Google云計算防火墻添加新政策結(jié)構(gòu)、IAM治理標簽

Google云計算更新其防火墻服務(wù)，加入全球（Global）網(wǎng)絡(luò)防火墻政策、地區(qū)（Regional）網(wǎng)絡(luò)防火墻政策，以及IAM治理標簽（IAM-governed Tag）新功能，官方提到，這些功能讓用戶可以借由全球分布式云計算原生防火墻服務(wù)，達到零信任網(wǎng)絡(luò)狀態(tài)。

過去Google在組織以及文件夾層級，提供階層防火墻政策，而現(xiàn)在Google要引入全新的網(wǎng)絡(luò)防火墻政策結(jié)構(gòu)，其區(qū)分為全球以及地區(qū)兩種，官方提到，新結(jié)構(gòu)將改進過去的VPC防火墻規(guī)則結(jié)構(gòu)。與階層網(wǎng)絡(luò)防火墻政策類似，新的政策結(jié)構(gòu)也是扮演防火墻的規(guī)則容器角色，一旦政策與VPC網(wǎng)絡(luò)相關(guān)聯(lián)，網(wǎng)絡(luò)防火墻政策中定義的規(guī)則便會強制執(zhí)行。

同一個網(wǎng)絡(luò)防火墻政策可以關(guān)聯(lián)多的VPC網(wǎng)絡(luò)，但每個VPC網(wǎng)絡(luò)只能有一個全球網(wǎng)絡(luò)防火墻政策，每一個地區(qū)關(guān)聯(lián)一個地區(qū)防火墻政策。全球網(wǎng)絡(luò)防火墻政策提供一個全球防火墻配置結(jié)構(gòu)，來符合Google云計算VPC網(wǎng)絡(luò)分布全球的特性，適用于部署VPC網(wǎng)絡(luò)所有Google云計算地區(qū)的工作負載，而地區(qū)網(wǎng)絡(luò)防火墻政策就只針對單一目標地區(qū)，因此用戶在使用時要指定目標區(qū)域，防火墻配置資料就只會應(yīng)用在特定地區(qū)的工作負載，不會傳播到其他Google云計算地區(qū)。

而添加的IAM治理標簽又被稱為資源管理器標簽，是一種新型的標簽資源，具有經(jīng)強化的安全性，可用于像是虛擬機執(zhí)行實例等各種Google云計算資源。新的網(wǎng)絡(luò)防火墻政策能夠與IAM治理標簽集成使用，全球與地區(qū)網(wǎng)絡(luò)防火墻政策都支持IAM治理標簽，作為微切分（Micro-Segmentation）的手段。

與之前的網(wǎng)絡(luò)標簽不同，IAM治理標簽經(jīng)IAM權(quán)限嚴格控制，所以不會有未經(jīng)授權(quán)人員訪問的風(fēng)險，借由IAM權(quán)限，IAM治理標簽允許用戶根據(jù)邏輯分組定義個別的網(wǎng)絡(luò)防火墻政策，并且通過精細的授權(quán)控制，在組織內(nèi)委派群組管理。

通過這些新功能，企業(yè)就可以將虛擬機分配給邏輯名稱，并委派給像是應(yīng)用程序開發(fā)人員、數(shù)據(jù)庫管理員或運營團隊等組織內(nèi)其他團隊。

Google解釋，因為過去網(wǎng)絡(luò)安全和微切分的原因，建議使用VPC網(wǎng)絡(luò)規(guī)則、網(wǎng)絡(luò)標簽和服務(wù)賬戶保護工作負載，但因為網(wǎng)絡(luò)標簽不包含內(nèi)置的IAM治理，因此可能被添加到任何虛擬機執(zhí)行實例中，進而存在內(nèi)部威脅參與者濫用標簽的可能性。

即便服務(wù)賬戶有更好的IAM控制，但每個虛擬機只能關(guān)聯(lián)一個服務(wù)賬戶，這限制了多維度工作負載的靈活訪問要求，而且要更改服務(wù)賬戶，就要關(guān)閉并重新創(chuàng)建虛擬機，對于生產(chǎn)工作負載并不理想。

因此Google網(wǎng)絡(luò)防火墻服務(wù)的更新，不只可以簡化規(guī)則管理，并且讓企業(yè)根據(jù)需求，實施更細致的IAM控制，并在同一個項目中跨VPC網(wǎng)絡(luò)共享和附加防火墻配置，大幅簡化配置和管理工作。