Termini chiave

Questa pagina fornisce la terminologia chiave applicabile a Cloud Next Generation Firewall. Esamina questi termini per comprendere meglio come funziona Cloud NGFW e i concetti su cui si basa.

Gruppi di indirizzi

I gruppi di indirizzi sono una raccolta logica di intervalli di indirizzi IPv4 o IPv6 in formato CIDR. Puoi utilizzare i gruppi di indirizzi per definire origini o destinazioni coerenti a cui fanno riferimento molte regole firewall. Per saperne di più sui gruppi di indirizzi, vedi Gruppi di indirizzi per le policy firewall.

Formato CIDR

Il formato o la notazione Classless Inter-Domain Routing (CIDR) è un metodo per rappresentare un indirizzo IP e la relativa subnet. È un'alternativa alla scrittura di un'intera subnet mask. È composto da un indirizzo IP, seguito da una barra (/) e da un numero. Il numero indica il numero di bit dell'indirizzo IP che definiscono la parte di rete.

Cloud NGFW

Cloud Next Generation Firewall è un servizio firewall completamente distribuito con funzionalità di protezione avanzate, microsegmentazione e copertura pervasiva per proteggere i tuoi carichi di lavoro Google Cloud da attacchi interni ed esterni. Cloud NGFW è disponibile in tre livelli: Cloud Next Generation Firewall Essentials, Cloud Next Generation Firewall Standard e Cloud Next Generation Firewall Enterprise. Per saperne di più, consulta la panoramica di Cloud NGFW.

Cloud NGFW Essentials

Cloud Next Generation Firewall Essentials è il servizio firewall di base offerto da Google Cloud. Include funzionalità come criteri firewall di rete globali e regionali, tag regolati da Identity and Access Management (IAM), gruppi di indirizzi e regole firewall di Virtual Private Cloud (VPC). Per ulteriori informazioni, consulta la panoramica di Cloud NGFW Essentials.

Cloud NGFW Enterprise

Cloud Next Generation Firewall Enterprise offre funzionalità di sicurezza avanzate di livello 7 che proteggono i tuoi Google Cloud workload da minacce e attacchi dannosi. Include un servizio di rilevamento e prevenzione delle intrusioni con intercettazione e decrittografia Transport Layer Security (TLS), che fornisce il rilevamento e la prevenzione delle minacce da malware, spyware e attacchi command-and-control sulla tua rete.

Cloud NGFW Standard

Cloud NGFW Standard estende le funzionalità di Cloud NGFW Essentials per fornire funzionalità avanzate che consentono di proteggere l'infrastruttura cloud da attacchi dannosi. Include funzionalità e capacità come Threat Intelligence per le regole dei criteri firewall, oggetti di nome di dominio completo (FQDN) e oggetti di geolocalizzazione nelle regole dei criteri firewall.

Endpoint firewall

Un endpoint firewall è una risorsa Cloud NGFW che abilita funzionalità di protezione avanzata di livello 7, come il servizio di rilevamento e prevenzione delle intrusioni, nella tua rete. Per saperne di più, consulta la panoramica dell'endpoint firewall.

Regole firewall

Le regole firewall sono gli elementi fondamentali della sicurezza di rete. Una regola firewall controlla il traffico in entrata o in uscita da/verso un'istanza di macchina virtuale (VM). Per impostazione predefinita, il traffico in entrata è bloccato. Per ulteriori informazioni, consulta Policy firewall.

Logging delle regole firewall

Il logging delle regole del firewall consente di controllare, verificare e analizzare gli effetti delle regole del firewall. Ad esempio, puoi determinare se una regola firewall progettata per negare il traffico funziona come previsto. Il logging delle regole firewall è utile anche se devi determinare quante connessioni sono interessate da una determinata regola firewall. Per saperne di più, consulta Logging delle regole firewall.

Policy firewall

I criteri firewall consentono di raggruppare diverse regole firewall in modo da poterle aggiornare tutte insieme, con un controllo efficace mediante ruoli IAM. I criteri firewall sono di tre tipi: criteri firewall gerarchici, criteri firewall di rete globali e criteri firewall di rete regionali. Per saperne di più, consulta Policy firewall.

Regole delle policy firewall

Quando crei una regola di policy del firewall, specifichi un insieme di componenti che definiscono cosa fa la regola. Questi componenti specificano la direzione del traffico, l'origine, la destinazione e le caratteristiche del livello 4, come il protocollo e la porta di destinazione (se il protocollo utilizza le porte). Questi componenti sono chiamati regole delle policy firewall. Per saperne di più, consulta Regole dei criteri firewall.

Oggetti FQDN

Un nome di dominio completo (FQDN) è il nome completo di una risorsa specifica su internet. Ad esempio, cloud.google.com. Gli oggetti FQDN nelle regole dei criteri firewall filtrano il traffico in entrata o in uscita da o verso un nome di dominio specifico. In base alla direzione del traffico, gli indirizzi IP associati ai nomi di dominio vengono confrontati con l'origine o la destinazione del traffico. Per maggiori informazioni, vedi Oggetti FQDN.

