Visão geral do serviço de filtragem de URL

O serviço de filtragem de URL do Cloud Next Generation Firewall permite controlar o acesso a sites e páginas da Web bloqueando ou permitindo os URLs. Ele permite filtrar o tráfego de carga de trabalho usando informações de domínio e indicação de nome do servidor (SNI) disponíveis nas mensagens HTTP(S) de saída.

Como o serviço de filtragem de URL inspeciona os cabeçalhos de mensagens HTTP, é possível usá-lo para bloquear o acesso a domínios específicos, mesmo quando o servidor de destino hospeda sites confiáveis que você não quer bloquear ou quando as restrições de acesso baseadas em DNS são ineficazes. É possível usar o serviço de filtragem de URL com o serviço de detecção e prevenção de intrusões para negar tráfego a URLs maliciosos, impedir o acesso a servidores maliciosos de comando e controle (C2) e detectar malware em arquivos executáveis.

O serviço de filtragem de URL do Cloud NGFW cria endpoints de firewall zonais gerenciados pelo Google que usam a tecnologia de interceptação de pacotes do Google Cloudpara redirecionar e inspecionar o tráfego em busca de uma correspondência com uma lista de nomes de domínio e SNIs configurados.

A interceptação de pacotes é um recurso do Google Cloud que insere dispositivos de rede de maneira transparente no caminho do tráfego de rede selecionado, sem modificar as políticas de roteamento atuais.

Benefícios de usar o serviço de filtragem de URL

O serviço de filtragem de URL ajuda a reduzir a manutenção necessária causada por mudanças frequentes de endereços IP, por alterações de DNS e por outras alterações demoradas de firewall com base em endereços IP. Com ele, você tem controle preciso sobre quais URLs remotos pode acessar. Ele permite um controle mais preciso do que é possível com endereços IP, que podem hospedar vários serviços e domínios.

Inspeção TLS

O serviço de filtragem de URL pode processar tráfego criptografado e não criptografado. Para tráfego criptografado, configure a inspeção TLS para permitir que o serviço de filtragem de URL descriptografe os cabeçalhos das mensagens e inspecione o nome de domínio no cabeçalho do host da mensagem.

O serviço de filtragem de URL pode usar os detalhes do domínio com o SNI de texto simples enviado durante a negociação de TLS para encontrar uma correspondência com os URLs configurados definidos pelo perfil de segurança associado.

Sem a inspeção TLS, o serviço de filtragem de URL ainda pode processar o tráfego HTTP(S) criptografado, mas depende apenas do SNI de clientHello durante a negociação TLS para correspondência de URL. Para tráfego HTTP não criptografado, o serviço de filtragem de URL usa o cabeçalho de host HTTP para filtragem de URL, independente de você ter ativado a inspeção TLS.

O Cloud NGFW só é compatível com a interceptação e descriptografia de TLS para acessar as informações de domínio no cabeçalho do host do tráfego criptografado selecionado.

O serviço de filtragem de URL inspeciona as conexões de entrada e saída, incluindo o tráfego de e para a Internet e o tráfego dentro do Google Cloud.

Para saber mais sobre a inspeção de TLS no Cloud NGFW, consulte Visão geral da inspeção de TLS.

Para saber como ativar a inspeção de TLS no Cloud NGFW, consulte Configurar inspeção de TLS.

Modelo de implantação do serviço de filtragem de URL

O diagrama a seguir mostra um exemplo da implantação do serviço de filtragem de URL com um endpoint de firewall, configurado para uma rede de nuvem privada virtual (VPC) em duas zonas diferentes de uma região.

Exemplo de modelo de implantação do serviço de filtragem de URL.
Exemplo de modelo de implantação do serviço de filtragem de URL (clique para ampliar).

Componentes do serviço de filtragem de URL

O serviço de filtragem de URL exige três entidades principais que precisam ser configuradas. O perfil de segurança de filtragem de URL e o grupo de perfis de segurança associado, um endpoint de firewall para receber tráfego e as políticas de firewall anexadas ao endpoint.

Perfis de segurança e grupos de perfis de segurança

O Cloud NGFW usa perfis de segurança e grupos de perfis de segurança para implementar o serviço de filtragem de URL.

  • Os perfis de segurança de filtragem de URL são estruturas de política genéricas do tipo url-filtering que incluem filtros de URL com strings de correspondência. O serviço de filtragem de URL usa essas strings para corresponder ao nome de domínio e ao SNI da mensagem HTTP(S). Cada filtro de URL contém uma lista de strings de correspondência, uma prioridade exclusiva e uma ação.

    Para saber mais sobre perfis de segurança de filtragem de URL, consulte Perfil de segurança de filtragem de URL.

