Esta página se ha traducido con Cloud Translation API.

Configurar el servicio de detección y prevención de intrusiones

Para habilitar el servicio de detección y prevención de intrusos en tu red, debes configurar varios componentes de Cloud Next Generation Firewall. En este documento se ofrece un flujo de trabajo de alto nivel que describe cómo configurar estos componentes y habilitar la detección y la prevención de amenazas.

Configurar el servicio de detección y prevención de intrusos sin inspección TLS

Para configurar el servicio de detección y prevención de intrusos en tu red, realiza las siguientes tareas.

necesarios.

Crea un perfil de seguridad de tipo Threat prevention. Configura las anulaciones de amenazas o gravedad según lo requiera tu red. Puedes crear uno o varios perfiles. Para saber cómo crear perfiles de seguridad, consulta el artículo Crear un perfil de seguridad.
Crea un grupo de perfiles de seguridad con el perfil de seguridad que has creado en el paso anterior. Para saber cómo crear un grupo de perfiles de seguridad, consulta Crear un grupo de perfiles de seguridad.
Crea un endpoint de firewall en la misma zona que las cargas de trabajo en las que quieras habilitar la prevención de amenazas. Para saber cómo crear un endpoint de cortafuegos, consulta Crear un endpoint de cortafuegos.
Asocia el endpoint del cortafuegos a una o varias redes de VPC en las que quieras habilitar la detección y la prevención de amenazas. Asegúrate de que ejecutas tus cargas de trabajo en la misma zona que el endpoint del cortafuegos. Para saber cómo asociar un endpoint de cortafuegos a una red de VPC, consulta Crear asociaciones de endpoints de cortafuegos.
Puedes usar políticas de cortafuegos de red globales o políticas de cortafuegos jerárquicas para configurar el servicio de detección y prevención de intrusiones.
- En una política de cortafuegos global nueva o ya creada, añada una regla de política de cortafuegos con la inspección de capa 7 habilitada (acción apply_security_profile_group) y especifique el nombre del grupo de perfiles de seguridad que ha creado en el paso anterior. Asegúrate de que la política de firewall esté asociada a la misma red de VPC que las cargas de trabajo que requieran inspección. Para obtener más información sobre la política de cortafuegos de red global y los parámetros necesarios para crear una regla de política de cortafuegos con la prevención de amenazas habilitada, consulta Crear una política de cortafuegos de red global y Crear reglas de política de cortafuegos de red global.
- También puedes usar una política de cortafuegos jerárquica para añadir una regla de política de cortafuegos con un grupo de perfiles de seguridad configurado. Para obtener más información sobre los parámetros necesarios para crear reglas de políticas de cortafuegos jerárquicas con la prevención de amenazas habilitada, consulta Crear reglas de cortafuegos.

Configurar el servicio de detección y prevención de intrusos con inspección TLS

Para configurar el servicio de detección y prevención de intrusiones con la inspección de Seguridad en la capa de transporte (TLS) en tu red, realiza las siguientes tareas.

Crea un perfil de seguridad de tipo Threat prevention. Configura las anulaciones de amenazas o gravedad según lo requiera tu red. Puedes crear uno o varios perfiles. Para saber cómo crear perfiles de seguridad, consulta el artículo Crear un perfil de seguridad.
Crea un grupo de perfiles de seguridad con el perfil de seguridad que has creado en el paso anterior. Para saber cómo crear un grupo de perfiles de seguridad, consulta Crear un grupo de perfiles de seguridad.
Crea un grupo de ACs y una configuración de confianza, y añádelos a tu política de inspección TLS. Para saber cómo habilitar la inspección TLS en Cloud NGFW, consulta Configurar la inspección TLS.
Crea un endpoint de firewall en la misma zona que las cargas de trabajo en las que quieras habilitar la prevención de amenazas. Para saber cómo crear un endpoint de cortafuegos, consulta Crear un endpoint de cortafuegos.
Asocia el endpoint del cortafuegos a una o varias redes de VPC en las que quieras habilitar la detección y la prevención de amenazas. Añade la política de inspección de TLS que has creado en el paso anterior a la asociación de endpoint de cortafuegos. Asegúrate de que tus cargas de trabajo se ejecuten en la misma zona que el endpoint del cortafuegos.

Para saber cómo asociar un endpoint de cortafuegos a una red de VPC y habilitar la inspección de TLS, consulta Crear asociaciones de endpoints de cortafuegos.
Puedes usar políticas de cortafuegos de red globales o políticas de cortafuegos jerárquicas para configurar el servicio de detección y prevención de intrusiones.
- En una política de cortafuegos global nueva o ya creada, añada una regla de política de cortafuegos con la inspección de capa 7 habilitada (acción apply_security_profile_group) y especifique el nombre del grupo de perfiles de seguridad que ha creado en el paso anterior. Para habilitar la inspección TLS, especifica la marca --tls-inspect. Asegúrate de que la política de firewall esté asociada a la misma red de VPC que las cargas de trabajo que requieran inspección. Para obtener más información sobre la política de cortafuegos de red global y los parámetros necesarios para crear una regla de política de cortafuegos con la prevención de amenazas habilitada, consulta Crear una política de cortafuegos de red global y Crear reglas de política de cortafuegos de red global.
- También puedes usar una política de cortafuegos jerárquica para añadir una regla de política de cortafuegos con un grupo de perfiles de seguridad configurado. Para obtener más información sobre los parámetros necesarios para crear reglas de políticas de cortafuegos jerárquicas con la prevención de amenazas habilitada, consulta Crear reglas de cortafuegos.

Modelo de implementación de ejemplo

En la figura 1 se muestra un ejemplo de implementación con el servicio de detección y prevención de intrusiones configurado para dos redes de VPC de la misma región, pero de dos zonas diferentes.

Despliega un servicio de detección y prevención de intrusiones en una región. — **Figura 1.** Implementa un servicio de detección y prevención de intrusos en una región (haz clic para ampliar la imagen).

La implementación de ejemplo tiene la siguiente configuración de prevención de amenazas:

Dos grupos de perfiles de seguridad:
1. Security profile group 1 con el perfil de seguridad Security profile 1.
2. Security profile group 2 con el perfil de seguridad Security profile 2.
La VPC 1 del cliente (VPC 1) tiene una política de cortafuegos con un grupo de perfiles de seguridad definido como Security profile group 1.
La VPC del cliente 2 (VPC 2) tiene una política de cortafuegos con un grupo de perfiles de seguridad definido como Security profile group 2.
El endpoint de cortafuegos Firewall endpoint 1 realiza la detección y la prevención de amenazas para las cargas de trabajo que se ejecutan en VPC 1 y VPC 2 en la zona us-west1-a.
El endpoint de cortafuegos Firewall endpoint 2 realiza la detección y la prevención de amenazas con la inspección TLS habilitada para las cargas de trabajo que se ejecutan en VPC 1 y VPC 2 en la zona us-west1-b.