O serviço de filtragem de URLs para a firewall de próxima geração da nuvem permite-lhe controlar o acesso a Websites e páginas Web bloqueando ou permitindo os respetivos URLs. Permite-lhe filtrar o tráfego da carga de trabalho através de informações de domínio e de indicação do nome do servidor (SNI) disponíveis nas mensagens HTTP(S) de saída.
Uma vez que o serviço de filtragem de URLs inspeciona os cabeçalhos de mensagens HTTP, pode usar o serviço para bloquear o acesso a domínios específicos, mesmo quando o servidor de destino aloja sites fidedignos que não quer bloquear ou quando as restrições de acesso baseadas no DNS são ineficazes. Pode usar o serviço de filtragem de URLs juntamente com o serviço de deteção e prevenção de intrusões para negar tráfego para URLs maliciosos, impedir o acesso a servidores de comando e controlo (C2) maliciosos e detetar software malicioso em ficheiros executáveis.
O serviço de filtragem de URLs do NGFW da nuvem funciona através da criação de pontos finais de firewall zonais geridos pela Google que usam a tecnologia de interceção de pacotes da Google para redirecionar e inspecionar o tráfego de modo a encontrar uma correspondência numa lista de nomes de domínios e SNIs configurados. Google Cloud
A interceção de pacotes é uma capacidade que insere de forma transparente dispositivos de rede no caminho do tráfego de rede selecionado sem modificar as respetivas políticas de encaminhamento existentes. Google Cloud
Vantagens da utilização do serviço de filtragem de URLs
O serviço de filtragem de URLs ajuda a reduzir a manutenção necessária causada por alterações frequentes de endereços IP, por alterações de DNS e por outras alterações de firewall baseadas em endereços IP demoradas. O serviço permite-lhe ter um controlo preciso sobre os URLs remotos aos quais pode aceder. Permite-lhe ter um controlo mais preciso do que o possível com as moradas IP, que podem alojar vários serviços e domínios.
Inspeção de TLS
O serviço de filtragem de URLs pode processar tráfego encriptado e não encriptado. Para o tráfego encriptado, pode configurar a inspeção TLS para permitir que o serviço de filtragem de URLs desencripte os cabeçalhos das mensagens e inspecione o nome do domínio no cabeçalho do anfitrião da mensagem.
Em seguida, o serviço de filtragem de URLs pode usar os detalhes do domínio juntamente com o SNI de texto simples enviado durante a negociação de TLS para encontrar uma correspondência com os URLs configurados definidos pelo perfil de segurança associado.
Sem a inspeção TLS, o serviço de filtragem de URLs ainda pode processar o tráfego HTTP(S) encriptado, mas o serviço de filtragem de URLs baseia-se apenas no SNI de clientHello durante a negociação TLS para a correspondência de URLs. Para o tráfego HTTP não encriptado, o serviço de filtragem de URLs usa o cabeçalho do anfitrião HTTP para a filtragem de URLs, independentemente de ter ativado a inspeção TLS.
O NGFW na nuvem só suporta a interceção e a desencriptação de TLS para aceder às informações do domínio no cabeçalho do anfitrião do tráfego encriptado selecionado.
O serviço de filtragem de URLs inspeciona as ligações de entrada e saída, incluindo o tráfego de e para a Internet e o tráfego dentro de Google Cloud.
Para saber mais sobre a inspeção TLS no Cloud NGFW, consulte a vista geral da inspeção TLS.
Para saber como ativar a inspeção TLS no Cloud NGFW, consulte o artigo Configure a inspeção TLS.
Modelo de implementação do serviço de filtragem de URLs
O diagrama seguinte mostra um exemplo da implementação do serviço de filtragem de URLs com um ponto final da firewall, configurado para uma rede da nuvem virtual privada (VPC) em duas zonas diferentes de uma região.
Componentes do serviço de filtragem de URLs
O serviço de filtragem de URLs requer três entidades principais que tem de configurar. O perfil de segurança de filtragem de URLs e o respetivo grupo de perfis de segurança associado, um ponto final da firewall para receber tráfego e as políticas de firewall anexadas ao ponto final.
Perfis de segurança e grupos de perfis de segurança
O NGFW na nuvem usa perfis de segurança e grupos de perfis de segurança para implementar o serviço de filtragem de URLs.
Os perfis de segurança de filtragem de URLs são estruturas de políticas genéricas do tipo
url-filteringque incluem filtros de URLs com strings de correspondência. O serviço de filtragem de URLs usa estas strings para fazer a correspondência com o nome do domínio e o SNI da mensagem HTTP(S). Cada filtro de URL contém uma lista de strings de correspondência, uma prioridade única e uma ação.Para saber mais acerca dos perfis de segurança de filtragem de URLs, consulte o artigo Perfil de segurança de filtragem de URLs.
