Configurar o serviço de prevenção de invasões

Para ativar o serviço de prevenção de invasões na rede, você precisa configurar vários componentes do Cloud Next Generation Firewall. Veja neste documento um fluxo de trabalho de alto nível que descreve como configurar esses componentes e ativar a detecção e a prevenção de ameaças.

Configurar o serviço de prevenção de invasões sem a inspeção TLS

Para configurar o serviço de prevenção contra invasões na sua rede, execute as tarefas a seguir.

  1. Crie um perfil de segurança do tipo Threat prevention. Configure as modificações de ameaças ou gravidade conforme exigido pela sua rede. É possível criar um ou mais perfis. Para saber como criar perfis de segurança, consulte Criar um perfil de segurança.

  2. Crie um grupo de perfis de segurança com o perfil criado na etapa anterior. Para saber como criar um grupo de perfis de segurança, consulte Criar um grupo de perfis de segurança.

  3. Crie um endpoint de firewall na mesma zona das cargas de trabalho em que você quer ativar a prevenção de ameaças. Para saber como criar um endpoint de firewall, consulte Criar um endpoint de firewall.

  4. Associe o endpoint do firewall a uma ou mais redes VPC em que você quer ativar a detecção e a prevenção de ameaças. Verifique se as cargas de trabalho estão sendo executadas na mesma zona que o endpoint de firewall. Para saber como associar um endpoint de firewall a uma rede VPC, consulte Criar associações de endpoints de firewall.

  5. É possível usar políticas globais de firewall de rede ou políticas hierárquicas de firewall para configurar o serviço de prevenção de invasões.

    • Em uma política de firewall global nova ou existente, adicione uma regra de política de firewall com a inspeção da camada 7 ativada (ação apply_security_profile_group) e especifique o nome do grupo de perfis de segurança que você criou na etapa anterior. Verifique se a política de firewall está associada à mesma rede VPC que as cargas de trabalho que exigem inspeção. Para saber mais sobre os parâmetros necessários para criar uma regra de política de firewall com a prevenção de ameaças ativada, consulte Criar regras de política de firewall de rede global.

    • Também é possível usar uma política hierárquica de firewall para adicionar uma regra de política de firewall com um grupo de perfis de segurança configurado. Para saber mais sobre os parâmetros necessários para criar regras hierárquicas de política de firewall com a prevenção de ameaças ativada, consulte Criar regras de firewall.

Configurar o serviço de prevenção de invasões com a inspeção de TLS

Para configurar o serviço de prevenção de invasões com a inspeção de Transport Layer Security (TLS) na rede, execute as tarefas a seguir.

  1. Crie um perfil de segurança do tipo Threat prevention. Configure as modificações de ameaças ou gravidade conforme exigido pela sua rede. É possível criar um ou mais perfis. Para saber como criar perfis de segurança, consulte Criar um perfil de segurança.

  2. Crie um grupo de perfis de segurança com o perfil criado na etapa anterior. Para saber como criar um grupo de perfis de segurança, consulte Criar um grupo de perfis de segurança.

  3. Crie um pool de CAs e uma configuração de confiança e adicione-os à política de inspeção de TLS. Para saber como ativar a inspeção de TLS no Cloud NGFW, consulte Configurar inspeção de TLS.

  4. Crie um endpoint de firewall na mesma zona das cargas de trabalho em que você quer ativar a prevenção de ameaças. Para saber como criar um endpoint de firewall, consulte Criar um endpoint de firewall.

  5. Associe o endpoint do firewall a uma ou mais redes VPC em que você quer ativar a detecção e a prevenção de ameaças. Adicione a política de inspeção de TLS que você criou na etapa anterior à associação de endpoint do firewall. Verifique se as cargas de trabalho estão sendo executadas na mesma zona que o endpoint de firewall.

    Para saber como associar um endpoint de firewall a uma rede VPC e ativar a inspeção de TLS, consulte Criar associações de endpoint de firewall.

  6. É possível usar políticas globais de firewall de rede ou políticas hierárquicas de firewall para configurar um serviço de prevenção de invasões.

    • Em uma política de firewall global nova ou existente, adicione uma regra de política de firewall com a inspeção da camada 7 ativada (ação apply_security_profile_group) e especifique o nome do grupo de perfis de segurança que você criou na etapa anterior. Para ativar a inspeção de TLS, especifique a sinalização --tls-inspect. Verifique se a política de firewall está associada à mesma rede VPC que as cargas de trabalho que exigem inspeção. Para saber mais sobre os parâmetros necessários para criar uma regra de política de firewall com a prevenção de ameaças ativada, consulte Criar regras de política de firewall de rede global.

    • Também é possível usar uma política hierárquica de firewall para adicionar uma regra de política de firewall com um grupo de perfis de segurança configurado. Para saber mais sobre os parâmetros necessários para criar regras hierárquicas de política de firewall com a prevenção de ameaças ativada, consulte Criar regras de firewall.

Exemplo de modelo de implantação

A Figura 1 mostra um exemplo de implantação com serviço de prevenção de invasões configurado para duas redes VPC na mesma região, mas em duas zonas diferentes.

Implante o serviço de prevenção de intrusões em uma região.
Figura 10. Implante o serviço de prevenção de invasões em uma região (clique para ampliar).

A implantação de exemplo tem a seguinte configuração de prevenção de ameaças:

  1. Dois grupos de perfis de segurança:

    1. Security profile group 1 com o perfil de segurança Security profile 1.

    2. Security profile group 2 com o perfil de segurança Security profile 2.

  2. A VPC 1 do cliente (VPC 1) tem uma política de firewall com o grupo de perfis de segurança definido como Security profile group 1.

  3. A VPC 2 do cliente (VPC 2) tem uma política de firewall com o grupo de perfis de segurança definido como Security profile group 2.

  4. O endpoint de firewall Firewall endpoint 1 realiza a detecção e a prevenção de ameaças para cargas de trabalho em execução no VPC 1 e VPC 2 na zona us-west1-a.

  5. O endpoint de firewall Firewall endpoint 2 realiza a detecção e a prevenção de ameaças com a inspeção de TLS ativada para cargas de trabalho em execução no VPC 1 e VPC 2 na zona us-west1-b.

A seguir