Le service de filtrage d'URL pour le pare-feu Cloud nouvelle génération vous permet de contrôler l'accès aux sites Web et aux pages Web en bloquant ou en autorisant leurs URL. Il vous permet de filtrer le trafic de vos charges de travail à l'aide des informations de domaine et d'indication de nom de serveur (SNI) disponibles dans les messages HTTP(S) sortants.
Étant donné que le service de filtrage d'URL inspecte les en-têtes des messages HTTP, vous pouvez l'utiliser pour bloquer l'accès à des domaines spécifiques, même lorsque le serveur de destination héberge des sites de confiance que vous ne souhaitez pas bloquer ou lorsque les restrictions d'accès basées sur le DNS sont inefficaces. Vous pouvez utiliser le service de filtrage des URL avec le service de détection et de prévention des intrusions pour refuser le trafic vers les URL malveillantes, empêcher l'accès aux serveurs de commande et de contrôle (C2) malveillants et détecter les logiciels malveillants dans les fichiers exécutables.
Le service de filtrage d'URL Cloud NGFW consiste à créer des points de terminaison de pare-feu zonaux gérés par Google, qui utilisent la technologie d'interception des paquets de Google Cloudpour rediriger et inspecter le trafic afin de vérifier s'il correspond à une liste de noms de domaine et de SNI configurés.
L'interception des paquets est une fonctionnalité Google Cloud qui insère de manière transparente les dispositifs réseau dans le chemin du trafic réseau sélectionné, sans modifier leurs règles de routage existantes.
Avantages de l'utilisation du service de filtrage des URL
Le service de filtrage d'URL vous aide à réduire la maintenance requise en raison des adresses IP qui changent fréquemment, des modifications DNS et d'autres modifications de pare-feu basées sur les adresses IP qui prennent du temps. Ce service vous permet de contrôler précisément les URL distantes auxquelles vous pouvez accéder. Il vous permet de bénéficier d'un contrôle plus précis que celui possible avec les adresses IP, qui peuvent héberger plusieurs services et domaines.
Inspection TLS
Le service de filtrage d'URL peut traiter le trafic chiffré et non chiffré. Pour le trafic chiffré, vous pouvez configurer l'inspection TLS afin de permettre au service de filtrage d'URL de déchiffrer les en-têtes de message et d'inspecter le nom de domaine dans l'en-tête d'hôte du message.
Le service de filtrage des URL peut ensuite utiliser les détails du domaine ainsi que le SNI en texte brut envoyé lors de la négociation TLS pour trouver une correspondance avec les URL configurées définies par le profil de sécurité associé.
Sans inspection TLS, le service de filtrage des URL peut toujours traiter le trafic HTTP(S) chiffré, mais il ne s'appuie que sur le SNI de clientHello lors de la négociation TLS pour la mise en correspondance des URL. Pour le trafic HTTP non chiffré, le service de filtrage d'URL utilise l'en-tête d'hôte HTTP pour le filtrage d'URL, que vous ayez activé ou non l'inspection TLS.
Cloud NGFW n'est compatible qu'avec l'interception et le déchiffrement TLS pour accéder aux informations de domaine dans l'en-tête d'hôte du trafic chiffré sélectionné.
Le service de filtrage d'URL inspecte les connexions entrantes et sortantes, y compris le trafic vers et depuis Internet et le trafic au sein de Google Cloud.
Pour en savoir plus sur l'inspection TLS dans Cloud NGFW, consultez la Présentation de l'inspection TLS.
Pour savoir comment activer l'inspection TLS dans Cloud NGFW, consultez la section Configurer l'inspection TLS.
Modèle de déploiement du service de filtrage des URL
Le schéma suivant illustre un exemple de déploiement du service de filtrage d'URL avec un point de terminaison de pare-feu, configuré pour un réseau de cloud privé virtuel (VPC) dans deux zones différentes d'une région.
Composants du service de filtrage des URL
Le service de filtrage d'URL nécessite trois entités principales que vous devez configurer. Le profil de sécurité de filtrage d'URL et son groupe de profils de sécurité associé, un point de terminaison de pare-feu pour recevoir le trafic et les stratégies de pare-feu associées au point de terminaison.
Profils de sécurité et groupes de profils de sécurité
Cloud NGFW utilise des profils de sécurité et des groupes de profils de sécurité pour implémenter le service de filtrage des URL.
Les profils de sécurité de filtrage d'URL sont des structures de règles génériques de type
url-filteringqui incluent des filtres d'URL avec des chaînes de correspondance. Le service de filtrage des URL utilise ces chaînes pour établir une correspondance avec le nom de domaine et le SNI du message HTTP(S). Chaque filtre d'URL contient une liste de chaînes de correspondance, une priorité unique et une action.Pour en savoir plus sur les profils de sécurité de filtrage des URL, consultez Profil de sécurité de filtrage des URL.
Les groupes de profils de sécurité servent de conteneurs pour les profils de sécurité. Chaque groupe contient un ou plusieurs profils de sécurité de différents types. Par exemple, un groupe de profils de sécurité peut contenir des profils de sécurité de types
url-filteringetthreat-prevention. Une règle de stratégie de pare-feu référence un groupe de profils de sécurité pour activer le service de filtrage d'URL ou le service de détection et de prévention des intrusions, ou les deux, pour le trafic réseau.Pour en savoir plus sur les groupes de profils de sécurité, consultez la Présentation des groupes de profils de sécurité.
