Le service de prévention des intrusions de Cloud Next Generation Firewall surveille en permanence votre trafic de charge de travail Google Cloud afin de détecter toute activité malveillante et de prendre des mesures préventives pour la contrer. Ces activités malveillantes peuvent inclure des menaces telles que des intrusions, des logiciels malveillants, des logiciels espions, ainsi que des attaques de commande et de contrôle sur votre réseau.
Le service de prévention des intrusions de Cloud Next Generation Firewall consiste à créer des points de terminaison de pare-feu zonaux gérés par Google, qui utilisent la technologie d'interception des paquets afin d'inspecter de manière transparente les charges de travail à la recherche des signatures de menaces configurées et de les protéger contre les menaces. Ces fonctionnalités de prévention des menaces s'appuient sur les technologies de prévention des menaces de Palo Alto Networks.
Le service de prévention des intrusions est inclus dans les fonctionnalités de Cloud Next Generation Firewall Enterprise. Pour en savoir plus, consultez les pages Cloud NGFW Enterprise et Tarifs de Cloud NGFW.
Ce document fournit une vue d'ensemble des différents composants du service de prévention des intrusions de Cloud NGFW et explique comment ces composants fournissent des fonctionnalités de protection avancées pour vos charges de travail Google Cloud dans les réseaux cloud privés virtuels (VPC).
Fonctionnement du service de prévention des intrusions
Le service de prévention des intrusions traite le trafic dans l'ordre suivant :
Les règles de stratégie de pare-feu sont appliquées au trafic vers et depuis les instances de machines virtuelles (VM) ou les clusters Google Kubernetes Engine (GKE), dans le réseau.
Le trafic correspondant est intercepté et les paquets sont envoyés au point de terminaison de pare-feu pour l'inspection de couche 7.
Le point de terminaison de pare-feu analyse les paquets pour rechercher les signatures de menace configurées.
Si une menace est détectée, l'action configurée dans le profil de sécurité est effectuée sur ce paquet.
La figure 1 décrit un modèle de déploiement simplifié du service de prévention des intrusions.
Le reste de la section explique quels sont les composants et les configurations nécessaires pour configurer le service de prévention des intrusions.
Profils de sécurité et groupes de profils de sécurité
Cloud NGFW se réfère aux profils de sécurité et aux groupes de profils de sécurité pour mettre en œuvre l'inspection approfondie des paquets pour le service de prévention des menaces.
Les profils de sécurité sont des structures de stratégies génériques utilisées dans le service de prévention des intrusions pour remplacer des scénarios spécifiques de prévention des menaces. Pour configurer le service de prévention des intrusions, vous devez définir un profil de sécurité de type
threat-prevention. Pour en savoir plus sur les profils de sécurité, consultez la Présentation des profils de sécurité.Les groupes de profils de sécurité contiennent un profil de sécurité de type
threat prevention. Pour configurer le service de prévention des intrusions, les règles de stratégie de pare-feu se réfèrent à ces groupes de profils de sécurité afin de permettre la détection et la prévention des menaces pour le trafic réseau. Pour en savoir plus sur les groupes de profils de sécurité, consultez la Présentation des groupes de profils de sécurité.
Point de terminaison de pare-feu
Un point de terminaison de pare-feu est une ressource au niveau de l'organisation créée dans une zone spécifique qui peut inspecter le trafic dans la même zone.
Pour le service de prévention des intrusions, le point de terminaison de pare-feu analyse le trafic intercepté pour détecter les menaces. Si une menace est détectée, une action associée à la menace est effectuée sur ce paquet. Il peut s'agir d'une action par défaut ou d'une action configurée (le cas échéant) dans le profil de sécurité threat-prevention.
Pour en savoir plus sur les points de terminaison de pare-feu et leur configuration, consultez la Présentation des points de terminaison de pare-feu.
Stratégies de pare-feu
Les stratégies de pare-feu s'appliquent directement à tout le trafic entrant et sortant de la VM. Vous pouvez utiliser des stratégies de pare-feu hiérarchiques et des stratégies de pare-feu réseau mondiales pour configurer des règles de stratégie de pare-feu avec l'inspection de couche 7.
Règles de stratégie de pare-feu
Les règles de stratégie de pare-feu permettent de contrôler le type de trafic à intercepter et à inspecter. Pour configurer le service de prévention des intrusions, créez une règle de stratégie de pare-feu pour effectuer les opérations suivantes :
Identifiez le type de trafic à inspecter à l'aide de plusieurs composants des règles de stratégie de pare-feu de couches 3 et 4.
Pour le trafic correspondant, spécifiez le nom du groupe de profils de sécurité pour l'action
apply_security_profile_group.
Pour connaître le workflow complet du service de prévention des intrusions, consultez la section Configurer le service de prévention des intrusions.
Vous pouvez également utiliser des tags sécurisés dans les règles de pare-feu pour configurer le service de prévention des intrusions. Vous pouvez vous appuyer sur la segmentation que vous avez instaurée en utilisant les tags dans votre réseau, et améliorer la logique d'inspection du trafic pour y inclure le service de prévention des menaces.
Inspecter le trafic chiffré
Cloud NGFW est compatible avec l'interception et le déchiffrement TLS (Transport Layer Security) afin d'inspecter le trafic chiffré sélectionné en vue de détecter les menaces. TLS vous permet d'inspecter les connexions entrantes et sortantes, y compris le trafic vers et depuis Internet et le trafic au sein de Google Cloud.
Pour en savoir plus sur l'inspection TLS dans Cloud NGFW, consultez la Présentation de l'inspection TLS.
Pour savoir comment activer l'inspection TLS dans Cloud NGFW, consultez la section Configurer l'inspection TLS.
Signatures de menaces
Les fonctionnalités de détection et de prévention des menaces de Cloud NGFW s'appuient sur les technologies de prévention des menaces de Palo Alto Networks. Cloud NGFW prend en charge un ensemble de signatures de menaces par défaut avec des niveaux de gravité prédéfinis pour aider à protéger votre réseau. Vous pouvez également remplacer les actions par défaut associées à ces signatures de menaces en utilisant des profils de sécurité.
Pour en savoir plus sur les signatures de menaces, consultez la Présentation des signatures de menaces.
Pour afficher les menaces détectées dans votre réseau, consultez la section Afficher les menaces.
Limites
Cloud NGFW ne prend pas en charge les unités de transmission maximale (MTU) de trame géante.
Les points de terminaison de pare-feu ignorent les en-têtes X-Forwarded-For (XFF). Par conséquent, ces en-têtes ne sont pas inclus dans la journalisation des règles de pare-feu.