Términos clave

En esta página se proporciona la terminología clave que se aplica a Cloud Next Generation Firewall. Consulta estos términos para entender mejor cómo funciona Cloud NGFW y los conceptos en los que se basa.

Grupos de direcciones

Los grupos de direcciones son una colección lógica de intervalos de direcciones IPv4 o IPv6 en formato CIDR. Puedes usar grupos de direcciones para definir fuentes o destinos coherentes a los que hagan referencia muchas reglas de firewall. Para obtener más información sobre los grupos de direcciones, consulta Grupos de direcciones para políticas de firewall.

Formato CIDR

El formato o la notación de enrutamiento de interdominios sin clases (CIDR) es un método para representar una dirección IP y su subred. Es una alternativa a escribir una máscara de subred completa. Consta de una dirección IP, seguida de una barra inclinada (/) y un número. El número indica el número de bits de la dirección IP que definen la parte de la red.

Cloud NGFW

Cloud Next Generation Firewall es un servicio de cortafuegos totalmente distribuido con funciones de protección avanzadas, microsegmentación y cobertura generalizada para proteger tus cargas de trabajo frente a ataques internos y externos. Google Cloud Cloud NGFW está disponible en tres niveles: Cloud Next Generation Firewall Essentials, Cloud Next Generation Firewall Standard y Cloud Next Generation Firewall Enterprise. Para obtener más información, consulta la descripción general de Cloud NGFW.

Pasos esenciales de Cloud NGFW

Cloud Next Generation Firewall Essentials es el servicio de cortafuegos básico que ofrece Google Cloud. Incluye funciones y prestaciones como políticas de cortafuegos de red globales y regionales, etiquetas gobernadas por la gestión de identidades y accesos (IAM), grupos de direcciones y reglas de cortafuegos de nube privada virtual (VPC). Para obtener más información, consulta la descripción general de Cloud NGFW Essentials.

Cloud NGFW Enterprise

Cloud Next Generation Firewall Enterprise ofrece funciones de seguridad avanzadas de la capa 7 que protegen tus Google Cloud cargas de trabajo frente a amenazas y ataques maliciosos. Incluye un servicio de detección y prevención de intrusos con intercepción y descifrado de Seguridad en la capa de transporte (TLS), que ofrece detección y prevención de amenazas de malware, software espía y ataques de comando y control en tu red.

Cloud NGFW Standard

Cloud NGFW Standard amplía las funciones de Cloud NGFW Essentials para ofrecer funciones mejoradas que te ayuden a proteger tu infraestructura de nube frente a ataques maliciosos. Incluye funciones y características como la información sobre amenazas para las reglas de políticas de cortafuegos, los objetos de nombre de dominio completo (FQDN) y los objetos de geolocalización en las reglas de políticas de cortafuegos.

Endpoint de cortafuegos

Un endpoint de cortafuegos es un recurso de Cloud NGFW que habilita funciones de protección avanzada de la capa 7, como el servicio de detección y prevención de intrusos, en tu red. Para obtener más información, consulta el resumen de los endpoints de firewall.

Reglas de cortafuegos

Las reglas de cortafuegos son los elementos básicos de la seguridad de red. Una regla de cortafuegos controla el tráfico entrante o saliente de una instancia de máquina virtual (VM). De forma predeterminada, el tráfico entrante está bloqueado. Para obtener más información, consulta Políticas de cortafuegos.

Almacenamiento de registros de reglas de cortafuegos

El almacenamiento de registros de reglas de cortafuegos te permite auditar, verificar y analizar los efectos de estas. Por ejemplo, puedes determinar si una regla de cortafuegos diseñada para denegar el tráfico funciona correctamente. El almacenamiento de registros de reglas de cortafuegos también es útil si necesitas determinar cuántas conexiones se ven afectadas por una regla de cortafuegos concreta. Para obtener más información, consulta Almacenamiento de registros de reglas de cortafuegos.

Políticas de cortafuegos

Las políticas de cortafuegos te permiten agrupar varias reglas de cortafuegos para que puedas actualizarlas todas a la vez, controladas de forma eficaz por roles de gestión de identidades y accesos. Hay tres tipos de políticas de cortafuegos: políticas de cortafuegos jerárquicas, políticas de cortafuegos de red globales y políticas de cortafuegos de red regionales. Para obtener más información, consulta Políticas de cortafuegos.

Reglas de políticas de cortafuegos

Cuando creas una regla de política de cortafuegos, especificas un conjunto de componentes que definen lo que hace la regla. Estos componentes especifican la dirección del tráfico, el origen, el destino y las características de la capa 4, como el protocolo y el puerto de destino (si el protocolo usa puertos). Estos componentes se denominan reglas de políticas de cortafuegos. Para obtener más información, consulta Reglas de la política de cortafuegos.

Objetos FQDN

Un nombre de dominio completo (FQDN) es el nombre completo de un recurso específico en Internet. Por ejemplo, cloud.google.com. Los objetos FQDN de las reglas de políticas de cortafuegos filtran el tráfico entrante o saliente desde o hacia un nombre de dominio específico. En función de la dirección del tráfico, las direcciones IP asociadas a los nombres de dominio se comparan con el origen o el destino del tráfico. Para obtener más información, consulta Objetos FQDN.

