Il servizio di filtro URL per Cloud Next Generation Firewall consente di controllare l'accesso a siti web e pagine web bloccando o consentendo i relativi URL. Consente di filtrare il traffico del workload utilizzando le informazioni SNI (Server Name Indication) e di dominio disponibili nei messaggi HTTP(S) in uscita.
Poiché il servizio di filtraggio degli URL esamina le intestazioni dei messaggi HTTP, puoi utilizzarlo per bloccare l'accesso a domini specifici anche quando il server di destinazione ospita siti attendibili che non vuoi bloccare o quando le limitazioni di accesso basate sul DNS sono inefficaci. Puoi utilizzare il servizio di filtro degli URL insieme al servizio di rilevamento e prevenzione delle intrusioni per negare il traffico verso URL dannosi, impedire l'accesso a server command and control (C2) dannosi e rilevare malware nei file eseguibili.
Il servizio di filtro URL di Cloud NGFW funziona creando endpoint firewall zonali gestiti da Google che utilizzano la tecnologia di intercettazione dei pacchetti di Google Cloudper reindirizzare e ispezionare il traffico alla ricerca di una corrispondenza con un elenco di nomi di dominio e SNI configurati.
L'intercettazione dei pacchetti è una funzionalità che inserisce in modo trasparente appliance di rete nel percorso del traffico di rete selezionato senza modificare le policy di routing esistenti. Google Cloud
Vantaggi dell'utilizzo del servizio di filtro URL
Il servizio di filtraggio degli URL ti aiuta a ridurre la manutenzione necessaria causata da modifiche frequenti degli indirizzi IP, da modifiche DNS e da altre modifiche del firewall basate su indirizzi IP che richiedono molto tempo. Il servizio ti consente di ottenere un controllo preciso sugli URL remoti a cui puoi accedere. Ti consente di ottenere un controllo più preciso rispetto a quello possibile con gli indirizzi IP, che possono ospitare più servizi e domini.
Ispezione TLS
Il servizio di filtraggio degli URL può elaborare il traffico criptato e non criptato. Per il traffico criptato, puoi configurare l'ispezione TLS per consentire al servizio di filtro degli URL di decriptare le intestazioni dei messaggi e ispezionare il nome di dominio nell'intestazione host del messaggio.
Il servizio di filtro degli URL può quindi utilizzare i dettagli del dominio insieme all'SNI in testo normale inviato durante la negoziazione TLS per trovare una corrispondenza con gli URL configurati definiti dal profilo di sicurezza associato.
Senza l'ispezione TLS, il servizio di filtro degli URL può comunque elaborare il traffico HTTP(S) criptato, ma si basa solo su SNI di clientHello durante la negoziazione TLS per la corrispondenza degli URL. Per il traffico HTTP non criptato, il servizio di filtro URL utilizza l'intestazione host HTTP per il filtro URL, indipendentemente dal fatto che tu abbia abilitato l'ispezione TLS.
Cloud NGFW supporta solo l'intercettazione e la decrittografia TLS per accedere alle informazioni sul dominio nell'intestazione host del traffico criptato selezionato.
Il servizio di filtro URL esamina le connessioni in entrata e in uscita, incluso il traffico da e verso internet e il traffico all'interno di Google Cloud.
Per saperne di più sull'ispezione TLS in Cloud NGFW, consulta la panoramica dell'ispezione TLS.
Per scoprire come abilitare l'ispezione TLS in Cloud NGFW, consulta Configura l'ispezione TLS.
Modello di deployment del servizio di filtro degli URL
Il seguente diagramma mostra un esempio di deployment del servizio di filtro degli URL con un endpoint firewall, configurato per una rete Virtual Private Cloud (VPC) in due zone diverse di una regione.
Componenti del servizio di filtro URL
Il servizio di filtraggio degli URL richiede tre entità principali che devi configurare. Il profilo di sicurezza di filtraggio degli URL e il relativo gruppo di profili di sicurezza, un endpoint firewall per ricevere il traffico e le policy firewall collegate all' endpoint.
Profili di sicurezza e gruppi di profili di sicurezza
Cloud NGFW utilizza profili di sicurezza e gruppi di profili di sicurezza per implementare il servizio di filtro degli URL.
I profili di sicurezza con filtro degli URL sono strutture di criteri generiche di tipo
url-filteringche includono filtri URL con stringhe di corrispondenza. Il servizio di filtro degli URL utilizza queste stringhe per trovare corrispondenze con il nome di dominio e l'SNI del messaggio HTTP(S). Ogni filtro URL contiene un elenco di stringhe di corrispondenza, una priorità univoca e un'azione.Per scoprire di più sui profili di sicurezza del filtro degli URL, consulta Profilo di sicurezza del filtro degli URL.
