist zwar sehr nützlich, kann aber auch zusätzliche Kosten verursachen. Um diese zu reduzieren, solltest du die Protokollierung sparsam aktivieren (nur wenn es wirklich sinnvoll ist).
Um die Best Practices für die Verwaltung von Firewall-Regeln auf GCP zu vertiefen, solltest du an einer Schulung teilnehmen. Zögere nicht, dir unsere Programme auf DataScientest anzusehen.
Was sind die Besonderheiten der Google-Firewall-Richtlinien?
Zusätzlich zu den bewährten Vorgehensweisen können sich einige Besonderheiten der Google Cloud Platform auf deine Verbindungen (sowohl eingehende als auch ausgehende) auswirken. Hier sind also einige Dinge, die du beachten solltest, wenn du deine Firewall Policy auf GCP erstellst:
- Bestimmte Arten von Datenverkehr können von Google automatisch blockiert oder eingeschränkt werden. Dies ist z. B. bei eingehenden DHCP-Angeboten und -Bestätigungen oder externen IP-Adressen der Fall. Die Kommunikation zwischen einer VM-
- Instanz und der Metadatenserver ist immer dann erlaubt, wenn sie der Adresse 169.254.169.254 entspricht.
- Jedes Netzwerk hat implizite Firewall Policies. Diese können jedoch durch das Erstellen neuer Regeln ersetzt werden.
- Jede Firewall-Regel gilt für eine eingehende oder eine ausgehende Verbindung (nie beides gleichzeitig).
Was du dir merken solltest
- GCP Firewall Policies ermöglichen es, Datenverkehr innerhalb einer Instanz einer virtuellen Maschine zuzulassen oder abzulehnen.
- Es können hierarchische, globale oder regionale Firewall-Richtlinien eingerichtet werden, je nach deinen Bedürfnissen.
- Eine Firewallregel besteht aus mehreren Komponenten, wie z. B. Anwendung, Richtung, Priorität, Aktion, Ziel, Filter, Port, Protokolle und Protokolle. Du musst jede dieser Komponenten für deine GCP Firewall Policy definieren.
Wenn du Fragen hast, auf die du eine Antwort haben möchtest, kannst du gerne einen Termin vereinbaren.