El servicio de filtrado de URL para Cloud Next Generation Firewall te permite controlar el acceso a sitios web y páginas web bloqueando o permitiendo sus URLs. Te permite filtrar el tráfico de tu carga de trabajo con la información de indicación de nombre de dominio y servidor (SNI) que está disponible en los mensajes HTTP(S) de salida.
Dado que el servicio de filtrado de URLs inspecciona los encabezados de los mensajes HTTP, puedes usarlo para bloquear el acceso a dominios específicos, incluso cuando el servidor de destino aloja sitios de confianza que no quieres bloquear o cuando las restricciones de acceso basadas en DNS son ineficaces. Puedes usar el servicio de filtrado de URLs junto con el servicio de detección y prevención de intrusiones para rechazar el tráfico a URLs maliciosas, evitar el acceso a servidores de comando y control (C2) maliciosos y detectar software malicioso en archivos ejecutables.
El servicio de filtrado de URLs de Cloud NGFW funciona creando extremos de firewall zonales administrados por Google que usan la tecnología de interceptación de paquetes de Google Cloudpara redireccionar e inspeccionar el tráfico en busca de coincidencias con una lista de nombres de dominio y SNI configurados.
La interceptación de paquetes es una Google Cloud capacidad que inserta de manera transparente dispositivos de red en la ruta del tráfico de red seleccionado sin modificar sus políticas de enrutamiento existentes.
Beneficios de usar el servicio de filtrado de URLs
El servicio de filtrado de URLs te ayuda a reducir el mantenimiento necesario que se produce debido a los cambios frecuentes de direcciones IP, los cambios de DNS y otros cambios de firewall basados en direcciones IP que consumen mucho tiempo. El servicio te permite controlar con precisión a qué URLs remotas puedes acceder. Te permite obtener un control más detallado que el que es posible con las direcciones IP, que pueden alojar varios servicios y dominios.
Inspección de TLS
El servicio de filtrado de URLs puede procesar tráfico encriptado y no encriptado. En el caso del tráfico encriptado, puedes configurar la inspección de TLS para permitir que el servicio de filtrado de URLs desencripte los encabezados de los mensajes y, luego, inspeccione el nombre de dominio en el encabezado del host del mensaje.
Luego, el servicio de filtrado de URLs puede usar los detalles del dominio junto con el SNI de texto no encriptado que se envía durante la negociación de TLS para encontrar una coincidencia con las URLs configuradas que define el perfil de seguridad asociado.
Sin la inspección de TLS, el servicio de filtrado de URLs puede procesar el tráfico HTTP(S) encriptado, pero solo se basa en el SNI de clientHello durante la negociación de TLS para la coincidencia de URLs. Para el tráfico HTTP sin encriptar, el servicio de filtrado de URLs usa el encabezado de host HTTP para el filtrado de URLs, independientemente de si habilitaste la inspección de TLS.
Cloud NGFW solo admite la intercepción y desencriptación de TLS para acceder a la información del dominio en el encabezado del host del tráfico encriptado seleccionado.
El servicio de filtrado de URLs inspecciona las conexiones entrantes y salientes, incluido el tráfico desde y hacia Internet y el tráfico dentro de Google Cloud.
Para obtener más información sobre la inspección de TLS en Cloud NGFW, consulta Descripción general de la inspección de TLS.
Para obtener información sobre cómo habilitar la inspección de TLS en Cloud NGFW, consulta Configura la inspección de TLS.
Modelo de implementación del servicio de filtrado de URLs
En el siguiente diagrama, se muestra un ejemplo de la implementación del servicio de filtrado de URLs con un extremo de firewall, configurado para una red de nube privada virtual (VPC) en dos zonas diferentes de una región.
Componentes del servicio de filtrado de URLs
El servicio de filtrado de URLs requiere tres entidades principales que debes configurar. El perfil de seguridad de filtrado de URL y su grupo de perfiles de seguridad asociado, un extremo de firewall para recibir tráfico y las políticas de firewall adjuntas al extremo.
Perfiles de seguridad y grupos de perfiles de seguridad
Cloud NGFW usa perfiles de seguridad y grupos de perfiles de seguridad para implementar el servicio de filtrado de URLs.
Los perfiles de seguridad de filtrado de URLs son estructuras de políticas genéricas de tipo
url-filteringque incluyen filtros de URLs con cadenas de comparador. El servicio de filtrado de URLs usa estas cadenas para hacer coincidir el nombre de dominio y el SNI del mensaje HTTP(S). Cada filtro de URL contiene una lista de cadenas de comparador, una prioridad única y una acción.Para obtener más información sobre los perfiles de seguridad de filtrado de URLs, consulta Perfil de seguridad de filtrado de URLs.