I gruppi di profili di sicurezza fungono da contenitori per i profili di sicurezza. Ogni gruppo contiene uno o più profili di sicurezza di tipi diversi. Ad esempio, un gruppo di profili di sicurezza può contenere profili di sicurezza appartenenti ai tipi
url-filteringethreat-prevention. Una regola di policy firewall fa riferimento a un gruppo di profili di sicurezza per attivare il servizio di filtro URL o il servizio di rilevamento e prevenzione delle intrusioni, o entrambi, per il traffico di rete.Per scoprire di più sui gruppi di profili di sicurezza, consulta la Panoramica dei gruppi di profili di sicurezza.
Endpoint firewall
Un endpoint firewall è una risorsa dell'organizzazione, creata a livello di zona che può ispezionare il traffico di livello 7 nella stessa zona in cui viene implementato. Gli endpoint sono associati a uno o più VPC nella stessa zona. Per filtrare il traffico per un'istanza di macchina virtuale (VM) di destinazione, crea l'endpoint firewall nella stessa zona del VPC in cui si trova la VM di destinazione.
Per il servizio di filtro degli URL, l'endpoint del firewall confronta il dominio dell'intestazione host del messaggio o l'SNI ottenuto durante la negoziazione TLS per il traffico criptato senza ispezione TLS con i filtri URL nel profilo di sicurezza del filtro degli URL. Se l'endpoint rileva una corrispondenza, esegue l'azione associata al filtro URL sulla connessione. Questa azione può essere l'azione predefinita o un'azione configurata nel profilo di sicurezza del filtro URL.
Per scoprire di più sugli endpoint firewall e su come configurarli, consulta Panoramica degli endpoint firewall.
Policy firewall
I criteri firewall si applicano direttamente a tutto il traffico in entrata e in uscita di una VM. Puoi utilizzare i criteri firewall gerarchici e i criteri firewall di rete globali per configurare le regole dei criteri firewall con l'ispezione di livello 7.
Regole delle policy firewall
Le regole dei criteri firewall ti consentono di controllare il tipo di traffico intercettato e ispezionato. Per configurare il servizio di filtro URL, crea una regola della policy firewall che esegue le seguenti operazioni:
- Identifica il tipo di traffico da ispezionare utilizzando più componenti delle regole della policy del firewall di livello 3 e livello 4.
- Specifica il nome del gruppo di profili di sicurezza per l'azione
apply_security_profile_groupsul traffico corrispondente.
Per il flusso di lavoro completo del servizio di filtro URL, vedi Configurare il servizio di filtro URL.
Puoi anche utilizzare i tag sicuri nelle regole firewall per configurare il servizio di filtro URL. Puoi basarti su qualsiasi segmentazione che hai configurato utilizzando i tag nella tua rete e migliorare la logica di ispezione del traffico per includere il servizio di filtro degli URL.
Come funziona il servizio di filtraggio degli URL
Il servizio di filtraggio degli URL elabora il traffico HTTP(S) nella seguente sequenza:
Il servizio di filtro degli URL applica le regole dei criteri firewall al traffico da e verso le istanze VM o i cluster Google Kubernetes Engine (GKE) nella rete.
Il servizio di filtraggio degli URL intercetta e invia il traffico corrispondente all'endpoint firewall per l'ispezione di livello 7.
Per il traffico criptato in cui è abilitata l'ispezione TLS, il servizio di filtro degli URL decripta le intestazioni dei messaggi e utilizza il dominio specificato nell'intestazione host insieme all'SNI inviato durante la negoziazione TLS per verificare la corrispondenza con gli URL configurati.
Se il traffico è criptato, ma l'ispezione TLS non è abilitata, l'intestazione del messaggio rimane criptata. Il servizio di filtro URL utilizza invece il dominio specificato in SNI durante la negoziazione TLS.
Per il traffico non criptato, il servizio di filtro URL utilizza sempre il dominio specificato nell'intestazione host per verificare la corrispondenza.
Se le informazioni sull'URL corrispondono, il servizio di filtro degli URL esegue l'azione configurata nel profilo di sicurezza per quella connessione.
Se il servizio di filtro URL consente il traffico in uscita, il servizio di rilevamento e prevenzione delle intrusioni (se abilitato) può analizzare ulteriormente il traffico alla ricerca di minacce.
Limitazioni
Il filtro degli URL supporta solo
http/1.xehttp/2. Non supporta QUIC, SNI (ESNI) criptato o Encrypted Client Hello (ECH) con l'ispezione TLS attivata.Se abiliti l'ispezione TLS, Cloud NGFW non trasmette il traffico QUIC, ESNI o ECH. Tuttavia, se disattivi l'ispezione TLS, Cloud NGFW trasmette questo traffico senza accedere al dominio e alle informazioni SNI. In questo scenario, Cloud NGFW consente il traffico QUIC, ESNI ed ECH solo quando è disponibile un filtro URL di autorizzazione esplicita. In assenza di un filtro di autorizzazione esplicito, il filtro URL di negazione implicita predefinito blocca il traffico QUIC, ESNI ed ECH. Per saperne di più sui filtri degli URL di autorizzazione esplicita e negazione implicita, consulta Filtro degli URL di negazione implicita.