Objetos de geolocalización

Usa objetos de geolocalización en las reglas de la política de cortafuegos para filtrar el tráfico IPv4 externo e IPv6 externo en función de ubicaciones o regiones geográficas específicas. Puede usar objetos de geolocalización junto con otros filtros de origen o de destino. Para obtener más información, consulta Objetos de geolocalización.

Políticas de cortafuegos de red globales

Las políticas de cortafuegos de red globales te permiten agrupar reglas en un objeto de política aplicable a todas las regiones (global). Después de asociar una política de cortafuegos de red global a una red de VPC, las reglas de la política se pueden aplicar a los recursos de la red de VPC. Para consultar las especificaciones y los detalles de las políticas de cortafuegos de red globales, consulta Políticas de cortafuegos de red globales.

Políticas de cortafuegos jerárquicas

Las políticas de cortafuegos jerárquicas te permiten agrupar reglas en un objeto de política que se puede aplicar a muchas redes de VPC de uno o varios proyectos. Puedes asociar políticas de cortafuegos jerárquicas a toda una organización o a carpetas concretas. Para consultar las especificaciones y los detalles de las políticas de cortafuegos jerárquicas, consulta el artículo Políticas de cortafuegos jerárquicas.

Gestión de Identidades y Accesos

La gestión de identidades y accesos deGoogle Cloudte permite conceder acceso granular a recursos Google Cloud específicos y ayuda a evitar el acceso a otros recursos. IAM te permite adoptar el principio de seguridad de mínimos accesos, que establece que nadie debe tener más permisos de los que realmente necesita. Para obtener más información, consulta la información general sobre IAM.

Reglas implícitas

Todas las redes de VPC tienen dos reglas de cortafuegos IPv4 implícitas. Si IPv6 está habilitado en una red de VPC, la red también tiene dos reglas de cortafuegos IPv6 implícitas. Estas reglas no se muestran en la consolaGoogle Cloud .

Las reglas de cortafuegos IPv4 implícitas están presentes en todas las redes de VPC, independientemente de cómo se creen las redes o de si son redes de VPC automáticas o personalizadas. La red predeterminada tiene las mismas reglas implícitas. Para obtener más información, consulta Reglas implícitas.

Servicio de detección y prevención de intrusos

El servicio de detección y prevención de intrusiones de Cloud NGFW monitoriza continuamente el tráfico de tus cargas de trabajo para detectar cualquier actividad maliciosa y toma medidas preventivas para evitarla. Google Cloud La actividad maliciosa puede incluir amenazas como intrusiones, malware, software espía y ataques de control y comandos en tu red. Para obtener más información, consulta el resumen del servicio de detección y prevención de intrusos.

Políticas de cortafuegos de red

Las políticas de cortafuegos de red, también conocidas como políticas de cortafuegos, te permiten agrupar varias reglas de cortafuegos para que puedas actualizarlas todas a la vez, controladas de forma eficaz por los roles de gestión de identidades y accesos. Estas políticas contienen reglas que pueden denegar o permitir conexiones de forma explícita, al igual que las reglas de cortafuegos de VPC. Esto incluye las políticas de cortafuegos de red globales y regionales. Para obtener más información, consulta Políticas de cortafuegos.

Etiquetas de red

Una etiqueta de red es una cadena de caracteres que se añade a un campo de etiquetas de un recurso, como las instancias de VM de Compute Engine o las plantillas de instancia. Una etiqueta no es un recurso independiente, por lo que no puedes crearla por separado. Se considera que todos los recursos que contengan esa cadena tienen esa etiqueta. Las etiquetas te permiten aplicar reglas de cortafuegos de VPC y rutas a instancias de VM específicas.

Replicación de paquetes

La replicación de paquetes, un servicio fuera de banda, clona el tráfico de red en función de los criterios de filtrado especificados en las reglas de replicación de la política de cortafuegos. Este tráfico replicado se envía a las implementaciones de tu appliance virtual de terceros para que se realice una inspección profunda de paquetes. Puedes usar la replicación de paquetes para analizar el tráfico de red de tus cargas de trabajo a gran escala. Para obtener más información, consulta el resumen de la integración fuera de banda.

Herencia de políticas

De forma predeterminada, las políticas de organización se heredan de los descendientes de los recursos en los que se aplican. Por ejemplo, si aplicas una política a una carpeta, Google Cloud se aplicará a todos los proyectos de la carpeta. Para obtener más información sobre este comportamiento y cómo cambiarlo, consulta las reglas de evaluación de la jerarquía.

Prioridad

La prioridad de una regla de una política de cortafuegos es un número entero comprendido entre 0 y 2.147.483.647, ambos incluidos. Los números enteros más bajos indican prioridades más altas. Para obtener más información, consulta la sección Prioridad.

