¿Cómo configurar las reglas de firewall en Google Cloud Platform?

Se pregunta cómo permitir o denegar el flujo de red en Google Cloud Platform (GCP?


Cada proyecto que crea en GCP viene con las reglas de firewall predeterminadas.

Exploremos qué son.

  • default-allow-icmp – Permitir desde cualquier fuente a toda la red IP. El protocolo ICMP se usa principalmente para hacer ping al objetivo.
  • default-allow-internal – Permitir conectividad entre instancias en cualquier puerto.
  • default-allow-rdp – permitir que la sesión RDP se conecte a los servidores de Windows desde cualquier fuente.
  • default-allow-ssh – habilite la sesión SSH para conectarse a servidores UNIX desde cualquier fuente.

Como puede ver, las reglas predeterminadas permiten la conectividad básica para habilitar el ping e iniciar sesión en el servidor.

¿Necesitas más que esto??

Estoy seguro de que sí. Ahí es donde necesita saber cómo configurar según las necesidades.

El firewall GCP es reglas definidas por software; no necesita aprender o iniciar sesión en dispositivos de hardware de firewall convencionales.

Las reglas de firewall de Google Cloud tienen estado.

Toda la configuración se realiza a través de la consola GCP o comandos. Sin embargo, explicaré cómo hacerlo usando una consola.

Las reglas de firewall están disponibles en la red VPC en la sección de redes en el menú del lado izquierdo.

Cuando haga clic en crear una regla de firewall, le preguntará los detalles de conectividad. Comprendamos qué opciones tenemos y qué significa eso.

Nombre – nombre del cortafuegos (solo en minúsculas y no se permite espacio)

Descripción – opcional pero bueno para ingresar algo significativo, para que lo recuerde en el futuro

Red – Si no ha creado ninguna VPC, verá solo el valor predeterminado y lo dejará como está. Sin embargo, si tiene múltiples VPC, seleccione la red donde desea aplicar las reglas del firewall.

Prioridad – prioridad de la regla aplicada a la red. La más baja obtuvo la máxima prioridad, y comienza desde 1000. En la mayoría de los casos, desea mantener todos los servicios críticos (HTTP, HTTPS, etc.) con prioridad 1000.

Dirección del tráfico – seleccione el tipo de flujo entre ingreso (entrante) y saliente (saliente).

Acción en partido – elige si quieres permitir o denegar

Objetivos – el objetivo donde desea aplicar las reglas. Tiene la opción de aplicar las reglas a todas las instancias en la red, solo permitir etiquetas específicas o cuenta de servicio.

Filtro fuente – una fuente que se validará para permitir o denegar. Puede filtrar por rangos de IP, subredes, etiquetas de origen y cuentas de servicio.

Rangos de IP de origen – si se selecciona el rango de IP en el filtro de origen que es el predeterminado, proporcione el rango de IP que se permitirá.

Segundo filtro fuente – es posible la validación de múltiples fuentes.

Ej: puede tener el primer filtro de origen como etiquetas de origen y el segundo filtro como cuenta de servicio. Cualquiera que sea el partido será permitido / denegado.

Protocolo y puertos – puede seleccionar todos los puertos o especificar uno individual (TCP / UDP). Puede tener múltiples puertos únicos en una sola regla.

Exploremos los escenarios en tiempo real …

Has cambiado el puerto SSH de 22 a otro (digamos 5000) por razones de seguridad. Desde entonces, no puede ingresar a una VM.

Por qué?

Bueno, puedes adivinar fácilmente porque el puerto 5000 no está permitido en el firewall. Para permitirlo, debe crear una regla de firewall como se muestra a continuación.

  • Proporcione un nombre de regla
  • Elija el ingreso en la dirección del tráfico
  • Elija permitir la acción del partido
  • Seleccione todas las instancias en una red en el destino (suponiendo que desee conectarse a cualquier VM con el puerto 5000)
  • Seleccione los rangos de IP en el filtro de origen (suponiendo que desee conectarse desde CUALQUIER fuente)
  • Proporcionar rangos de IP de origen como 0.0.0.0/0
  • Seleccione los protocolos y puertos especificados e ingrese tcp: 5000
  • Haga clic en crear

Intente conectar su VM con el puerto 5000, y debería estar bien.

Algunos de los mejores prácticas para gestionar reglas de firewall.

  • Permitir solo lo que se requiere (según necesidad)
  • Siempre que sea posible, especifique IP de origen individual o rangos en lugar de 0.0.0.0/0 (CUALQUIERA)
  • Asocia las instancias de VM con las etiquetas y úsalas en el destino en lugar de todas las instancias
  • Combine múltiples puertos en una sola regla para hacer coincidir el origen y el destino
  • Revise las reglas del firewall periódicamente

La interfaz gráfica de GCP es fácil de entender y administrar.

Espero que esto te dé una idea de administrar las reglas de firewall de Google Cloud Platform. Si está interesado en aprender más, recomendaría esto curso por Internet.

TAGS:

  • GCP

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map