Esta página se ha traducido con Cloud Translation API.

Información general sobre el servicio de detección y prevención de intrusos

El servicio de detección y prevención de intrusiones de Cloud Next Generation Firewall monitoriza continuamente el tráfico de tu carga de trabajo para detectar cualquier actividad maliciosa y toma medidas preventivas para evitarla. Google Cloud La actividad maliciosa puede incluir amenazas, como intrusiones, malware, software espía y ataques de control y comandos en tu red.

El servicio de detección y prevención de intrusiones de Cloud NGFW funciona creando endpoints de firewall zonales gestionados por Google que usan la tecnología de interceptación de paquetes para inspeccionar de forma transparente las cargas de trabajo en busca de las firmas de amenazas configuradas y protegerlas frente a las amenazas. Estas funciones de prevención de amenazas se basan en las tecnologías de prevención de amenazas de Palo Alto Networks.

Cloud NGFW admite las siguientes categorías de firmas de amenazas:

Antiespías
Protección frente a vulnerabilidades
Antivirus

Para obtener más información sobre las categorías de amenazas, consulta Firmas de amenazas predeterminadas.

El servicio de detección y prevención de intrusos se ofrece como parte de las funciones de Cloud Next Generation Firewall Enterprise. Para obtener más información, consulta Cloud NGFW Enterprise y Precios de Cloud NGFW.

En este documento se ofrece una descripción general de alto nivel de los distintos componentes del servicio de detección y prevención de intrusiones de Cloud NGFW y de cómo estos componentes proporcionan funciones de protección avanzadas para tus Google Cloud cargas de trabajo en redes de nube privada virtual (VPC).

Cómo funciona el servicio de detección y prevención de intrusos

El servicio de detección y prevención de intrusos procesa el tráfico en la siguiente secuencia:

Las reglas de las políticas de cortafuegos se aplican al tráfico hacia y desde las instancias de máquinas virtuales (VMs) o los clústeres de Google Kubernetes Engine (GKE) de la red.
El tráfico coincidente se intercepta y los paquetes se envían al endpoint del cortafuegos para que se inspeccionen en la capa 7.
El endpoint del cortafuegos analiza los paquetes en busca de firmas de amenazas configuradas.
Si se detecta una amenaza, se lleva a cabo la acción configurada en el perfil de seguridad en ese paquete.

En la figura 1 se describe un modelo de implementación simplificado del servicio de detección y prevención de intrusos.

Modelo de implementación de ejemplo de un servicio de detección y prevención de intrusos. — **Imagen 1.** Modelo de implementación de ejemplo del servicio de detección y prevención de intrusiones (haz clic para ampliar).

En el resto de la sección se explican los componentes y las configuraciones necesarios para configurar el servicio de detección y prevención de intrusos.

Perfiles y grupos de perfiles de seguridad

Cloud NGFW hace referencia a perfiles y grupos de perfiles de seguridad para implementar la inspección profunda de paquetes en el servicio de detección y prevención de intrusos.

Los perfiles de seguridad son estructuras de políticas genéricas que se usan en el servicio de detección y prevención de intrusos para anular escenarios específicos de prevención de amenazas. Para configurar el servicio de detección y prevención de intrusos, debes definir un perfil de seguridad de tipo threat-prevention. Para obtener más información sobre los perfiles de seguridad, consulta el artículo Descripción general de los perfiles de seguridad.
Los grupos de perfiles de seguridad contienen un perfil de seguridad de tipo threat prevention. Para configurar el servicio de detección y prevención de intrusiones, las reglas de la política de cortafuegos hacen referencia a estos grupos de perfiles de seguridad para habilitar la detección y la prevención de amenazas en el tráfico de red. Para obtener más información sobre los grupos de perfiles de seguridad, consulta el artículo Descripción general de los grupos de perfiles de seguridad.

Endpoint de cortafuegos

Un endpoint de firewall es un recurso a nivel de organización que se crea en una zona específica y que puede inspeccionar el tráfico de esa zona.

En el caso del servicio de detección y prevención de intrusiones, el endpoint del cortafuegos analiza el tráfico interceptado para detectar amenazas. Si se detecta una amenaza, se lleva a cabo una acción asociada a la amenaza en ese paquete. Esta acción puede ser una acción predeterminada o una acción (si se ha configurado) en el perfil de seguridad threat-prevention.

Para obtener más información sobre los endpoints de cortafuegos y cómo configurarlos, consulta el artículo Descripción general de los endpoints de cortafuegos.

Políticas de cortafuegos

Las políticas de cortafuegos se aplican directamente a todo el tráfico que entra y sale de la VM. Puede usar políticas de cortafuegos jerárquicas y políticas de cortafuegos de red globales para configurar reglas de políticas de cortafuegos con inspección de capa 7.

Reglas de políticas de cortafuegos

Las reglas de la política de cortafuegos te permiten controlar el tipo de tráfico que se va a interceptar e inspeccionar. Para configurar el servicio de detección y prevención de intrusiones, crea una regla de política de cortafuegos que haga lo siguiente:

Identifica el tipo de tráfico que se va a inspeccionar mediante varios componentes de reglas de políticas de cortafuegos de capa 3 y capa 4.
En el tráfico coincidente, especifique el nombre del grupo de perfiles de seguridad de la acción apply_security_profile_group.

Para ver el flujo de trabajo completo del servicio de detección y prevención de intrusiones, consulta Configurar el servicio de detección y prevención de intrusiones.

También puedes usar etiquetas seguras en las reglas de cortafuegos para configurar el servicio de detección y prevención de intrusiones. Puedes aprovechar cualquier segmentación que hayas configurado usando etiquetas en tu red y mejorar la lógica de inspección del tráfico para incluir un servicio de detección y prevención de intrusiones.

Inspeccionar el tráfico cifrado

Cloud NGFW admite la intercepción y el descifrado de Seguridad en la capa de transporte (TLS) para inspeccionar el tráfico cifrado seleccionado en busca de amenazas. TLS te permite inspeccionar las conexiones entrantes y salientes, incluido el tráfico hacia y desde Internet, así como el tráfico dentro de Google Cloud.

Para obtener más información sobre la inspección TLS en Cloud NGFW, consulta el artículo Información general sobre la inspección TLS.

Para saber cómo habilitar la inspección TLS en Cloud NGFW, consulta Configurar la inspección TLS.

Firmas de amenazas

Las funciones de detección y prevención de amenazas de Cloud NGFW se basan en las tecnologías de prevención de amenazas de Palo Alto Networks. Cloud NGFW admite un conjunto predeterminado de firmas de amenazas con niveles de gravedad predefinidos para proteger tu red. También puede anular las acciones predeterminadas asociadas a estas firmas de amenazas mediante perfiles de seguridad.

Para obtener más información sobre las firmas de amenazas, consulta el artículo Descripción general de las firmas de amenazas.

Para ver las amenazas detectadas en tu red, consulta Ver amenazas.

Limitaciones

Cloud NGFW no admite la unidad máxima de transmisión (MTU) de tramas gigantes.
Los endpoints de firewall ignoran las cabeceras X-Forwarded-For (XFF). Por lo tanto, estos encabezados no se incluyen en el almacenamiento de registros de reglas de cortafuegos.

Siguientes pasos

Configurar el servicio de detección y prevención de intrusos