Il servizio di prevenzione delle intrusioni nei firewall Cloud Next Generation monitora continuamente il traffico dei carichi di lavoro Google Cloud per rilevare eventuali attività dannose e intraprende azioni preventive per evitarlo. Le attività dannose possono includere minacce come intrusioni, malware, spyware e attacchi command-and-control sulla tua rete.
Il servizio di prevenzione delle intrusioni di Cloud NGFW crea endpoint firewall di zona gestiti da Google che utilizzano la tecnologia di intercettazione dei pacchetti per ispezionare in modo trasparente i carichi di lavoro per individuare le firme delle minacce configurate e proteggerli dalle minacce. Queste funzionalità di prevenzione delle minacce si basano sulle tecnologie di prevenzione delle minacce di Palo Alto Networks.
Il servizio di prevenzione delle intrusioni è offerto come parte delle funzionalità di Cloud Next Generation Firewall Enterprise. Per ulteriori informazioni, consulta Cloud NGFW Enterprise e i prezzi di Cloud NGFW.
Questo documento fornisce una panoramica generale dei vari componenti del servizio per la prevenzione delle intrusioni Cloud NGFW e del modo in cui questi componenti offrono funzionalità di protezione avanzate per i carichi di lavoro Google Cloud nelle reti Virtual Private Cloud (VPC).
Come funziona il servizio di prevenzione delle intrusioni
Il servizio di prevenzione delle intrusioni elabora il traffico nella seguente sequenza:
Le regole dei criteri firewall vengono applicate al traffico da e verso le istanze di macchine virtuali (VM) o i cluster Google Kubernetes Engine (GKE) nella rete.
Il traffico corrispondente viene intercettato e i pacchetti vengono inviati all'endpoint del firewall per l'ispezione di livello 7.
L'endpoint firewall analizza i pacchetti per trovare le firme delle minacce configurate.
Se viene rilevata una minaccia, l'azione configurata nel profilo di sicurezza viene eseguita su quel pacchetto.
La Figura 1 descrive un modello di deployment semplificato del servizio di prevenzione delle intrusioni.
Il resto della sezione illustra i componenti e le configurazioni necessari per impostare il servizio di prevenzione delle intrusioni.
Profili di sicurezza e gruppi di profili di sicurezza
Cloud NGFW fa riferimento a profili di sicurezza e gruppi di profili di sicurezza per implementare un'ispezione approfondita dei pacchetti per il servizio di prevenzione delle minacce.
I profili di sicurezza sono strutture di criteri generiche utilizzate nel servizio di prevenzione delle intrusioni per ignorare specifici scenari di prevenzione delle minacce. Per configurare il servizio di prevenzione delle intrusioni, devi definire un profilo di sicurezza di tipo
threat-prevention. Per saperne di più sui profili di sicurezza, consulta Panoramica dei profili di sicurezza.I gruppi di profili di sicurezza contengono un profilo di sicurezza di tipo
threat prevention. Per configurare il servizio di prevenzione delle intrusioni, le regole dei criteri firewall fanno riferimento a questi gruppi di profili di sicurezza per abilitare il rilevamento e la prevenzione delle minacce per il traffico di rete. Per scoprire di più sui gruppi di profili di sicurezza, consulta Panoramica dei gruppi di profili di sicurezza.
Endpoint firewall
Un endpoint firewall è una risorsa a livello di organizzazione creata in una zona specifica in grado di ispezionare il traffico nella stessa zona.
Per il servizio di prevenzione delle intrusioni, l'endpoint firewall analizza il traffico intercettato per rilevare eventuali minacce. Se viene rilevata una minaccia, viene eseguita un'azione associata alla minaccia. Questa azione può essere un'azione predefinita o un'azione (se configurata) nel profilo di sicurezza threat-prevention.
Per saperne di più sugli endpoint firewall e su come configurarli, vedi Panoramica degli endpoint firewall.
Criteri firewall
I criteri firewall si applicano direttamente a tutto il traffico in entrata e in uscita dalla VM. Puoi utilizzare criteri firewall gerarchici e criteri firewall di rete globali per configurare le regole dei criteri firewall con l'ispezione di livello 7.
Regole dei criteri firewall
Le regole dei criteri firewall consentono di controllare il tipo di traffico da intercettare e ispezionare. Per configurare il servizio di prevenzione delle intrusioni, crea una regola del criterio firewall per:
Identifica il tipo di traffico da ispezionare utilizzando più componenti delle regole dei criteri firewall di livello 3 e 4.
Per il traffico corrispondente, specifica il nome del gruppo di profili di sicurezza per l'azione
apply_security_profile_group.
Per il flusso di lavoro completo del servizio di prevenzione delle intrusioni, consulta Configurare il servizio di prevenzione delle intrusioni.
Puoi anche utilizzare tag sicuri nelle regole firewall per configurare il servizio di prevenzione delle intrusioni. Puoi basarti su qualsiasi segmentazione impostata utilizzando i tag nella rete e migliorare la logica di ispezione del traffico per includere il servizio di prevenzione delle minacce.
Ispeziona il traffico criptato
Cloud NGFW supporta l'intercettazione e la decriptazione Transport Layer Security (TLS) per ispezionare il traffico criptato selezionato alla ricerca di minacce. TLS consente di controllare le connessioni in entrata e in uscita, incluso il traffico da e verso internet e il traffico all'interno di Google Cloud.
Per scoprire di più sull'ispezione TLS in Cloud NGFW, consulta la panoramica dell'ispezione TLS.
Per informazioni su come abilitare l'ispezione TLS in Cloud NGFW, consulta Configurare l'ispezione TLS.
Firme delle minacce
Le funzionalità di rilevamento e prevenzione delle minacce di Cloud NGFW si basano sulle tecnologie di prevenzione delle minacce di Palo Alto Networks. Cloud NGFW supporta un set predefinito di firme delle minacce con livelli di gravità predefiniti per proteggere la rete. Puoi anche eseguire l'override delle azioni predefinite associate a queste firme delle minacce utilizzando i profili di sicurezza.
Per saperne di più sulle firme delle minacce, consulta Panoramica delle firme delle minacce.
Per visualizzare le minacce rilevate nella tua rete, consulta Visualizzare le minacce.
Limitazioni
Cloud NGFW non supporta l'unità di trasmissione massima (MTU) jumbo frame.
Gli endpoint firewall ignorano le intestazioni X-Forwarded-For (XFF). Pertanto, queste intestazioni non sono incluse nel logging delle regole firewall.