Point de terminaison de pare-feu
Un point de terminaison de pare-feu est une ressource organisationnelle créée au niveau de la zone. Il peut inspecter le trafic de couche 7 dans la même zone que celle dans laquelle il est déployé. Les points de terminaison sont associés à un ou plusieurs VPC dans la même zone. Pour filtrer le trafic d'une instance de machine virtuelle (VM) cible, créez le point de terminaison de pare-feu dans la même zone que le VPC où se trouve la VM cible.
Pour le service de filtrage des URL, le point de terminaison de pare-feu fait correspondre le domaine de l'en-tête d'hôte du message ou le SNI obtenu lors de la négociation TLS pour le trafic chiffré sans inspection TLS, aux filtres d'URL du profil de sécurité de filtrage des URL. Si le point de terminaison détecte une correspondance, il effectue l'action associée au filtre d'URL sur la connexion. Il peut s'agir de l'action par défaut ou d'une action configurée dans le profil de sécurité du filtrage d'URL.
Pour en savoir plus sur les points de terminaison de pare-feu et leur configuration, consultez la Présentation des points de terminaison de pare-feu.
Stratégies de pare-feu
Les stratégies de pare-feu s'appliquent directement à tout le trafic entrant et sortant d'une VM. Vous pouvez utiliser des stratégies de pare-feu hiérarchiques et des stratégies de pare-feu réseau mondiales pour configurer des règles de stratégie de pare-feu avec l'inspection de couche 7.
Règles de stratégie de pare-feu
Les règles de stratégie de pare-feu permettent de contrôler le type de trafic intercepté et inspecté. Pour configurer le service de filtrage d'URL, créez une règle de stratégie de pare-feu qui effectue les opérations suivantes :
- Identifie le type de trafic à inspecter à l'aide de plusieurs composants des règles de stratégie de pare-feu de couches 3 et 4.
- Spécifie le nom du groupe de profils de sécurité pour l'action
apply_security_profile_groupsur le trafic correspondant.
Pour connaître le workflow complet du service de filtrage d'URL, consultez Configurer le service de filtrage d'URL.
Vous pouvez également utiliser des tags sécurisés dans les règles de pare-feu pour configurer le service de filtrage d'URL. Vous pouvez vous appuyer sur la segmentation que vous avez instaurée en utilisant les tags dans votre réseau, et améliorer la logique d'inspection du trafic pour y inclure le service de filtrage des URL.
Fonctionnement du service de filtrage d'URL
Le service de filtrage d'URL traite le trafic HTTP(S) dans l'ordre suivant :
Le service de filtrage d'URL applique les règles de stratégie de pare-feu au trafic vers et depuis les instances de VM ou les clusters Google Kubernetes Engine (GKE) du réseau.
Le service de filtrage d'URL intercepte le trafic correspondant et l'envoie au point de terminaison de pare-feu pour l'inspection de couche 7.
Pour le trafic chiffré pour lequel l'inspection TLS est activée, le service de filtrage d'URL déchiffre les en-têtes de message et utilise le domaine spécifié dans l'en-tête d'hôte, ainsi que le SNI envoyé lors de la négociation TLS, pour vérifier s'il correspond aux URL configurées.
Si le trafic est chiffré, mais que l'inspection TLS n'est pas activée, l'en-tête du message reste chiffré. À la place, le service de filtrage des URL utilise le domaine spécifié dans le SNI lors de la négociation TLS.
Pour le trafic non chiffré, le service de filtrage des URL utilise toujours le domaine spécifié dans l'en-tête d'hôte pour vérifier s'il existe une correspondance.
Si les informations de l'URL correspondent, le service de filtrage des URL effectue l'action configurée dans le profil de sécurité sur cette connexion.
Si le service de filtrage d'URL autorise le trafic sortant, le service de détection et de prévention des intrusions (s'il est activé) peut analyser plus en détail le trafic à la recherche de menaces.
Limites
Le filtrage des URL n'est compatible qu'avec
http/1.xethttp/2. Il n'est pas compatible avec QUIC, ESNI (Encrypted Server Name Indication) ni ECH (Encrypted Client Hello) lorsque l'inspection TLS est activée.Si vous activez l'inspection TLS, Cloud NGFW ne transmet pas le trafic QUIC, ESNI ni ECH. Toutefois, si vous désactivez l'inspection TLS, Cloud NGFW transmet ce trafic sans avoir accès aux informations sur le domaine et le SNI. Dans ce scénario, Cloud NGFW n'autorise le trafic QUIC, ESNI et ECH que lorsqu'un filtre d'URL d'autorisation explicite est disponible. En l'absence d'un filtre d'autorisation explicite, le filtre d'URL de refus implicite par défaut bloque le trafic QUIC, ESNI et ECH. Pour en savoir plus sur les filtres d'URL avec autorisation explicite et interdiction implicite, consultez Filtre d'URL avec interdiction implicite.