El servicio de filtrado de URLs de Cloud Next Generation Firewall te permite controlar el acceso a sitios web y páginas web bloqueando o permitiendo sus URLs. También te permite filtrar el tráfico de tu carga de trabajo mediante la información de dominio e indicación de nombre de servidor (SNI) que está disponible en los mensajes HTTP(S) de salida.
Como el servicio de filtrado de URLs inspecciona los encabezados de los mensajes HTTP, puedes usarlo para bloquear el acceso a dominios específicos aunque el servidor de destino aloje sitios de confianza que no quieras bloquear o cuando las restricciones de acceso basadas en DNS no sean eficaces. Puedes usar el servicio de filtrado de URLs junto con el servicio de detección y prevención de intrusiones para denegar el tráfico a URLs maliciosas, impedir el acceso a servidores de comando y control (C2) maliciosos y detectar malware en archivos ejecutables.
El servicio de filtrado de URLs de Cloud NGFW funciona creando endpoints de firewall zonales gestionados por Google que usan la tecnología de interceptación de paquetes de Google Cloudpara redirigir e inspeccionar el tráfico en busca de coincidencias con una lista de nombres de dominio y SNIs configurados.
La interceptación de paquetes es una Google Cloud función que inserta de forma transparente dispositivos de red en la ruta del tráfico de red seleccionado sin modificar sus políticas de enrutamiento.
Ventajas de usar el servicio de filtrado de URLs
El servicio de filtrado de URLs le ayuda a reducir el mantenimiento necesario que provocan los cambios frecuentes de direcciones IP, los cambios de DNS y otros cambios de cortafuegos basados en direcciones IP que requieren mucho tiempo. El servicio te permite controlar con precisión a qué URLs remotas puedes acceder. Te permite tener un control más preciso que con las direcciones IP, que pueden alojar varios servicios y dominios.
Inspection TLS
El servicio de filtrado de URLs puede procesar tráfico cifrado y sin cifrar. En el caso del tráfico cifrado, puedes configurar la inspección TLS para que el servicio de filtrado de URLs descifre los encabezados de los mensajes e inspeccione el nombre de dominio en el encabezado de host del mensaje.
El servicio de filtrado de URLs puede usar los detalles del dominio junto con el SNI en texto sin cifrar enviado durante la negociación de TLS para buscar una coincidencia con las URLs configuradas definidas por el perfil de seguridad asociado.
Sin la inspección TLS, el servicio de filtrado de URLs puede seguir procesando el tráfico HTTP(S) cifrado, pero solo se basa en el SNI de clientHello durante la negociación TLS para la coincidencia de URLs. En el caso del tráfico HTTP sin cifrar, el servicio de filtrado de URLs usa el encabezado de host HTTP para filtrar URLs, independientemente de si has habilitado la inspección TLS.
Cloud NGFW solo admite la intercepción y el descifrado de TLS para acceder a la información del dominio en el encabezado de host del tráfico cifrado seleccionado.
El servicio de filtrado de URLs inspecciona las conexiones entrantes y salientes, incluido el tráfico hacia y desde Internet, así como el tráfico dentro de Google Cloud.
Para obtener más información sobre la inspección TLS en Cloud NGFW, consulta el artículo Información general sobre la inspección TLS.
Para saber cómo habilitar la inspección TLS en Cloud NGFW, consulta Configurar la inspección TLS.
Modelo de implementación del servicio de filtrado de URLs
En el siguiente diagrama se muestra un ejemplo de la implementación del servicio de filtrado de URLs con un endpoint de firewall configurado para una red de nube privada virtual (VPC) en dos zonas diferentes de una región.
Componentes del servicio de filtrado de URLs
El servicio de filtrado de URLs requiere tres entidades principales que debes configurar. El perfil de seguridad de filtrado de URLs y su grupo de perfiles de seguridad asociado, un endpoint de firewall para recibir tráfico y las políticas de firewall asociadas al endpoint.
Perfiles y grupos de perfiles de seguridad
Cloud NGFW usa perfiles de seguridad y grupos de perfiles de seguridad para implementar el servicio de filtrado de URLs.
Los perfiles de seguridad de filtrado de URLs son estructuras de políticas genéricas de tipo
url-filteringque incluyen filtros de URLs con cadenas de coincidencia. El servicio de filtrado de URLs usa estas cadenas para compararlas con el nombre de dominio y el SNI del mensaje HTTP(S). Cada filtro de URL contiene una lista de cadenas de coincidencia, una prioridad única y una acción.Para obtener más información sobre los perfiles de seguridad de filtrado de URLs, consulta el artículo Perfil de seguridad de filtrado de URLs.
Los grupos de perfiles de seguridad actúan como contenedores de perfiles de seguridad. Cada grupo contiene uno o varios perfiles de seguridad de diferentes tipos. Por ejemplo, un grupo de perfiles de seguridad puede contener perfiles de seguridad de los tipos
url-filteringythreat-prevention. Una regla de política de cortafuegos hace referencia a un grupo de perfiles de seguridad para habilitar el servicio de filtrado de URLs o el servicio de detección y prevención de intrusos, o ambos, para el tráfico de red.Para obtener más información sobre los grupos de perfiles de seguridad, consulta el artículo Descripción general de los grupos de perfiles de seguridad.