  • Os grupos de perfis de segurança funcionam como contêineres para perfis de segurança. Cada grupo contém um ou mais perfis de segurança de tipos diferentes. Por exemplo, um grupo de perfis de segurança pode conter perfis de segurança dos tipos url-filtering e threat-prevention. Uma regra de política de firewall faz referência a um grupo de perfis de segurança para ativar o serviço de filtragem de URL ou o serviço de detecção e prevenção de intrusão, ou ambos, para o tráfego de rede.

    Para saber mais sobre grupos de perfis de segurança, consulte Visão geral do grupo de perfis de segurança.

Endpoint de firewall

Um endpoint de firewall é um recurso organizacional criado no nível zonal que pode inspecionar o tráfego da camada 7 na mesma zona em que é implantado. Os endpoints estão associados a uma ou mais VPCs na mesma zona. Para filtrar o tráfego de uma instância de máquina virtual (VM) de destino, crie o endpoint de firewall na mesma zona da VPC em que a VM de destino está localizada.

Para o serviço de filtragem de URL, o endpoint de firewall corresponde ao domínio do cabeçalho do host da mensagem ou ao SNI obtido durante a negociação TLS para tráfego criptografado sem inspeção TLS, em relação aos filtros de URL no perfil de segurança de filtragem de URL. Se o endpoint detectar uma correspondência, ele vai realizar a ação associada ao filtro de URL na conexão. Ela pode ser a ação padrão ou uma ação configurada no perfil de segurança de filtragem de URL.

Para saber mais sobre endpoints de firewall e como configurá-los, consulte Informações gerais sobre o endpoint de firewall.

Políticas de firewall

As políticas de firewall se aplicam diretamente a todo o tráfego de entrada e saída de uma VM. É possível usar políticas hierárquicas de firewall e políticas globais de firewall da rede para configurar regras de política de firewall com inspeção da camada 7.

Regras da política de firewall

As regras da política de firewall permitem controlar o tipo de tráfego que é interceptado e inspecionado. Para configurar o serviço de filtragem de URL, crie uma regra de política de firewall que faça o seguinte:

  • Identifica o tipo de tráfego a ser inspecionado usando vários componentes da regra de política de firewall da camada 3 e 4.
  • Especifica o nome do grupo de perfis de segurança para a ação apply_security_profile_group no tráfego correspondente.

Para o fluxo de trabalho completo do serviço de filtragem de URL, consulte Configurar o serviço de filtragem de URL.

Também é possível usar tags seguras em regras de firewall para configurar o serviço de filtragem de URL. É possível criar em qualquer segmentação que você tenha configurado usando tags na rede e aprimorar a lógica de inspeção de tráfego para incluir o serviço de filtragem de URL.

Como funciona o serviço de filtragem de URL

O serviço de filtragem de URL processa o tráfego HTTP(S) na seguinte sequência:

  1. O serviço de filtragem de URL aplica regras de política de firewall ao tráfego de e para as instâncias de VM ou clusters do Google Kubernetes Engine (GKE) na rede.

  2. O serviço de filtragem de URL intercepta e envia o tráfego correspondente ao endpoint do firewall para inspeção da camada 7.

  3. Para o tráfego criptografado em que a inspeção TLS está ativada, o serviço de filtragem de URL descriptografa os cabeçalhos das mensagens e usa o domínio especificado no cabeçalho do host com o SNI enviado durante a negociação TLS para verificar uma correspondência com os URLs configurados.

    Se o tráfego estiver criptografado, mas a inspeção TLS não estiver ativada, o cabeçalho da mensagem vai permanecer criptografado. Em vez disso, o serviço de filtragem de URL usa o domínio especificado no SNI durante a negociação de TLS.

    Para tráfego não criptografado, o serviço de filtragem de URL sempre usa o domínio especificado no cabeçalho do host para verificar uma correspondência.

  4. Se as informações do URL corresponderem, o serviço de filtragem de URL vai executar a ação configurada no perfil de segurança nessa conexão.

    Se o serviço de filtragem de URL permitir o tráfego de saída, o serviço de detecção e prevenção de intrusões (se ativado) poderá verificar ainda mais o tráfego em busca de ameaças.

Limitações

  • A filtragem de URL só é compatível com http/1.x e http/2. Ele não é compatível com QUIC, SNI criptografado (ESNI) ou ClientHello criptografado (ECH) com a inspeção TLS ativada.

    Se você ativar a inspeção TLS, o Cloud NGFW não vai transmitir o tráfego QUIC, ESNI ou ECH. No entanto, se você desativar a inspeção TLS, o Cloud NGFW vai transmitir esse tráfego sem acesso ao domínio e às informações de SNI. Nesse cenário, o Cloud NGFW permite o tráfego QUIC, ESNI e ECH somente quando um filtro de URL de permissão explícita está disponível. Na ausência de um filtro de permissão explícito, o filtro de URL de negação implícita padrão bloqueia o tráfego QUIC, ESNI e ECH. Para mais informações sobre filtros de URL de permissão explícita e proibição implícita, consulte Filtro de URL de proibição implícita.

A seguir