Oggetti di geolocalizzazione

Utilizza gli oggetti di geolocalizzazione nelle regole dei criteri firewall per filtrare il traffico IPv4 esterno e IPv6 esterno in base a regioni o località geografiche specifiche. Puoi utilizzare gli oggetti di geolocalizzazione insieme ad altri filtri di origine o destinazione. Per informazioni, vedi Oggetti di geolocalizzazione.

Criteri firewall di rete globali

I criteri firewall di rete globali consentono di raggruppare le regole in un oggetto policy applicabile a tutte le regioni (globale). Dopo aver associato una policy firewall di rete globale a una rete VPC, le regole della policy possono essere applicate alle risorse nella rete VPC. Per le specifiche e i dettagli dei criteri firewall di rete globali, consulta Criteri firewall di rete globali.

Criteri firewall gerarchici

Le policy firewall gerarchiche consentono di raggruppare le regole in un oggetto policy che può essere applicato a molte reti VPC in uno o più progetti. Puoi associare i criteri firewall gerarchici a un'intera organizzazione o a singole cartelle. Per le specifiche e i dettagli dei criteri firewall gerarchici, vedi Criteri firewall gerarchici.

Identity and Access Management

IAM diGoogle Cloudconsente di concedere l'accesso granulare a risorse Google Cloud specifiche e impedisce l'accesso ad altre risorse. IAM consente di adottare il principio di sicurezza del privilegio minimo, secondo il quale nessuno dovrebbe disporre di più autorizzazioni di quelle di cui ha effettivamente bisogno. Per ulteriori informazioni, consulta la panoramica di IAM.

Regole implicite

Ogni rete VPC ha due regole firewall IPv4 implicite. Se IPv6 è abilitato in una rete VPC, la rete ha anche due regole firewall IPv6 implicite. Queste regole non vengono mostrate nella consoleGoogle Cloud .

Le regole firewall IPv4 implicite sono presenti in tutte le reti VPC, indipendentemente da come vengono create o se sono reti VPC in modalità automatica o personalizzata. La rete predefinita ha le stesse regole implicite. Per ulteriori informazioni, vedi Regole implicite.

Servizio di rilevamento e prevenzione delle intrusioni

Il servizio di rilevamento e prevenzione delle intrusioni di Cloud NGFW monitora costantemente il traffico dei tuoi Google Cloud workload per rilevare eventuali attività dannose e adotta misure preventive per evitarle. L'attività dannosa può includere minacce come intrusioni, malware, spyware e attacchi command-and-control alla tua rete. Per maggiori informazioni, Panoramica del servizio di rilevamento e prevenzione delle intrusioni.

Criteri firewall di rete

I criteri firewall di rete, noti anche come criteri firewall, consentono di raggruppare diverse regole firewall in modo da poterle aggiornare tutte insieme, con un controllo efficace mediante ruoli IAM. Questi criteri contengono regole che possono negare o consentire esplicitamente le connessioni, come le regole firewall VPC. Ciò include i criteri firewall di rete globali e regionali. Per ulteriori informazioni, consulta Policy firewall.

Tag di rete

Un tag di rete è una stringa di caratteri aggiunta a un campo di tag in una risorsa come le istanze VM di Compute Engine o i modelli di istanza. Un tag non è una risorsa separata, quindi non puoi crearlo separatamente. Tutte le risorse con questa stringa vengono considerate come se avessero quel tag. I tag ti consentono di applicare regole firewall VPC e route a istanze VM specifiche.

Mirroring pacchetto

Mirroring pacchetto, un servizio out-of-band, clona il traffico di rete in base ai criteri di filtro specificati nelle regole di mirroring della policy firewall. Questo traffico sottoposto a mirroring viene quindi inviato ai deployment dell'appliance virtuale di terze parti per l'ispezione approfondita dei pacchetti. Utilizzi il mirroring pacchetto per analizzare il traffico di rete dei tuoi carichi di lavoro su larga scala. Per maggiori informazioni, consulta Panoramica dell'integrazione out-of-band.

Ereditarietà delle norme

Per impostazione predefinita, i criteri dell'organizzazione vengono ereditati dai discendenti delle risorse su cui applichi il criterio. Ad esempio, se applichi un criterio a una cartella, Google Cloud il criterio viene applicato a tutti i progetti nella cartella. Per scoprire di più su questo comportamento e su come modificarlo, consulta Regole di valutazione della gerarchia.

Priorità

La priorità di una regola in un criterio firewall è un numero intero compreso tra 0 e 2.147.483.647 inclusi. I numeri interi più bassi indicano priorità più elevate. Per ulteriori informazioni, vedi Priorità.

