Google云计算更新其防火墙服务,加入全球(Global)网络防火墙政策、地区(Regional)网络防火墙政策,以及IAM治理标签(IAM-governed Tag)新功能,官方提到,这些功能让用户可以借由全球分布式云计算原生防火墙服务,达到零信任网络状态。
过去Google在组织以及文件夹层级,提供阶层防火墙政策,而现在Google要引入全新的网络防火墙政策结构,其区分为全球以及地区两种,官方提到,新结构将改进过去的VPC防火墙规则结构。与阶层网络防火墙政策类似,新的政策结构也是扮演防火墙的规则容器角色,一旦政策与VPC网络相关联,网络防火墙政策中定义的规则便会强制执行。
同一个网络防火墙政策可以关联多的VPC网络,但每个VPC网络只能有一个全球网络防火墙政策,每一个地区关联一个地区防火墙政策。全球网络防火墙政策提供一个全球防火墙配置结构,来符合Google云计算VPC网络分布全球的特性,适用于部署VPC网络所有Google云计算地区的工作负载,而地区网络防火墙政策就只针对单一目标地区,因此用户在使用时要指定目标区域,防火墙配置资料就只会应用在特定地区的工作负载,不会传播到其他Google云计算地区。
而添加的IAM治理标签又被称为资源管理器标签,是一种新型的标签资源,具有经强化的安全性,可用于像是虚拟机执行实例等各种Google云计算资源。新的网络防火墙政策能够与IAM治理标签集成使用,全球与地区网络防火墙政策都支持IAM治理标签,作为微切分(Micro-Segmentation)的手段。
与之前的网络标签不同,IAM治理标签经IAM权限严格控制,所以不会有未经授权人员访问的风险,借由IAM权限,IAM治理标签允许用户根据逻辑分组定义个别的网络防火墙政策,并且通过精细的授权控制,在组织内委派群组管理。
通过这些新功能,企业就可以将虚拟机分配给逻辑名称,并委派给像是应用程序开发人员、数据库管理员或运营团队等组织内其他团队。
Google解释,因为过去网络安全和微切分的原因,建议使用VPC网络规则、网络标签和服务账户保护工作负载,但因为网络标签不包含内置的IAM治理,因此可能被添加到任何虚拟机执行实例中,进而存在内部威胁参与者滥用标签的可能性。
即便服务账户有更好的IAM控制,但每个虚拟机只能关联一个服务账户,这限制了多维度工作负载的灵活访问要求,而且要更改服务账户,就要关闭并重新创建虚拟机,对于生产工作负载并不理想。
因此Google网络防火墙服务的更新,不只可以简化规则管理,并且让企业根据需求,实施更细致的IAM控制,并在同一个项目中跨VPC网络共享和附加防火墙配置,大幅简化配置和管理工作。