Il servizio di prevenzione delle intrusioni di Cloud Next Generation Firewall monitora costantemente il traffico del tuo carico di lavoro Google Cloud per rilevare eventuali attività dannose e intraprende azioni preventive per evitarle. L'attività dannosa può includere minacce come intrusioni, malware, spyware e attacchi command-and-control sulla tua rete.
Il servizio di prevenzione delle intrusioni Cloud NGFW funziona creando endpoint firewall zonali gestiti da Google che utilizzano la tecnologia di intercettazione dei pacchetti per ispezionare in modo trasparente i carichi di lavoro alla ricerca delle firme delle minacce configurate e proteggerli dalle minacce. Queste funzionalità di prevenzione delle minacce si basano sulle tecnologie di Palo Alto Networks.
Cloud NGFW supporta le seguenti categorie di firme di minacce:
- Antispyware
- Protezione dalle vulnerabilità
- Antivirus (solo avvisi)
Per ulteriori informazioni sulle categorie di minacce, consulta Firme di minacce predefinite.
Il servizio di prevenzione delle intrusioni è offerto nell'ambito delle funzionalità di Cloud Next Generation Firewall Enterprise. Per ulteriori informazioni, consulta Cloud NGFW Enterprise e Prezzi di Cloud NGFW.
Questo documento fornisce una panoramica generale dei vari componenti del servizio di prevenzione delle intrusioni Cloud NGFW e di come questi componenti forniscono funzionalità di protezione avanzate per i tuoi carichi di lavoro Google Cloud nelle reti virtual private cloud (VPC).
Come funziona il servizio di prevenzione delle intrusioni
Il servizio di prevenzione delle intrusioni elabora il traffico nella seguente sequenza:
Le regole dei criteri firewall vengono applicate al traffico da e verso le istanze di macchine virtuali (VM) o i cluster Google Kubernetes Engine (GKE) nella rete.
Il traffico corrispondente viene intercettato e i pacchetti vengono inviati all'endpoint firewall per l'ispezione di livello 7.
L'endpoint del firewall esegue la scansione dei pacchetti per rilevare le firme delle minacce configurate.
Se viene rilevata una minaccia, l'azione configurata nel profilo di sicurezza viene eseguita sul pacchetto.
La Figura 1 descrive un modello di deployment semplificato del servizio di prevenzione delle intrusioni.
Il resto della sezione illustra i componenti e le configurazioni necessari per configurare il servizio di prevenzione delle intrusioni.
Profili di sicurezza e gruppi di profili di sicurezza
Cloud NGFW fa riferimento a profili di sicurezza e gruppi di profili di sicurezza per implementare l'ispezione approfondita dei pacchetti per il servizio di prevenzione delle minacce.
I profili di sicurezza sono strutture di criteri generici che vengono utilizzate nel servizio di prevenzione delle intrusioni per eseguire l'override di scenari specifici di prevenzione delle minacce. Per configurare il servizio di prevenzione delle intrusioni, definisci un profilo di sicurezza di tipo
threat-prevention
. Per scoprire di più sui profili di sicurezza, consulta la Panoramica dei profili di sicurezza.I gruppi di profili di sicurezza contengono un profilo di sicurezza di tipo
threat prevention
. Per configurare il servizio di prevenzione delle intrusioni, le regole dei criteri firewall fanno riferimento a questi gruppi di profili di sicurezza per attivare il rilevamento e la prevenzione delle minacce per il traffico di rete. Per scoprire di più sui gruppi di profili di sicurezza, consulta la Panoramica dei gruppi di profili di sicurezza.
Endpoint firewall
Un endpoint firewall è una risorsa a livello di organizzazione creata in una zona specifica che può ispezionare il traffico nella stessa zona.
Per il servizio di prevenzione delle intrusioni, l'endpoint firewall esegue la scansione del traffico intercettato per rilevare eventuali minacce. Se viene rilevata una minaccia, su quel pacchetto viene eseguita un'azione associata alla minaccia. Questa azione può essere un'azione predefinita o un'azione (se configurata) nel profilo di sicurezza threat-prevention
.
Per scoprire di più sugli endpoint firewall e su come configurarli, consulta Panoramica degli endpoint firewall.
Criteri firewall
I criteri firewall si applicano direttamente a tutto il traffico in entrata e in uscita dalla VM. Puoi utilizzare criteri firewall gerarchici e criteri firewall di rete globali per configurare le regole delle policy del firewall con l'ispezione di livello 7.
Regole delle policy firewall
Le regole dei criteri firewall ti consentono di controllare il tipo di trafico da intercettare e ispezionare. Per configurare il servizio di prevenzione delle intrusioni, crea una regola del criterio firewall per eseguire le seguenti operazioni:
Identifica il tipo di traffico da ispezionare utilizzando più componenti delle regole delle policy del firewall di livello 3 e 4.
Per il traffico corrispondente, specifica il nome del gruppo di profili di sicurezza per l'azione
apply_security_profile_group
.
Per il flusso di lavoro completo del servizio di prevenzione delle intrusioni, consulta Configurare il servizio di prevenzione delle intrusioni.
Puoi anche utilizzare i tag sicuri nelle regole del firewall per configurare il servizio di prevenzione delle intrusioni. Puoi creare qualsiasi segmentazione che hai configurato utilizzando i tag nella tua rete e migliorare la logica di ispezione del traffico per includere il servizio di prevenzione delle minacce.
Ispezionare il traffico criptato
Cloud NGFW supporta l'intercettazione e la decriptazione Transport Layer Security (TLS) per ispezionare il traffico criptato selezionato alla ricerca di minacce. TLS ti consente di controllare le connessioni in entrata e in uscita, incluso il traffico da e verso internet e il traffico all'interno di Google Cloud.
Per saperne di più sull'ispezione TLS in Cloud NGFW, consulta la panoramica dell'ispezione TLS.
Per scoprire come attivare l'ispezione TLS in Cloud NGFW, consulta Configurare l'ispezione TLS.
Firme di minacce
Le funzionalità di rilevamento e prevenzione delle minacce di Cloud NGFW si basano sulle tecnologie di prevenzione delle minacce di Palo Alto Networks. Cloud NGFW supporta un insieme predefinito di firme di minacce con livelli di gravità predefiniti per contribuire a proteggere la tua rete. Puoi anche sostituire le azioni predefinite associate a queste firme di minacce utilizzando i profili di sicurezza.
Per scoprire di più sulle firme delle minacce, consulta la Panoramica delle firme delle minacce.
Per visualizzare le minacce rilevate nella tua rete, vedi Visualizzare le minacce.
Limitazioni
Cloud NGFW non supporta l'unità massima di trasmissione (MTU) dei frame jumbo.
Gli endpoint firewall ignorano le intestazioni X-Forwarded-For (XFF). Pertanto, queste intestazioni non sono incluse nel logging delle regole firewall.