Criteri firewall di rete regionali

I criteri firewall di rete regionali consentono di raggruppare le regole in un oggetto criterio applicabile a una regione specifica. Dopo aver associato una policy firewall di rete regionale a una rete VPC, le regole della policy possono essere applicate alle risorse all'interno di quella regione della rete VPC. Per le specifiche e i dettagli delle policy firewall regionali, vedi Policy firewall di rete regionali.

Profili protetti

I profili sicuri o di sicurezza ti aiutano a definire i criteri di ispezione del livello 7 per le tue risorseGoogle Cloud . Si tratta di strutture di policy generiche utilizzate dagli endpoint firewall per analizzare il traffico intercettato per fornire servizi a livello di applicazione, come il rilevamento e la prevenzione delle intrusioni. Per ulteriori informazioni, vedi Panoramica del profilo di sicurezza.

Gruppi di profili di sicurezza

Un gruppo di profili di sicurezza è un contenitore per i profili di sicurezza. Una regola dei criteri firewall fa riferimento a un gruppo di profili di sicurezza per attivare l'ispezione di livello 7, ad esempio il servizio di rilevamento e prevenzione delle intrusioni, sulla tua rete. Per ulteriori informazioni, vedi Panoramica del gruppo di profili di sicurezza.

Server Name Indication

Server Name Indication (SNI) è un'estensione del protocollo di rete TLS. SNI consente a più siti HTTPS di condividere un certificato IP e TLS, il che è più efficiente ed economico perché non sono necessari certificati individuali per ogni sito web sullo stesso server.

Tag

La Google Cloud gerarchia delle risorse è un modo per organizzare le risorse in una struttura ad albero. Questa gerarchia ti aiuta a gestire le risorse su larga scala, ma modella solo alcune dimensioni aziendali, tra cui struttura organizzativa, regioni, tipi di carico di lavoro e centri di costo. La gerarchia non offre la flessibilità necessaria per combinare più dimensioni aziendali.

I tag forniscono un modo per creare annotazioni per le risorse e, in alcuni casi, consentire o negare in modo condizionale le policy a seconda che una risorsa abbia un tag specifico. Puoi utilizzare i tag e l'applicazione condizionale dei criteri per avere un controllo granulare in tutta la gerarchia delle risorse.

I tag sono diversi dai tag di rete. Per ulteriori informazioni sulle differenze tra i tag e i tag di rete, vedi Confronto tra tag e tag di rete.

Threat intelligence

Le regole delle policy firewall ti consentono di proteggere la tua rete consentendo o bloccando il traffico in base ai dati di Threat Intelligence. I dati di Threat Intelligence includono elenchi di indirizzi IP basati sui nodi di uscita Tor, indirizzi IP dannosi noti, motori di ricerca e intervalli di indirizzi IP cloud pubblico. Per informazioni, vedi Threat Intelligence per le regole dei criteri firewall.

Firma della minaccia

Il rilevamento delle minacce basato su firme è uno dei meccanismi più comunemente utilizzati per identificare comportamenti dannosi ed è quindi ampiamente utilizzato per prevenire attacchi basati sulla rete. Le funzionalità di rilevamento delle minacce di Cloud NGFW si basano sulle tecnologie di prevenzione delle minacce di Palo Alto Networks. Per ulteriori informazioni, consulta la sezione Panoramica delle firme delle minacce.

Ispezione Transport Layer Security

Cloud NGFW offre un servizio di intercettazione e decriptazione TLS che può ispezionare il traffico criptato e non criptato per rilevare attacchi e interruzioni di rete. Le connessioni TLS vengono ispezionate sia in entrata che in uscita, incluso il traffico da e verso internet e il traffico all'interno di Google Cloud.

Cloud NGFW decripta il traffico TLS per consentire all'endpoint firewall di eseguire l'ispezione di livello 7, ad esempio il servizio di rilevamento e prevenzione delle intrusioni, nella tua rete. Dopo l'ispezione, Cloud NGFW cripta nuovamente il traffico prima di inviarlo alla destinazione. Per ulteriori informazioni, consulta la panoramica dell'ispezione TLS.

Tag per il firewall

I tag sono anche chiamati tag protetti. I tag consentono di definire origini e destinazioni nelle policy firewall di rete globali e regionali. I tag sono diversi dai tag di rete. I tag di rete sono semplici stringhe, non chiavi e valori, e non offrono alcun tipo di controllo dell'accesso dell'accesso. Per ulteriori informazioni sulle differenze tra tag e tag di rete e sui prodotti che supportano ciascuno, consulta Confronto tra tag e tag di rete.

Regole firewall VPC

Le regole firewall VPC consentono o negano le connessioni da o verso le istanze VM nella tua rete VPC. Le regole firewall VPC abilitate vengono sempre applicate, il che contribuisce a proteggere le istanze a prescindere dalla configurazione e dal sistema operativo, anche se non sono state avviate. Queste regole si applicano a un determinato progetto e a una determinata rete. Per maggiori informazioni, consulta Regole firewall VPC.

Passaggi successivi