Los grupos de perfiles de seguridad actúan como contenedores de perfiles de seguridad. Cada grupo contiene uno o más perfiles de seguridad de diferentes tipos. Por ejemplo, un grupo de perfiles de seguridad puede contener perfiles de seguridad que pertenecen a los tipos
url-filteringythreat-prevention. Una regla de política de firewall hace referencia a un grupo de perfiles de seguridad para habilitar el servicio de filtrado de URL o el servicio de detección y prevención de intrusiones, o ambos, para el tráfico de red.Para obtener más información sobre los grupos de perfiles de seguridad, consulta Descripción general del grupo de perfiles de seguridad.
Extremo de firewall
Un extremo de firewall es un recurso organizativo creado a nivel zonal que puede inspeccionar el tráfico de capa 7 en la misma zona en la que se implementa. Los extremos están asociados a una o más VPC en la misma zona. Para filtrar el tráfico de una instancia de máquina virtual (VM) de destino, crea el extremo de firewall en la misma zona que la VPC en la que se encuentra la VM de destino.
En el servicio de filtrado de URLs, el extremo del firewall compara el dominio del encabezado del host del mensaje o el SNI obtenido durante la negociación de TLS para el tráfico encriptado sin inspección de TLS con los filtros de URL del perfil de seguridad de filtrado de URLs. Si el extremo detecta una coincidencia, realiza la acción asociada con el filtro de URL en la conexión. Esta acción puede ser la predeterminada o una acción configurada en el perfil de seguridad de filtrado de URL.
Para obtener más información sobre los extremos de firewall y cómo configurarlos, consulta Descripción general de los extremos de firewall.
Políticas de firewall
Las políticas de firewall se aplican directamente a todo el tráfico de entrada y salida de una VM. Puedes usar políticas de firewall jerárquicas y políticas de firewall de red globales para configurar reglas de políticas de firewall con inspección de la capa 7.
Reglas de la política de firewall
Las reglas de la política de firewall te permiten controlar el tipo de tráfico que se intercepta y se inspecciona. Para configurar el servicio de filtrado de URLs, crea una regla de política de firewall que haga lo siguiente:
- Identifica el tipo de tráfico que se inspeccionará con varios componentes de reglas de políticas de firewall de capa 3 y capa 4.
- Especifica el nombre del grupo de perfiles de seguridad para la acción
apply_security_profile_groupen el tráfico coincidente.
Para ver el flujo de trabajo completo del servicio de filtrado de URLs, consulta Configura el servicio de filtrado de URLs.
También puedes usar etiquetas seguras en las reglas de firewall para configurar el servicio de filtrado de URLs. Puedes compilar en cualquier segmentación que hayas configurado mediante el uso de etiquetas en tu red y mejorar la lógica de inspección de tráfico para incluir el servicio de filtrado de URLs.
Cómo funciona el servicio de filtrado de URLs
El servicio de filtrado de URLs procesa el tráfico HTTP(S) en la siguiente secuencia:
El servicio de filtrado de URLs aplica reglas de política de firewall al tráfico hacia y desde las instancias de VM o los clústeres de Google Kubernetes Engine (GKE) en la red.
El servicio de filtrado de URLs intercepta y envía el tráfico coincidente al extremo de firewall para la inspección de la capa 7.
En el caso del tráfico encriptado en el que está habilitada la inspección de TLS, el servicio de filtrado de URLs desencripta los encabezados de los mensajes y usa el dominio especificado en el encabezado del host junto con la SNI enviada durante la negociación de TLS para verificar si hay una coincidencia con las URLs configuradas.
Si el tráfico está encriptado, pero la inspección de TLS no está habilitada, el encabezado del mensaje permanecerá encriptado. En su lugar, el servicio de filtrado de URLs usa el dominio especificado en el SNI durante la negociación de TLS.
En el caso del tráfico sin encriptar, el servicio de filtrado de URLs siempre usa el dominio especificado en el encabezado del host para verificar si hay una coincidencia.
Si la información de la URL coincide, el servicio de filtrado de URLs realiza la acción configurada en el perfil de seguridad en esa conexión.
Si el servicio de filtros de URL permite el tráfico de salida, el servicio de detección y prevención de intrusiones (si está habilitado) puede analizar aún más el tráfico en busca de amenazas.
Limitaciones
El filtrado de URLs solo admite
http/1.xyhttp/2. No admite QUIC, SNI encriptado (ESNI) ni Encrypted Client Hello (ECH) con la inspección de TLS habilitada.Si habilitas la inspección de TLS, Cloud NGFW no pasa el tráfico de QUIC, ESNI ni ECH. Sin embargo, si inhabilitas la inspección de TLS, Cloud NGFW pasará ese tráfico sin acceso a la información del dominio y del SNI. En este caso, Cloud NGFW permite el tráfico de QUIC, ESNI y ECH solo cuando hay disponible un filtro de URL de permiso explícito. En ausencia de un filtro de permiso explícito, el filtro de URL de denegación implícita predeterminado bloquea el tráfico de QUIC, ESNI y ECH. Para obtener más información sobre los filtros de URL de permiso explícito y rechazo implícito, consulta Filtro de URL de rechazo implícito.