Diese Seite wurde von der Cloud Translation API übersetzt.

Übersicht über den Dienst zur Erkennung und Abwehr von Angriffen

Der Cloud Next Generation Firewall-Dienst zur Einbruchserkennung und ‑prävention sorgt dafür, dass Ihr Google Cloud Arbeitslast-Traffic kontinuierlich auf schädliche Aktivitäten überwacht wird, und ergreift präventive Maßnahmen zu deren Vermeidung. Zu den schädlichen Aktivitäten gehören Bedrohungen wie Einbrüche, Malware, Spyware und Command-and-Control-Angriffe in Ihrem Netzwerk.

Der Cloud NGFW-Dienst zur Einbruchserkennung und -prävention erstellt von Google verwaltete zonale Firewall-Endpunkte, die Technologie zum Abfangen von Paketen verwenden, um die Arbeitslasten transparent auf die konfigurierten Bedrohungssignaturen zu prüfen und sie vor Bedrohungen zu schützen. Diese Funktionen zur Vermeidung von Bedrohungen basieren auf den Palo Alto Networks-Technologien für den Bedrohungsschutz.

Cloud NGFW unterstützt die folgenden Kategorien von Bedrohungssignaturen:

Anti-Spyware
Schutz vor Sicherheitslücken
Antivirus

Weitere Informationen zu den Bedrohungskategorien finden Sie unter Standardsignaturen für Bedrohungen.

Der Einbruchserkennungs- und ‑präventionsdienst wird als Teil der Cloud Next Generation Firewall Enterprise-Funktionen angeboten. Weitere Informationen finden Sie unter Cloud NGFW Enterprise und Cloud NGFW-Preise.

Dieses Dokument bietet eine allgemeine Übersicht über die verschiedenen Komponenten des Cloud NGFW-Einbruchserkennungs- und ‑präventionsdienstes sowie dazu, wie diese Komponenten erweiterte Sicherheitsfunktionen für Ihre Google Cloud Arbeitslasten in VPC-Netzwerken (Virtual Private Cloud) bieten.

Funktionsweise des Einbruchserkennungs- und ‑präventionsdienstes

Der Dienst zur Erkennung und Prävention von Eindringversuchen verarbeitet den Traffic in der folgenden Reihenfolge:

Firewallrichtlinienregeln werden auf den Traffic zu und von den VM-Instanzen oder Google Kubernetes Engine-Clustern im Netzwerk angewendet.
Der übereinstimmende Traffic wird abgefangen und die Pakete werden zur Layer-7-Prüfung an den Firewall-Endpunkt gesendet.
Der Firewall-Endpunkt scannt die Pakete auf konfigurierte Bedrohungssignaturen.
Wenn eine Bedrohung erkannt wird, wird die im Sicherheitsprofil konfigurierte Aktion für dieses Paket ausgeführt.

Abbildung 1 zeigt ein vereinfachtes Bereitstellungsmodell des Dienstes zur Erkennung und Abwehr von Angriffen.

Beispiel für ein Bereitstellungsmodell des Dienstes zur Erkennung und Abwehr von Eindringlingen. — **Abbildung 1.** Beispiel für ein Bereitstellungsmodell des Dienstes zur Erkennung und Abwehr von Angriffen (zum Vergrößern klicken)

Im Rest des Abschnitts werden die Komponenten und Konfigurationen erläutert, die zum Einrichten des Einbruchserkennungs- und ‑präventionsdienstes erforderlich sind.

Sicherheitsprofile und Sicherheitsprofilgruppen

Cloud NGFW verweist auf Sicherheitsprofile und Sicherheitsprofilgruppen, um eine gründliche Paketprüfung für den Dienst zur Einbruchserkennung und ‑prävention zu implementieren.

Sicherheitsprofile sind allgemeine Richtlinienstrukturen, die im Dienst zur Einbruchserkennung und ‑prävention verwendet werden, um bestimmte Bedrohungsvermeidungsszenarien zu überschreiben. Zum Konfigurieren des Dienstes zur Einbruchserkennung und ‑prävention definieren Sie ein Sicherheitsprofil vom Typ threat-prevention. Weitere Informationen zu Sicherheitsprofilen finden Sie unter Sicherheitsprofile.
Sicherheitsprofilgruppen enthalten ein Sicherheitsprofil vom Typ threat prevention. Zur Konfiguration des Einbruchserkennungs- und ‑präventionsdienstes verweisen Firewallrichtlinienregeln auf diese Sicherheitsprofilgruppen, um die Erkennung und Vermeidung von Bedrohungen für Netzwerk-Traffic zu ermöglichen. Weitere Informationen zu Sicherheitsprofilgruppen finden Sie unter Sicherheitsprofilgruppen.

