O serviço de deteção e prevenção de intrusões da firewall de nova geração do Google Cloud monitoriza continuamente o tráfego da sua carga de trabalho para detetar qualquer atividade maliciosa e toma medidas preventivas para a impedir. Google Cloud A atividade maliciosa pode incluir ameaças, como intrusões, software malicioso, spyware e ataques de comando e controlo na sua rede.
O serviço de deteção e prevenção de intrusões do NGFW da nuvem funciona através da criação de pontos finais de firewall zonais geridos pela Google que usam tecnologia de interceção de pacotes para inspecionar de forma transparente as cargas de trabalho quanto às assinaturas de ameaças configuradas e protegê-las contra ameaças. Estas capacidades de prevenção contra ameaças são baseadas nas tecnologias de prevenção contra ameaças da Palo Alto Networks.
O NGFW da nuvem suporta as seguintes categorias de assinaturas de ameaças:
- Anti-spyware
- Proteção contra vulnerabilidades
- Antivírus
Para mais informações sobre as categorias de ameaças, consulte as assinaturas de ameaças predefinidas.
O serviço de deteção e prevenção de intrusões é oferecido como parte das capacidades do Cloud Next Generation Firewall Enterprise. Para mais informações, consulte o Cloud NGFW Enterprise e os preços do Cloud NGFW.
Este documento fornece uma vista geral de alto nível dos vários componentes do serviço de deteção e prevenção de intrusões do Cloud NGFW e como estes componentes oferecem capacidades de proteção avançadas para as suas cargas de trabalho em redes da nuvem virtual privada (VPC). Google Cloud
Como funciona o serviço de deteção e prevenção de intrusões
O serviço de deteção e prevenção de intrusões processa o tráfego na seguinte sequência:
As regras da política de firewall são aplicadas ao tráfego de e para as instâncias de máquinas virtuais (VMs) ou os clusters do Google Kubernetes Engine (GKE) na rede.
O tráfego correspondente é intercetado e os pacotes são enviados para o ponto final da firewall para inspeção da camada 7.
O ponto final da firewall analisa os pacotes em busca de assinaturas de ameaças configuradas.
Se for detetada uma ameaça, a ação configurada no perfil de segurança é realizada nesse pacote.
A Figura 1 descreve um modelo de implementação simplificado do serviço de deteção e prevenção de intrusões.
O resto da secção explica os componentes e as configurações necessários para configurar o serviço de deteção e prevenção de intrusões.
Perfis de segurança e grupos de perfis de segurança
O NGFW na nuvem faz referência a perfis de segurança e grupos de perfis de segurança para implementar a inspeção detalhada de pacotes para o serviço de deteção e prevenção de intrusões.
Os perfis de segurança são estruturas de políticas genéricas que são usadas no serviço de deteção e prevenção de intrusões para substituir cenários específicos de prevenção de ameaças. Para configurar o serviço de deteção e prevenção de intrusões, define um perfil de segurança do tipo
threat-prevention. Para saber mais sobre os perfis de segurança, consulte a vista geral do perfil de segurança.Os grupos de perfis de segurança contêm um perfil de segurança do tipo
threat prevention. Para configurar o serviço de deteção e prevenção de intrusões, as regras da política de firewall fazem referência a estes grupos de perfis de segurança para ativar a deteção e a prevenção de ameaças para o tráfego de rede. Para saber mais sobre os grupos de perfis de segurança, consulte o artigo Vista geral do grupo de perfis de segurança.
Ponto final da firewall
Um ponto final de firewall é um recurso ao nível da organização criado numa zona específica que pode inspecionar o tráfego na mesma zona.
Para o serviço de deteção e prevenção de intrusões, o ponto final da firewall analisa o tráfego intercetado à procura de ameaças. Se for detetada uma ameaça, é realizada uma ação
associada à ameaça nesse pacote. Esta ação pode ser uma ação predefinida ou uma ação (se configurada) no perfil de segurança threat-prevention.
Para saber mais sobre os pontos finais da firewall e como configurá-los, consulte o artigo Vista geral do ponto final da firewall.
Políticas de firewall
As políticas de firewall aplicam-se diretamente a todo o tráfego que entra e sai da VM. Pode usar políticas de firewall hierárquicas e políticas de firewall de rede globais para configurar regras de políticas de firewall com inspeção da camada 7.
Regras de política de firewall
As regras da política de firewall permitem-lhe controlar o tipo de tráfego a ser intercetado e inspecionado. Para configurar o serviço de deteção e prevenção de intrusões, crie uma regra de política de firewall para fazer o seguinte:
Identifique o tipo de tráfego a ser inspecionado através de vários componentes de regras da política de firewall da camada 3 e da camada 4.
Para o tráfego correspondente, especifique o nome do grupo do perfil de segurança para a ação
apply_security_profile_group.
Para o fluxo de trabalho completo do serviço de deteção e prevenção de intrusões, consulte o artigo Configure o serviço de deteção e prevenção de intrusões.
Também pode usar etiquetas seguras nas regras de firewall para configurar o serviço de deteção e prevenção de intrusões. Pode basear-se em qualquer segmentação que tenha configurado usando etiquetas na sua rede e melhorar a lógica de inspeção de tráfego para incluir o serviço de deteção e prevenção de intrusões.
Inspecione o tráfego encriptado
A NGFW na nuvem suporta a interceção e a desencriptação do Transport Layer Security (TLS) para inspecionar ameaças no tráfego encriptado selecionado. O TLS permite-lhe inspecionar as ligações recebidas e enviadas, incluindo o tráfego de e para a Internet e o tráfego dentro de Google Cloud.
Para saber mais sobre a inspeção TLS no Cloud NGFW, consulte a vista geral da inspeção TLS.
Para saber como ativar a inspeção TLS no Cloud NGFW, consulte o artigo Configure a inspeção TLS.
Assinaturas de ameaças
As capacidades de deteção e prevenção de ameaças do NGFW na nuvem são baseadas nas tecnologias de prevenção de ameaças da Palo Alto Networks. O NGFW da nuvem suporta um conjunto predefinido de assinaturas de ameaças com níveis de gravidade predefinidos para ajudar a proteger a sua rede. Também pode substituir as ações predefinidas associadas a estas assinaturas de ameaças através de perfis de segurança.
Para saber mais sobre as assinaturas de ameaças, consulte o artigo Vista geral das assinaturas de ameaças.
Para ver as ameaças detetadas na sua rede, consulte o artigo Veja ameaças.
Limitações
O NGFW na nuvem não suporta a unidade de transmissão máxima (MTU) de jumbo frames.
Os pontos finais da firewall ignoram os cabeçalhos X-Forwarded-For (XFF). Por conseguinte, estes cabeçalhos não estão incluídos no registo das regras da firewall.