O serviço de prevenção contra invasões do Cloud Firewall monitora continuamente o tráfego da carga de trabalho do Google Cloud em busca de atividades mal-intencionadas e toma medidas preventivas para evitá-las. A atividade mal-intencionada pode incluir ameaças como invasões, malware, spyware e ataques de comando e controle na sua rede.
O serviço de prevenção contra invasões do Cloud Firewall cria endpoints de firewall zonais gerenciados pelo Google que usam a tecnologia de interceptação de pacotes para inspecionar de maneira transparente as cargas de trabalho quanto às assinaturas de ameaças configuradas e protegê-las contra ameaças. Esses recursos de prevenção de ameaças são fornecidos pelas tecnologias de prevenção de ameaças da Palo Alto Networks.
O serviço de prevenção de intrusões é oferecido como parte dos recursos do Cloud Next Generation Firewall Enterprise. Para mais informações, consulte Cloud NGFW Enterprise e preços do Cloud NGFW.
Neste documento, você encontra informações gerais de alto nível dos vários componentes do serviço de prevenção de intrusões do Cloud Firewall e como esses componentes oferecem recursos avançados de proteção para suas cargas de trabalho do Google Cloud em redes de nuvem privada virtual (VPC).
Como funciona o serviço de prevenção de intrusões
O serviço de prevenção de invasões processa o tráfego na seguinte sequência:
As regras da política de firewall são aplicadas ao tráfego de e para as instâncias de máquina virtual (VM) ou clusters do Google Kubernetes Engine (GKE) na rede.
O tráfego correspondente é interceptado e os pacotes são enviados ao endpoint do firewall para inspeção da camada 7.
O endpoint de firewall verifica os pacotes em busca de assinaturas de ameaças configuradas.
Se uma ameaça for detectada, a ação configurada no perfil de segurança será executada nesse pacote.
A Figura 1 descreve um modelo de implantação simplificado do serviço de prevenção de invasões.
No restante da seção, explicamos os componentes e configurações necessários para definir o serviço de prevenção de invasões.
Perfis de segurança e grupos de perfis de segurança
O Cloud Firewall faz referência a perfis de segurança e grupos de perfis de segurança para implementar a inspeção profunda de pacotes para o serviço de prevenção de ameaças.
Os perfis de segurança são estruturas genéricas de política usadas no serviço de prevenção de invasões para modificar cenários específicos de prevenção de ameaças. Para configurar o serviço de prevenção de invasões, defina um perfil de segurança do tipo
threat-prevention. Para saber mais sobre perfis de segurança, consulte Informações gerais sobre o perfil de segurança.Os grupos de perfis de segurança contêm um perfil de segurança do tipo
threat prevention. Para configurar o serviço de prevenção de invasões, as regras da política de firewall fazem referência a esses grupos de perfis de segurança para ativar a detecção e a prevenção de ameaças para o tráfego de rede. Para saber mais sobre grupos de perfis de segurança, consulte Informações gerais sobre o grupo de perfis de segurança.
Endpoint de firewall
Um endpoint de firewall é um recurso no nível da organização criado em uma zona específica que pode inspecionar o tráfego na mesma zona.
Para o serviço de prevenção de invasões, o endpoint de firewall verifica se há ameaças no tráfego interceptado. Se uma ameaça for detectada, uma ação
associada a ela será executada no pacote. Ela pode ser uma ação padrão ou uma ação no perfil de segurança threat-prevention (se configurada).
Para saber mais sobre endpoints de firewall e como configurá-los, consulte Informações gerais sobre o endpoint de firewall.
Políticas de firewall
As políticas de firewall se aplicam diretamente a todo o tráfego que entra e sai da VM. É possível usar políticas hierárquicas de firewall e políticas globais de firewall da rede para configurar regras de política de firewall com inspeção da camada 7.
Regras da política de firewall
As regras da política de firewall permitem controlar o tipo de tráfego que será interceptado e inspecionado. Para configurar o serviço de prevenção de invasões, crie uma regra de política de firewall para fazer o seguinte:
Identifique o tipo de tráfego a ser inspecionado usando vários componentes da regra de política de firewall da camada 3 e 4.
Para o tráfego correspondente, especifique o nome do grupo de perfis de segurança para a ação
apply_security_profile_group.
Para o fluxo de trabalho completo do serviço de prevenção de invasões, consulte Configurar o serviço de prevenção de invasões.
Também é possível usar tags seguras em regras de firewall para configurar o serviço de prevenção de invasões. É possível criar em qualquer segmentação que você tenha configurado usando tags na rede e aprimorar a lógica de inspeção de tráfego para incluir o serviço de prevenção de ameaças.
Inspecionar tráfego criptografado
O Cloud Firewall é compatível com a interceptação e descriptografia de Transport Layer Security (TLS) para inspecionar o tráfego criptografado selecionado quanto a ameaças. A TLS permite inspecionar as conexões de entrada e saída, incluindo o tráfego de e para a Internet e o tráfego dentro do Google Cloud.
Para saber mais sobre a inspeção de TLS no Cloud NGFW, consulte Visão geral da inspeção de TLS.
Para saber como ativar a inspeção de TLS no Cloud NGFW, consulte Configurar inspeção de TLS.
Assinaturas de ameaças
Os recursos de detecção e prevenção de ameaças do Cloud NGFW são fornecidos pelas tecnologias de prevenção de ameaças da Palo Alto Networks. O Cloud NGFW é compatível com um conjunto padrão de assinaturas de ameaças com níveis de gravidade predefinidos para ajudar a proteger sua rede. Também é possível modificar as ações padrão associadas a essas assinaturas de ameaças usando perfis de segurança.
Para saber mais sobre assinaturas, consulte Informações gerais sobre assinaturas de ameaças.
Para exibir as ameaças detectadas na sua rede, consulte Exibir ameaças.
Limitações
O Cloud NGFW não é compatível com a unidade máxima de transmissão (MTU) de frames jumbo.
Os endpoints de firewall ignoram cabeçalhos X-Forwarded-For (XFF). Portanto, esses cabeçalhos não estão incluídos na geração de registros de regras de firewall.