El servicio de prevención de intrusiones de Cloud Next Generation Firewall supervisa de forma continua el tráfico de la carga de trabajo de Google Cloud para detectar actividad maliciosa y toma medidas preventivas a fin de evitarlo. La actividad maliciosa puede incluir amenazas como intrusiones, software malicioso, software espía y ataques de comando y control en tu red.
El servicio de prevención de intrusiones de Cloud NGFW funciona mediante la creación de extremos de firewall zonales administrados por Google que usan tecnología de interceptación de paquetes para inspeccionar con transparencia las cargas de trabajo en busca de las firmas de amenazas configuradas y protegerlas contra amenazas. Estas capacidades de prevención de amenazas cuentan con las tecnologías de prevención de amenazas de Palo Alto Networks.
El servicio de prevención de intrusiones se ofrece como parte de las capacidades de Cloud Next Generation Firewall Enterprise. Para obtener más información, consulta Precios de Cloud NGFW Enterprise y Precios de Cloud NGFW.
En este documento, se proporciona una descripción general de alto nivel de los diversos componentes del servicio de prevención de intrusiones de Cloud NGFW y cómo estos componentes proporcionan capacidades de protección avanzadas para tus cargas de trabajo de Google Cloud en redes de nube privada virtual (VPC).
Cómo funciona el servicio de prevención de intrusiones
El servicio de prevención de intrusiones procesa el tráfico en la siguiente secuencia:
Las reglas de la política de firewall se aplican al tráfico desde y hacia las instancias de máquina virtual (VM) o clústeres de Google Kubernetes Engine (GKE) en la red.
El tráfico coincidente se intercepta y los paquetes se envían al extremo de firewall para la inspección de la capa 7.
El extremo del firewall analiza los paquetes en busca de firmas de amenazas configuradas.
Si se detecta una amenaza, la acción configurada en el perfil de seguridad se realiza en ese paquete.
En la Figura 1, se describe un modelo de implementación simplificado del servicio de prevención de intrusiones.
En el resto de la sección, se explican los componentes y las configuraciones necesarios para configurar el servicio de prevención de intrusiones.
Perfiles de seguridad y grupos de perfiles de seguridad
Cloud NGFW hace referencia a perfiles de seguridad y grupos de perfiles de seguridad a fin de implementar una inspección profunda de paquetes para el servicio de prevención de amenazas.
Los perfiles de seguridad son estructuras de políticas genéricas que se usan en el servicio de prevención de intrusiones para anular situaciones específicas de prevención de amenazas. Para configurar el servicio de prevención de intrusiones, debes definir un perfil de seguridad de tipo
threat-prevention. Para obtener más información sobre los perfiles de seguridad, consulta Descripción general del perfil de seguridad.Los grupos del perfil de seguridad contienen un perfil de seguridad de tipo
threat prevention. Para configurar el servicio de prevención de intrusiones, las reglas de políticas de firewall hacen referencia a estos grupos de perfiles de seguridad a fin de habilitar la detección y prevención de amenazas para el tráfico de red. Para obtener más información sobre los grupos de perfiles de seguridad, consulta Descripción general de los grupos de perfiles de seguridad.
Extremo de firewall
Un extremo de firewall es un recurso a nivel de la organización creado en una zona específica que puede inspeccionar el tráfico en la misma zona.
En el servicio de prevención de intrusiones, el extremo del firewall analiza el tráfico interceptado en busca de amenazas. Si se detecta una amenaza, se realiza una acción asociada con la amenaza en ese paquete. Esta acción puede ser una predeterminada o una acción (si está configurada) en el perfil de seguridad threat-prevention.
Para obtener más información sobre los extremos de firewall y cómo configurarlos, consulta Descripción general de los extremos de firewall.
Políticas de firewall
Las políticas de firewall se aplican directamente a todo el tráfico que entra y sale de la VM. Puedes usar políticas de firewall jerárquicas y políticas de firewall de red globales para configurar reglas de políticas de firewall con inspección de la capa 7.
Reglas de la política de firewall
Las reglas de la política de firewall te permiten controlar el tipo de tráfico que se interceptará e inspeccionará. Para configurar el servicio de prevención de intrusiones, crea una regla de política de firewall para hacer lo siguiente:
Identifica el tipo de tráfico que se inspeccionará con varios componentes de reglas de políticas de firewall de capa 3 y capa 4.
Para el tráfico coincidente, especifica el nombre del grupo de perfiles de seguridad para la acción
apply_security_profile_group.
Para ver el flujo de trabajo completo del servicio de prevención de intrusiones, consulta Configura el servicio de prevención de intrusiones.
También puedes usar etiquetas seguras en las reglas de firewall para configurar el servicio de prevención de intrusiones. Puedes compilar en cualquier segmentación que hayas configurado mediante el uso de etiquetas en tu red y mejorar la lógica de inspección de tráfico para incluir el servicio de prevención de amenazas.
Inspecciona el tráfico encriptado
Cloud NGFW admite la intercepción y desencriptación de la seguridad de la capa de transporte (TLS) para inspeccionar el tráfico encriptado seleccionado en busca de amenazas. TLS te permite inspeccionar las conexiones entrantes y salientes, incluido el tráfico desde y hacia Internet y el tráfico dentro de Google Cloud.
Para obtener más información sobre la inspección de TLS en Cloud NGFW, consulta Descripción general de la inspección de TLS.
Para obtener información sobre cómo habilitar la inspección de TLS en Cloud NGFW, consulta Configura la inspección de TLS.
Firmas de amenazas
Las funciones de detección y prevención de amenazas de Cloud NGFW cuentan con las tecnologías de prevención de amenazas de Palo Alto Networks. Cloud NGFW admite un conjunto predeterminado de firmas de amenazas con niveles de gravedad predefinidos para proteger tu red. También puedes anular las acciones predeterminadas asociadas con estas firmas de amenazas mediante perfiles de seguridad.
Para obtener más información sobre las firmas de amenazas, consulta Descripción general de las firmas de amenazas.
Para ver las amenazas detectadas en tu red, consulta Visualiza las amenazas.
Limitaciones
Cloud NGFW no admite la unidad de transmisión máxima (MTU) de marcos jumbo.
Los extremos de firewall ignoran los encabezados X-Forwarded-For (XFF). Por lo tanto, estos encabezados no se incluyen en el registro de reglas de firewall.