Google云計算防火墻添加新政策結構、IAM治理標簽

Google云計算更新其防火墻服務，加入全球（Global）網絡防火墻政策、地區(qū)（Regional）網絡防火墻政策，以及IAM治理標簽（IAM-governed Tag）新功能，官方提到，這些功能讓用戶可以借由全球分布式云計算原生防火墻服務，達到零信任網絡狀態(tài)。

過去Google在組織以及文件夾層級，提供階層防火墻政策，而現在Google要引入全新的網絡防火墻政策結構，其區(qū)分為全球以及地區(qū)兩種，官方提到，新結構將改進過去的VPC防火墻規(guī)則結構。與階層網絡防火墻政策類似，新的政策結構也是扮演防火墻的規(guī)則容器角色，一旦政策與VPC網絡相關聯，網絡防火墻政策中定義的規(guī)則便會強制執(zhí)行。

同一個網絡防火墻政策可以關聯多的VPC網絡，但每個VPC網絡只能有一個全球網絡防火墻政策，每一個地區(qū)關聯一個地區(qū)防火墻政策。全球網絡防火墻政策提供一個全球防火墻配置結構，來符合Google云計算VPC網絡分布全球的特性，適用于部署VPC網絡所有Google云計算地區(qū)的工作負載，而地區(qū)網絡防火墻政策就只針對單一目標地區(qū)，因此用戶在使用時要指定目標區(qū)域，防火墻配置資料就只會應用在特定地區(qū)的工作負載，不會傳播到其他Google云計算地區(qū)。

而添加的IAM治理標簽又被稱為資源管理器標簽，是一種新型的標簽資源，具有經強化的安全性，可用于像是虛擬機執(zhí)行實例等各種Google云計算資源。新的網絡防火墻政策能夠與IAM治理標簽集成使用，全球與地區(qū)網絡防火墻政策都支持IAM治理標簽，作為微切分（Micro-Segmentation）的手段。

與之前的網絡標簽不同，IAM治理標簽經IAM權限嚴格控制，所以不會有未經授權人員訪問的風險，借由IAM權限，IAM治理標簽允許用戶根據邏輯分組定義個別的網絡防火墻政策，并且通過精細的授權控制，在組織內委派群組管理。

通過這些新功能，企業(yè)就可以將虛擬機分配給邏輯名稱，并委派給像是應用程序開發(fā)人員、數據庫管理員或運營團隊等組織內其他團隊。

Google解釋，因為過去網絡安全和微切分的原因，建議使用VPC網絡規(guī)則、網絡標簽和服務賬戶保護工作負載，但因為網絡標簽不包含內置的IAM治理，因此可能被添加到任何虛擬機執(zhí)行實例中，進而存在內部威脅參與者濫用標簽的可能性。

即便服務賬戶有更好的IAM控制，但每個虛擬機只能關聯一個服務賬戶，這限制了多維度工作負載的靈活訪問要求，而且要更改服務賬戶，就要關閉并重新創(chuàng)建虛擬機，對于生產工作負載并不理想。

因此Google網絡防火墻服務的更新，不只可以簡化規(guī)則管理，并且讓企業(yè)根據需求，實施更細致的IAM控制，并在同一個項目中跨VPC網絡共享和附加防火墻配置，大幅簡化配置和管理工作。