Políticas de cortafuegos de red regionales

Las políticas de cortafuegos de red regionales te permiten agrupar reglas en un objeto de política que se aplica a una región específica. Después de asociar una política de cortafuegos de red regional a una red de VPC, las reglas de la política se pueden aplicar a los recursos de esa región de la red de VPC. Para consultar las especificaciones y los detalles de las políticas de cortafuegos regionales, consulta Políticas de cortafuegos de red regionales.

Perfiles seguros

Los perfiles seguros o de seguridad te ayudan a definir la política de inspección de la capa 7 para tus recursos deGoogle Cloud . Son estructuras de políticas genéricas que usan los endpoints de firewall para analizar el tráfico interceptado y proporcionar servicios de capa de aplicación, como la detección y la prevención de intrusiones. Para obtener más información, consulta el resumen del perfil de seguridad.

Grupos de perfiles de seguridad

Un grupo de perfiles de seguridad es un contenedor de perfiles de seguridad. Una regla de política de cortafuegos hace referencia a un grupo de perfiles de seguridad para habilitar la inspección de la capa 7, como el servicio de detección y prevención de intrusos, en tu red. Para obtener más información, consulta el artículo Información general sobre los grupos de perfiles de seguridad.

Indicador del nombre del servidor

La indicación de nombre de servidor (SNI) es una extensión del protocolo de redes informáticas TLS. SNI permite que varios sitios HTTPS compartan una IP y un certificado TLS, lo que resulta más eficiente y rentable, ya que no necesitas certificados individuales para cada sitio web del mismo servidor.

Etiquetas

La Google Cloud jerarquía de recursos es una forma de organizar los recursos en una estructura de árbol. Esta jerarquía te ayuda a gestionar los recursos a gran escala, pero solo modela algunas dimensiones empresariales, como la estructura organizativa, las regiones, los tipos de cargas de trabajo y los centros de costes. La jerarquía no tiene la flexibilidad necesaria para combinar varias dimensiones empresariales.

Las etiquetas permiten crear anotaciones para los recursos y, en algunos casos, permiten o deniegan políticas de forma condicional en función de si un recurso tiene una etiqueta específica. Puedes usar etiquetas y la aplicación condicional de políticas para controlar de forma pormenorizada la jerarquía de recursos.

Las etiquetas son diferentes de las etiquetas de red. Para obtener más información sobre las diferencias entre las etiquetas y las etiquetas de red, consulte el artículo Comparación de etiquetas y etiquetas de red.

Inteligencia frente a amenazas

Las reglas de políticas de cortafuegos te permiten proteger tu red permitiendo o bloqueando el tráfico en función de los datos de inteligencia sobre amenazas. Los datos de inteligencia frente a amenazas incluyen listas de direcciones IP basadas en los nodos de salida de Tor, direcciones IP maliciosas conocidas, buscadores e intervalos de direcciones IP de nubes públicas. Para obtener información, consulta Inteligencia sobre amenazas para reglas de políticas de cortafuegos.

Firma de amenaza

La detección de amenazas basada en firmas es uno de los mecanismos más utilizados para identificar comportamientos maliciosos y, por lo tanto, se usa ampliamente para evitar ataques a la red. Las funciones de detección de amenazas de Cloud NGFW se basan en las tecnologías de prevención de amenazas de Palo Alto Networks. Para obtener más información, consulta el resumen de las firmas de amenazas.

Inspección de Seguridad en la capa de transporte

Cloud NGFW ofrece un servicio de intercepción y descifrado de TLS que puede inspeccionar el tráfico cifrado y no cifrado para detectar ataques y fallos en la red. Las conexiones TLS se inspeccionan tanto en las conexiones entrantes como en las salientes, incluido el tráfico hacia y desde Internet, así como el tráfico dentro de Google Cloud.

Cloud NGFW descifra el tráfico TLS para permitir que el endpoint del cortafuegos realice una inspección de capa 7, como el servicio de detección y prevención de intrusos, en tu red. Después de la inspección, Cloud NGFW vuelve a cifrar el tráfico antes de enviarlo a su destino. Para obtener más información, consulta el resumen de la inspección TLS.

Etiquetas de cortafuegos

Las etiquetas también se denominan etiquetas seguras. Las etiquetas te permiten definir orígenes y destinos en políticas de cortafuegos de red globales y regionales. Las etiquetas no son lo mismo que las etiquetas de red. Las etiquetas de red son cadenas sencillas, no claves ni valores, y no ofrecen ningún tipo de control de acceso. Para obtener más información sobre las diferencias entre las etiquetas y las etiquetas de red, así como sobre los productos que admiten cada una de ellas, consulte el artículo Comparación de etiquetas y etiquetas de red.

Reglas de cortafuegos de VPC

Las reglas de cortafuegos de VPC te permiten permitir o denegar conexiones a o desde instancias de VM de tu red de VPC. Las reglas de cortafuegos de VPC habilitadas siempre se aplican, lo que ayuda a proteger tus instancias independientemente de su configuración y sistema operativo, incluso si no se han iniciado. Estas reglas se aplican a un proyecto y una red concretos. Para obtener más información, consulta Reglas de cortafuegos de VPC.

Siguientes pasos