La mise en place d’un cloud virtuel privé nécessite de gérer le trafic ayant accès au réseau. C’est justement pour cette raison que les GCP Firewall Policy existent. Alors de quoi s’agit-il ? Quelles sont les stratégies à implémenter ? Comment les mettre en place ? Découvrez les réponses dans cet article.
C’est quoi les GCP Firewall Policy ?
Les Firewall Policy sur GCP ont pour objectif d’autoriser ou de refuser une connexion au sein d’une instance de machine virtuelle. Ces règles peuvent s’appliquer pour un ou plusieurs réseaux VPC, un ou plusieurs projets, à l’échelle de l’organisation dans son ensemble ou d’un dossier individuel.
Bon à savoir : dès lors qu’une Firewall Policy est activée, elle s’applique. C’est-à-dire qu’elle va protéger votre instance de machine virtuelle, son système d’exploitation et sa configuration, même si elle n’a pas encore démarré.
Quelles sont les différentes stratégies de pare-feux ?
Pour simplifier la gestion des Firewall Policy sur GCP, vous devez créer des stratégies de pare-feux. C’est-à-dire, regrouper plusieurs règles entre elles. Comme elles sont centralisées, vous pourrez plus facilement les mettre à jour.
Mais attention, il existe plusieurs stratégies en fonction de vos besoins :
- Les stratégies de pare-feux hiérarchiques : l’idée est d’avoir un ensemble cohérent pour toute l’entreprise. Les règles sont alors regroupées en fonction de leur importance pour l’organisation.
- Les règles de pare-feux mondiales : ici, les règles s’appliquent à plusieurs régions. Dans ce cadre, vous appliquez d’abord une stratégie au niveau mondial, qui peut ensuite se décliner aux différentes ressources du réseau VPC.
- Les règles de pare-feux de réseau régional : à l’inverse, ces règles de pare-feux ne s’appliquent qu’à un seul réseau VPC. Mais elles peuvent également se décliner à l’ensemble des ressources internes au réseau.
Quels sont les composants des règles de pare-feux ?
Si chaque règle de pare-feux présente ses propres spécificités, il existe toutefois quelques points communs entre les différentes Firewall Policy de GCP. Notamment au niveau de leurs composants. Voici ce que vous retrouverez au moment de définir une règle :
- Application : cela permet d’activer ou de désactiver une règle. C’est particulièrement utile en cas de dépannage, de test ou de déploiement exigeant des modifications en temps réel.
- Direction : il s’agit de définir la ressource à laquelle la règle est attachée (réseau VPC, politique hiérarchique…). Mais attention, il ne peut y avoir qu’un seul sens de connexion (entrant ou sortant).
- Priorité : c’est un nombre qui va définir la priorité d’une règle sur les autres. Plus le nombre est faible, plus la priorité est élevée.
- Action : il s’agit simplement des actions « autoriser » ou « refuser » (également appelées Ingree ou Egress trafic). Vous pouvez aussi configurer l’action « goto.next ».
- Cible : cela permet de faire correspondre les origines du trafic réseau potentiellement intéressantes pour telle ou telle règle de pare-feu. Le contexte change en fonction de la direction définie.
- Filtre : comme la source, l’idée est de faire correspondre les origines du trafic réseau.
- Ports et protocole : il s’agit d’une combinaison de protocoles réseau (comme TCP, UDP, ICMP) et de ports pour affiner les critères de sélection d’une règle de pare-feu.
- Logs : il s’agit d’une option. L’idée est alors de consigner dans les connexions correspondant à la règle dans le Cloud Logging.
Comment mettre en place des règles de pare-feux ?
Afin de créer une règle de pare-feux, vous devez d’abord définir un réseau VPC et ses composants. Ensuite, vous pouvez utiliser différents outils, comme la console Google Cloud, Google Cloud CLI et l’API REST.
Et pour vous aider à implémenter une stratégie de Firewall Policy efficace sur GCP, voici quelques bonnes pratiques à mettre en place :
- Le principe du moindre privilège : il s’agit de bloquer tout le trafic par défaut et de n’autoriser que le trafic spécifique (en fonction de vos besoins).
- La stratégie de pare-feux hiérarchique : celle-ci doit vous permettre de bloquer le trafic qui ne doit pas être autorisé (aussi bien au niveau de l’organisation dans son ensemble que d’un dossier individuel).
- Les règles d’autorisation : elles doivent être limitées à des machines virtuelles spécifiques. Dans ce cas, nous vous conseillons de préciser le compte de service des VM.
- Les adresses IP : limitez autant que possible les règles basées sur des adresses IP. Cela en complexifie la gestion.
- Firewall Insights : cet outil vous permet de vérifier que les règles de pare-feux sont utilisées conformément à vos prévisions.
- La journalisation des Firewall Policy : si cette fonctionnalité est très utile, elle peut aussi entraîner des coûts supplémentaires. Pour les réduire, activez la journalisation avec parcimonie (uniquement quand c’est vraiment utile).
Pour approfondir les bonnes pratiques en matière de gestion des règles de pare-feux sur GCP, il est préférable de suivre une formation. N’hésitez pas à consulter nos programmes sur DataScientest.
Quelles sont les spécificités des règles de pare-feux Google ?
Outre les bonnes pratiques mises en place, certaines spécificités de Google Cloud Platform peuvent affecter vos connexions (qu’elles soient entrantes ou sortantes). Voici donc quelques éléments que vous devez garder en tête au moment de créer vos Firewall Policy sur GCP :
- Certains types de trafic peuvent être automatiquement bloqués ou limités par Google. C’est par exemple le cas des offres et des accusés de réception DHCP entrants ou encore les adresses IP externes.
- La communication entre une instance de VM et le serveur de métadonnées est toujours autorisée dès lors qu’elle correspond à l’adresse 169.254.169.254.
- Chaque réseau comporte des Firewall Policy implicites. Il est toutefois possible de les remplacer en créant de nouvelles règles.
- Chaque règle de pare-feux s’applique à une connexion entrante ou une connexion sortante (jamais les deux en même temps).
Ce qu’il faut retenir
- Les GCP Firewall Policy permettent d’autoriser ou de refuser du trafic au sein d’une instance de machine virtuelle.
- Il est possible de mettre en place des stratégies de pare-feux hiérarchiques, mondiales ou régionales, en fonction de vos besoins.
- Une règle de pare-feux est composée de plusieurs éléments, tels que l’application, la direction, la priorité, l’action, la cible, le filtre, le port, les protocoles et les logs. Vous devrez définir chacun de ces composants pour votre GCP Firewall Policy.
Si vous avez des questions auxquelles vous désirez avoir des réponses, n’hésitez pas à prendre rendez-vous.
