• ¡Obtenga la seguridad de la aplicación de la manera correcta! Detectar, proteger, monitorear, acelerar y más ...
  • ¿Se pregunta cómo permitir o denegar el flujo de red en Google Cloud Platform (GCP?

    Cada proyecto que crea en GCP viene con las reglas de firewall predeterminadas.

    Exploremos qué son.

    • default-allow-icmp - Permitir desde cualquier fuente a toda la red IP. El protocolo ICMP se utiliza principalmente para hacer ping al objetivo.
    • predeterminado-permitir-interno - Permitir la conectividad entre instancias en cualquier puerto.
    • default-allow-rdp - permitir que la sesión RDP se conecte a los servidores de Windows desde cualquier fuente.
    • default-allow-ssh - habilite la sesión SSH para conectarse a servidores UNIX desde cualquier fuente.

    Como puede ver, las reglas predeterminadas permiten la conectividad básica para habilitar el ping e iniciar sesión en el servidor.

    ¿Necesitas más que esto?

    Estoy seguro de que sí. Ahí es donde necesita saber cómo configurar según las necesidades.

    El firewall de GCP son reglas definidas por software; no necesita aprender o iniciar sesión en dispositivos de hardware de firewall convencionales.

    Las reglas de firewall de Google Cloud tienen estado. Toda la configuración se realiza a través de GCP Console o comandos. Sin embargo, explicaré cómo hacerlo usando una consola.

    Las reglas de firewall están disponibles en la red de VPC en la sección de redes en el menú del lado izquierdo.

    Cuando haga clic en crear una regla de firewall, le preguntará los detalles de conectividad. Entendamos todas las opciones que tenemos y qué significa eso.

    Nombre - Nombre del firewall (solo en minúsculas y no se permite espacio)

    Descripción - opcional pero bueno para ingresar algo significativo, para que recuerde en el futuro

    Network - Si no ha creado ninguna VPC, verá solo el valor predeterminado y lo dejará como está. Sin embargo, si tiene varias VPC, seleccione la red donde desea aplicar las reglas de firewall.

    Prioridad - prioridad de la regla aplicada a la red. El más bajo tiene la prioridad más alta y comienza en 1000. En la mayoría de los casos, desea mantener todos los servicios críticos (HTTP, HTTPS, etc.) con prioridad 1000.

    Dirección del tráfico - seleccione el tipo de flujo entre entrada (entrante) y salida (saliente).

    Acción en el partido - elige si quieres permitir o denegar

    Metas - el objetivo en el que desea aplicar las reglas. Tiene la opción de aplicar las reglas a todas las instancias en la red, solo permitir en etiquetas específicas o cuenta de servicio.

    Filtro de fuente - una fuente que se validará para permitir o denegar. Puede filtrar por rangos de IP, subredes, etiquetas de origen y cuentas de servicio.

    Rangos de IP de origen - si se selecciona el rango de IP en el filtro de origen, que es el predeterminado, proporcione el rango de IP que se permitirá.

    Filtro de segunda fuente - Son posibles múltiples validaciones de fuentes.

    Ejemplo: puede tener el primer filtro de origen como etiquetas de origen y el segundo filtro como cuenta de servicio. Cualquiera que sea el partido será permitido / denegado.

    Protocolo y puertos - puede seleccionar todos los puertos o especificar uno individual (TCP / UDP). Puede tener varios puertos únicos en una sola regla.

    Exploremos escenarios en tiempo real ...

    Tienes puerto SSH cambiado de 22 a algo más (digamos 5000) por razones de seguridad. Desde entonces, no puede ingresar a una VM.

    ¿Por qué?

    Bueno, puede adivinarlo fácilmente porque el puerto 5000 no está permitido en el firewall. Para permitirlo, debe crear una regla de firewall como se muestra a continuación.

    • Proporcione un nombre de regla
    • Elige preámbulo en la dirección del tráfico
    • Elija permitir para la acción del partido
    • Seleccionar todas las instancias en una red en el destino (suponiendo que quiera conectarse a cualquier VM con el puerto 5000)
    • Seleccionar Rangos de IP en el filtro de fuente (suponiendo que quiera conectarse desde CUALQUIER fuente)
    • Proporcionan rangos de IP de origen como 0.0.0.0/0
    • Seleccionar protocolos y puertos especificados e ingrese tcp: 5000
    • Haga clic en crear

    Intente conectar su VM con el puerto 5000, y debería estar bien.

    Algunos de los y las mejores prácticas para administrar las reglas de firewall.

    • Permita solo lo que se requiere (según la necesidad)
    • Siempre que sea posible, especifique rangos o IP de origen individual en lugar de 0.0.0.0/0 (CUALQUIERA)
    • Asocie instancias de VM con las etiquetas y utilícelas en el destino en lugar de todas las instancias
    • Combine varios puertos en una sola regla para hacer coincidir el origen y el destino
    • Revise las reglas del firewall periódicamente

    La interfaz gráfica de GCP es fácil de entender y administrar.

    Espero que esto le dé una idea de cómo administrar firewalls. Si está interesado en aprender GCP, le sugiero que consulte esto curso.