Google云計(jì)算更新其防火墻服務(wù),加入全球(Global)網(wǎng)絡(luò)防火墻政策、地區(qū)(Regional)網(wǎng)絡(luò)防火墻政策,以及IAM治理標(biāo)簽(IAM-governed Tag)新功能,官方提到,這些功能讓用戶可以借由全球分布式云計(jì)算原生防火墻服務(wù),達(dá)到零信任網(wǎng)絡(luò)狀態(tài)。
過去Google在組織以及文件夾層級(jí),提供階層防火墻政策,而現(xiàn)在Google要引入全新的網(wǎng)絡(luò)防火墻政策結(jié)構(gòu),其區(qū)分為全球以及地區(qū)兩種,官方提到,新結(jié)構(gòu)將改進(jìn)過去的VPC防火墻規(guī)則結(jié)構(gòu)。與階層網(wǎng)絡(luò)防火墻政策類似,新的政策結(jié)構(gòu)也是扮演防火墻的規(guī)則容器角色,一旦政策與VPC網(wǎng)絡(luò)相關(guān)聯(lián),網(wǎng)絡(luò)防火墻政策中定義的規(guī)則便會(huì)強(qiáng)制執(zhí)行。
同一個(gè)網(wǎng)絡(luò)防火墻政策可以關(guān)聯(lián)多的VPC網(wǎng)絡(luò),但每個(gè)VPC網(wǎng)絡(luò)只能有一個(gè)全球網(wǎng)絡(luò)防火墻政策,每一個(gè)地區(qū)關(guān)聯(lián)一個(gè)地區(qū)防火墻政策。全球網(wǎng)絡(luò)防火墻政策提供一個(gè)全球防火墻配置結(jié)構(gòu),來符合Google云計(jì)算VPC網(wǎng)絡(luò)分布全球的特性,適用于部署VPC網(wǎng)絡(luò)所有Google云計(jì)算地區(qū)的工作負(fù)載,而地區(qū)網(wǎng)絡(luò)防火墻政策就只針對單一目標(biāo)地區(qū),因此用戶在使用時(shí)要指定目標(biāo)區(qū)域,防火墻配置資料就只會(huì)應(yīng)用在特定地區(qū)的工作負(fù)載,不會(huì)傳播到其他Google云計(jì)算地區(qū)。
而添加的IAM治理標(biāo)簽又被稱為資源管理器標(biāo)簽,是一種新型的標(biāo)簽資源,具有經(jīng)強(qiáng)化的安全性,可用于像是虛擬機(jī)執(zhí)行實(shí)例等各種Google云計(jì)算資源。新的網(wǎng)絡(luò)防火墻政策能夠與IAM治理標(biāo)簽集成使用,全球與地區(qū)網(wǎng)絡(luò)防火墻政策都支持IAM治理標(biāo)簽,作為微切分(Micro-Segmentation)的手段。
與之前的網(wǎng)絡(luò)標(biāo)簽不同,IAM治理標(biāo)簽經(jīng)IAM權(quán)限嚴(yán)格控制,所以不會(huì)有未經(jīng)授權(quán)人員訪問的風(fēng)險(xiǎn),借由IAM權(quán)限,IAM治理標(biāo)簽允許用戶根據(jù)邏輯分組定義個(gè)別的網(wǎng)絡(luò)防火墻政策,并且通過精細(xì)的授權(quán)控制,在組織內(nèi)委派群組管理。
通過這些新功能,企業(yè)就可以將虛擬機(jī)分配給邏輯名稱,并委派給像是應(yīng)用程序開發(fā)人員、數(shù)據(jù)庫管理員或運(yùn)營團(tuán)隊(duì)等組織內(nèi)其他團(tuán)隊(duì)。
Google解釋,因?yàn)檫^去網(wǎng)絡(luò)安全和微切分的原因,建議使用VPC網(wǎng)絡(luò)規(guī)則、網(wǎng)絡(luò)標(biāo)簽和服務(wù)賬戶保護(hù)工作負(fù)載,但因?yàn)榫W(wǎng)絡(luò)標(biāo)簽不包含內(nèi)置的IAM治理,因此可能被添加到任何虛擬機(jī)執(zhí)行實(shí)例中,進(jìn)而存在內(nèi)部威脅參與者濫用標(biāo)簽的可能性。
即便服務(wù)賬戶有更好的IAM控制,但每個(gè)虛擬機(jī)只能關(guān)聯(lián)一個(gè)服務(wù)賬戶,這限制了多維度工作負(fù)載的靈活訪問要求,而且要更改服務(wù)賬戶,就要關(guān)閉并重新創(chuàng)建虛擬機(jī),對于生產(chǎn)工作負(fù)載并不理想。
因此Google網(wǎng)絡(luò)防火墻服務(wù)的更新,不只可以簡化規(guī)則管理,并且讓企業(yè)根據(jù)需求,實(shí)施更細(xì)致的IAM控制,并在同一個(gè)項(xiàng)目中跨VPC網(wǎng)絡(luò)共享和附加防火墻配置,大幅簡化配置和管理工作。