Endpoint de cortafuegos
Un endpoint de firewall es un recurso de organización que se crea a nivel de zona y que puede inspeccionar el tráfico de la capa 7 en la misma zona en la que se ha desplegado. Los endpoints están asociados a una o varias VPCs de la misma zona. Para filtrar el tráfico de una instancia de máquina virtual de destino, crea el endpoint de firewall en la misma zona que la VPC en la que se encuentra la máquina virtual de destino.
En el caso del servicio de filtrado de URLs, el endpoint del cortafuegos compara el dominio del encabezado Host del mensaje o el SNI obtenido durante la negociación de TLS para el tráfico cifrado sin inspección de TLS con los filtros de URLs del perfil de seguridad de filtrado de URLs. Si el endpoint detecta una coincidencia, realiza la acción asociada al filtro de URL en la conexión. Esta acción puede ser la acción predeterminada o una acción configurada en el perfil de seguridad de filtrado de URL.
Para obtener más información sobre los endpoints de cortafuegos y cómo configurarlos, consulta el artículo Descripción general de los endpoints de cortafuegos.
Políticas de cortafuegos
Las políticas de cortafuegos se aplican directamente a todo el tráfico de entrada y de salida de una máquina virtual. Puede usar políticas de cortafuegos jerárquicas y políticas de cortafuegos de red globales para configurar reglas de políticas de cortafuegos con inspección de capa 7.
Reglas de políticas de cortafuegos
Las reglas de la política de cortafuegos te permiten controlar el tipo de tráfico que se intercepta e inspecciona. Para configurar el servicio de filtrado de URLs, crea una regla de política de cortafuegos que haga lo siguiente:
- Identifica el tipo de tráfico que se va a inspeccionar mediante varios componentes de reglas de políticas de firewall de las capas 3 y 4.
- Especifica el nombre del grupo de perfiles de seguridad para la acción
apply_security_profile_groupen el tráfico coincidente.
Para ver el flujo de trabajo completo del servicio de filtrado de URLs, consulta Configurar el servicio de filtrado de URLs.
También puede usar etiquetas seguras en las reglas de cortafuegos para configurar el servicio de filtrado de URLs. Puedes aprovechar cualquier segmentación que hayas configurado usando etiquetas en tu red y mejorar la lógica de inspección del tráfico para incluir el servicio de filtrado de URLs.
Cómo funciona el servicio de filtrado de URLs
El servicio de filtrado de URLs procesa el tráfico HTTP(S) en la siguiente secuencia:
El servicio de filtrado de URLs aplica reglas de política de cortafuegos al tráfico hacia y desde las instancias de VM o los clústeres de Google Kubernetes Engine (GKE) de la red.
El servicio de filtrado de URLs intercepta y envía el tráfico coincidente al endpoint del cortafuegos para que se inspeccione la capa 7.
En el caso del tráfico cifrado en el que la inspección TLS está habilitada, el servicio de filtrado de URLs descifra los encabezados de los mensajes y usa el dominio especificado en el encabezado del host junto con el SNI enviado durante la negociación TLS para comprobar si hay alguna coincidencia con las URLs configuradas.
Si el tráfico está cifrado, pero la inspección TLS no está habilitada, el encabezado del mensaje seguirá cifrado. En su lugar, el servicio de filtrado de URLs usa el dominio especificado en la SNI durante la negociación de TLS.
En el caso del tráfico sin cifrar, el servicio de filtrado de URLs siempre usa el dominio especificado en el encabezado Host para comprobar si hay alguna coincidencia.
Si la información de la URL coincide, el servicio de filtrado de URLs realiza la acción configurada en el perfil de seguridad de esa conexión.
Si el servicio de filtrado de URLs permite el tráfico de salida, el servicio de detección y prevención de intrusiones (si está habilitado) puede analizar el tráfico en busca de amenazas.
Limitaciones
El filtrado de URLs solo admite
http/1.xyhttp/2. No admite QUIC, SNI cifrado (ESNI) ni Encrypted Client Hello (ECH) con la inspección TLS habilitada.Si habilitas la inspección TLS, Cloud NGFW no pasa el tráfico QUIC, ESNI ni ECH. Sin embargo, si inhabilitas la inspección TLS, Cloud NGFW dejará pasar ese tráfico sin acceder al dominio ni a la información de SNI. En este caso, Cloud NGFW solo permite el tráfico QUIC, ESNI y ECH cuando hay disponible un filtro de URL de permiso explícito. Si no hay un filtro de permiso explícito, el filtro de URLs de denegación implícito predeterminado bloquea el tráfico QUIC, ESNI y ECH. Para obtener más información sobre los filtros de URLs de permiso explícito y denegación implícita, consulta el artículo Filtro de URLs de denegación implícita.