Firewall-Endpunkt

Ein Firewall-Endpunkt ist eine Ressource auf Organisationsebene, die in einer bestimmten Zone erstellt wird und Traffic in derselben Zone prüfen kann.

Beim Dienst zur Einbruchserkennung und -prävention scannt der Firewall-Endpunkt den abgefangenen Traffic auf Bedrohungen. Wenn eine Bedrohung erkannt wird, wird für dieses Paket eine mit der Bedrohung verknüpfte Aktion ausgeführt. Diese Aktion kann eine Standardaktion oder (falls konfiguriert) eine Aktion im Sicherheitsprofil threat-prevention sein.

Weitere Informationen zu Firewall-Endpunkten und zu ihrer Konfiguration finden Sie unter Firewall-Endpunkte.

Firewallrichtlinien

Firewallrichtlinien gelten direkt für den gesamten ein- und ausgehenden Traffic der VM. Sie können hierarchische Firewallrichtlinien und globale Netzwerk-Firewallrichtlinien verwenden, um Firewallrichtlinienregeln mit Layer-7-Prüfung zu konfigurieren.

Firewallrichtlinien-Regeln

Mit Firewallrichtlinienregeln können Sie den Typ des Traffics steuern, der abgefangen und geprüft werden soll. Erstellen Sie eine Firewallrichtlinienregel, um den Dienst zur Erkennung und Abwehr von Angriffen zu konfigurieren:

Bestimmen Sie den zu prüfenden Traffic-Typ mithilfe mehrerer Layer-3- und Layer-4-Firewallrichtlinienregel-Komponenten.
Geben Sie für den übereinstimmenden Traffic den Namen der Sicherheitsprofilgruppe für die Aktion apply_security_profile_group an.

Den vollständigen Workflow des Dienstes zur Einbruchserkennung und ‑prävention finden Sie unter Dienst zur Einbruchserkennung und ‑prävention konfigurieren.

Sie können auch sichere Tags in Firewallregeln verwenden, um den Dienst zur Erkennung und Vermeidung von Einbrüchen zu konfigurieren. Sie können auf einer beliebigen Segmentierung aufbauen, die Sie mithilfe von Tags in Ihrem Netzwerk eingerichtet haben, und die Traffic-Prüfungslogik um den Dienst zur Erkennung und Vermeidung von Einbrüchen erweitern.

Verschlüsselten Traffic überprüfen

Cloud NGFW unterstützt das Abfangen und Entschlüsseln von Transport Layer Security (TLS), um ausgewählten verschlüsselten Traffic auf Bedrohungen zu prüfen. Mit TLS können Sie sowohl eingehende als auch ausgehende Verbindungen prüfen, einschließlich Traffic zum und vom Internet und Traffic innerhalb von Google Cloud.

Weitere Informationen zur TLS-Prüfung in Cloud NGFW finden Sie unter TLS-Prüfung.

Informationen zum Aktivieren der TLS-Prüfung in Cloud NGFW finden Sie unter TLS-Prüfung einrichten.

Bedrohungssignaturen

Die Cloud NGFW-Funktionen zur Bedrohungserkennung und -vermeidung basieren auf den Palo Alto Networks-Technologien für den Bedrohungsschutz. Cloud NGFW unterstützt einen Standardsatz von Bedrohungssignaturen mit vordefinierten Schweregraden, um Ihr Netzwerk zu schützen. Sie können die mit diesen Bedrohungssignaturen verknüpften Standardaktionen auch mithilfe von Sicherheitsprofilen überschreiben.

Weitere Informationen zu Bedrohungssignaturen finden Sie unter Bedrohungssignaturen.

Informationen zu den in Ihrem Netzwerk erkannten Bedrohungen finden Sie unter Bedrohungen ansehen.

Beschränkungen

Cloud NGFW unterstützt keine maximale Jumbo-Frame-Übertragungseinheit (MTU).
Firewall-Endpunkte ignorieren X-Forwarded-For-Header (XFF). Daher sind diese Header nicht im Logging von Firewallregeln enthalten.

Nächste Schritte

Dienst zur Einbruchserkennung und ‑prävention konfigurieren