Os grupos de perfis de segurança funcionam como contentores para perfis de segurança. Cada grupo contém um ou mais perfis de segurança de diferentes tipos. Por exemplo, um grupo de perfis de segurança pode conter perfis de segurança dos tipos
url-filteringethreat-prevention. Uma regra de política de firewall faz referência a um grupo de perfis de segurança para ativar o serviço de filtragem de URLs ou o serviço de deteção e prevenção de intrusões, ou ambos, para o tráfego de rede.Para saber mais sobre os grupos de perfis de segurança, consulte o artigo Vista geral do grupo de perfis de segurança.
Ponto final da firewall
Um ponto final de firewall é um recurso organizacional, criado ao nível da zona, que pode inspecionar o tráfego da camada 7 na mesma zona em que é implementado. Os pontos finais estão associados a uma ou mais VPCs na mesma zona. Para filtrar o tráfego de uma instância de máquina virtual (VM) de destino, crie o ponto final da firewall na mesma zona que a VPC onde a VM de destino está localizada.
Para o serviço de filtragem de URLs, o ponto final da firewall corresponde ao domínio do cabeçalho do anfitrião da mensagem ou ao SNI obtido durante a negociação de TLS para tráfego encriptado sem inspeção de TLS, em comparação com os filtros de URLs no perfil de segurança de filtragem de URLs. Se o ponto final detetar uma correspondência, executa a ação associada ao filtro de URL na ligação. Esta ação pode ser a ação predefinida ou uma ação configurada no perfil de segurança da filtragem de URLs.
Para saber mais sobre os pontos finais da firewall e como configurá-los, consulte o artigo Vista geral do ponto final da firewall.
Políticas de firewall
As políticas de firewall aplicam-se diretamente a todo o tráfego de entrada e saída de uma VM. Pode usar políticas de firewall hierárquicas e políticas de firewall de rede globais para configurar regras de políticas de firewall com inspeção da camada 7.
Regras de política de firewall
As regras da política de firewall permitem-lhe controlar o tipo de tráfego que é intercetado e inspecionado. Para configurar o serviço de filtragem de URLs, crie uma regra de política de firewall que faça o seguinte:
- Identifica o tipo de tráfego a ser inspecionado através de vários componentes de regras da política de firewall da camada 3 e da camada 4.
- Especifica o nome do grupo do perfil de segurança para a ação
apply_security_profile_groupno tráfego correspondente.
Para ver o fluxo de trabalho completo do serviço de filtragem de URLs, consulte o artigo Configure o serviço de filtragem de URLs.
Também pode usar etiquetas seguras nas regras de firewall para configurar o serviço de filtragem de URLs. Pode basear-se em qualquer segmentação que tenha configurado usando etiquetas na sua rede e melhorar a lógica de inspeção de tráfego para incluir o serviço de filtragem de URLs.
Como funciona o serviço de filtragem de URLs
O serviço de filtragem de URLs processa o tráfego HTTP(S) na seguinte sequência:
O serviço de filtragem de URLs aplica regras de política de firewall ao tráfego de e para as instâncias de VM ou os clusters do Google Kubernetes Engine (GKE) na rede.
O serviço de filtragem de URLs interceta e envia o tráfego correspondente para o ponto final da firewall para inspeção da camada 7.
Para o tráfego encriptado em que a inspeção TLS está ativada, o serviço de filtragem de URLs desencripta os cabeçalhos das mensagens e usa o domínio especificado no cabeçalho do anfitrião juntamente com o SNI enviado durante a negociação TLS para verificar se existe uma correspondência com os URLs configurados.
Se o tráfego estiver encriptado, mas a inspeção TLS não estiver ativada, o cabeçalho da mensagem permanece encriptado. Em alternativa, o serviço de filtragem de URLs usa o domínio especificado no SNI durante a negociação de TLS.
Para o tráfego não encriptado, o serviço de filtragem de URLs usa sempre o domínio especificado no cabeçalho do anfitrião para verificar se existe uma correspondência.
Se as informações do URL corresponderem, o serviço de filtragem de URLs executa a ação configurada no perfil de segurança nessa ligação.
Se o serviço de filtragem de URLs permitir o tráfego de saída, o serviço de deteção e prevenção de intrusões (se ativado) pode analisar ainda mais o tráfego em busca de ameaças.
Limitações
A filtragem de URLs só suporta
http/1.xehttp/2. Não suporta QUIC, SNI encriptado (ESNI) nem Encrypted Client Hello (ECH) com a inspeção TLS ativada.Se ativar a inspeção TLS, o Cloud NGFW não passa tráfego QUIC, ESNI nem ECH. No entanto, se desativar a inspeção TLS, o Cloud NGFW passa esse tráfego sem acesso ao domínio e às informações SNI. Neste cenário, a NGFW na nuvem permite o tráfego QUIC, ESNI e ECH apenas quando está disponível um filtro de URL de permissão explícito. Na ausência de um filtro de permissão explícito, o filtro de URL de negação implícita predefinido bloqueia o tráfego QUIC, ESNI e ECH. Para mais informações sobre os filtros de URLs de permissão explícita e negação implícita, consulte o artigo Filtro de URLs de negação implícita.