Questa pagina è stata tradotta dall'API Cloud Translation.

Panoramica del servizio di rilevamento e prevenzione delle intrusioni

Il servizio di rilevamento e prevenzione delle intrusioni di Cloud Next Generation Firewall monitora continuamente il traffico dei tuoi workload per rilevare eventuali attività dannose e intraprende azioni preventive per evitarle. Google Cloud L'attività dannosa può includere minacce come intrusioni, malware, spyware e attacchi command-and-control sulla tua rete.

Il servizio di rilevamento e prevenzione delle intrusioni di Cloud NGFW funziona creando endpoint firewall di zona gestiti da Google che utilizzano la tecnologia di intercettazione dei pacchetti per ispezionare in modo trasparente i workload per le firme delle minacce configurate e proteggerli dalle minacce. Queste funzionalità di prevenzione delle minacce si basano sulle tecnologie di prevenzione delle minacce di Palo Alto Networks.

Cloud NGFW supporta le seguenti categorie di firme delle minacce:

Anti-spyware
Protezione dalle vulnerabilità
Antivirus

Per ulteriori informazioni sulle categorie di minacce, consulta Firme di minacce predefinite.

Il servizio di rilevamento e prevenzione delle intrusioni è offerto nell'ambito delle funzionalità di Cloud Next Generation Firewall Enterprise. Per ulteriori informazioni, consulta Cloud NGFW Enterprise e Prezzi di Cloud NGFW.

Questo documento fornisce una panoramica generale dei vari componenti del servizio di rilevamento e prevenzione delle intrusioni di Cloud NGFW e di come questi componenti forniscono funzionalità di protezione avanzate per i tuoi workload nelle reti virtual private cloud (VPC). Google Cloud

Come funziona il servizio di rilevamento e prevenzione delle intrusioni

Il servizio di rilevamento e prevenzione delle intrusioni elabora il traffico nella seguente sequenza:

Le regole dei criteri firewall vengono applicate al traffico da e verso le istanze di macchine virtuali (VM) o i cluster Google Kubernetes Engine (GKE) nella rete.
Il traffico corrispondente viene intercettato e i pacchetti vengono inviati all'endpoint firewall per l'ispezione di livello 7.
L'endpoint firewall analizza i pacchetti alla ricerca di firme di minacce configurate.
Se viene rilevata una minaccia, sul pacchetto viene eseguita l'azione configurata nel profilo di sicurezza.

La Figura 1 descrive un modello di deployment semplificato del servizio di rilevamento e prevenzione delle intrusioni.

Modello di deployment di esempio del servizio di rilevamento e prevenzione delle intrusioni. — **Figura 1.** Modello di deployment di esempio del servizio di rilevamento e prevenzione delle intrusioni (fai clic per ingrandire).

Il resto della sezione spiega i componenti e le configurazioni necessari per configurare il servizio di rilevamento e prevenzione delle intrusioni.

Profili di sicurezza e gruppi di profili di sicurezza

Cloud NGFW fa riferimento ai profili di sicurezza e ai gruppi di profili di sicurezza per implementare l'ispezione approfondita dei pacchetti per il servizio di rilevamento e prevenzione delle intrusioni.

I profili di sicurezza sono strutture di policy generiche utilizzate nel servizio di rilevamento e prevenzione delle intrusioni per ignorare scenari specifici di prevenzione delle minacce. Per configurare il servizio di rilevamento e prevenzione delle intrusioni, definisci un profilo di sicurezza di tipo threat-prevention. Per scoprire di più sui profili di sicurezza, consulta la Panoramica dei profili di sicurezza.
I gruppi di profili di sicurezza contengono un profilo di sicurezza di tipo threat prevention. Per configurare il servizio di rilevamento e prevenzione delle intrusioni, le regole dei criteri firewall fanno riferimento a questi gruppi di profili di sicurezza per attivare il rilevamento e la prevenzione delle minacce per il traffico di rete. Per scoprire di più sui gruppi di profili di sicurezza, consulta la Panoramica dei gruppi di profili di sicurezza.

Endpoint firewall

Un endpoint firewall è una risorsa a livello di organizzazione creata in una zona specifica che può ispezionare il traffico nella stessa zona.

Per il servizio di rilevamento e prevenzione delle intrusioni, l'endpoint firewall esegue la scansione del traffico intercettato alla ricerca di eventuali minacce. Se viene rilevata una minaccia, viene eseguita un'azione associata alla minaccia sul pacchetto. Questa azione può essere un'azione predefinita o un'azione (se configurata) nel profilo di sicurezza threat-prevention.

Per scoprire di più sugli endpoint firewall e su come configurarli, consulta Panoramica degli endpoint firewall.

Policy firewall

Le policy firewall si applicano direttamente a tutto il traffico in entrata e in uscita dalla VM. Puoi utilizzare i criteri firewall gerarchici e i criteri firewall di rete globali per configurare le regole dei criteri firewall con l'ispezione di livello 7.

Regole delle policy firewall

Le regole dei criteri firewall ti consentono di controllare il tipo di traffico da intercettare e ispezionare. Per configurare il servizio di rilevamento e prevenzione delle intrusioni, crea una regola del criterio firewall per eseguire le seguenti operazioni:

Identifica il tipo di traffico da ispezionare utilizzando più componenti delle regole delle policy firewall di livello 3 e livello 4.
Per il traffico corrispondente, specifica il nome del gruppo di profili di sicurezza per l'azione apply_security_profile_group.

Per il flusso di lavoro completo del servizio di rilevamento e prevenzione delle intrusioni, vedi Configurare il servizio di rilevamento e prevenzione delle intrusioni.

Puoi anche utilizzare i tag sicuri nelle regole firewall per configurare il servizio di rilevamento e prevenzione delle intrusioni. Puoi basarti su qualsiasi segmentazione che hai configurato utilizzando i tag nella tua rete e migliorare la logica di ispezione del traffico per includere il servizio di rilevamento e prevenzione delle intrusioni.

Ispezionare il traffico crittografato

Cloud NGFW supporta l'intercettazione e la decriptazione TLS (Transport Layer Security) per ispezionare il traffico criptato selezionato alla ricerca di minacce. TLS ti consente di ispezionare le connessioni in entrata e in uscita, incluso il traffico da e verso internet e il traffico all'interno di Google Cloud.

Per saperne di più sull'ispezione TLS in Cloud NGFW, consulta la panoramica dell'ispezione TLS.

Per scoprire come abilitare l'ispezione TLS in Cloud NGFW, consulta Configura l'ispezione TLS.

Firme delle minacce

Le funzionalità di rilevamento e prevenzione delle minacce di Cloud NGFW si basano sulle tecnologie di prevenzione delle minacce di Palo Alto Networks. Cloud NGFW supporta un insieme predefinito di firme di minacce con livelli di gravità predefiniti per contribuire a proteggere la tua rete. Puoi anche ignorare le azioni predefinite associate a queste firme delle minacce utilizzando i profili di sicurezza.

Per scoprire di più sulle firme delle minacce, consulta la Panoramica delle firme delle minacce.

Per visualizzare le minacce rilevate nella tua rete, vedi Visualizzare le minacce.

Limitazioni

Cloud NGFW non supporta l'unità massima di trasmissione (MTU) dei frame jumbo.
Gli endpoint firewall ignorano le intestazioni X-Forwarded-For (XFF). Pertanto, queste intestazioni non sono incluse nel logging delle regole firewall.

Passaggi successivi

Configurare il servizio di rilevamento e prevenzione delle intrusioni