Pour activer le service de prévention des intrusions sur votre réseau, vous devez configurer plusieurs composants de Cloud Next Generation Firewall. Ce document fournit un workflow de haut niveau décrivant comment configurer ces composants et comment activer la détection et la prévention des menaces.
Configurer le service de prévention des intrusions sans l'inspection TLS
Pour configurer le service de prévention des intrusions sur votre réseau, procédez comme suit :
Créez un profil de sécurité de type
Threat prevention
. Configurez des remplacements de menaces ou de niveau de gravité selon les exigences de votre réseau. Vous pouvez créer un ou plusieurs profils. Pour savoir comment créer un profil de sécurité, consultez la section Créer un profil de sécurité.Créez un groupe de profils de sécurité avec le profil de sécurité créé à l'étape précédente. Pour savoir comment créer un groupe de profils de sécurité, consultez la section Créer un groupe de profils de sécurité.
Créez un point de terminaison de pare-feu dans la même zone que vos charges de travail pour lesquelles vous souhaitez activer la prévention des menaces. Pour savoir comment créer un point de terminaison de pare-feu, consultez la section Créer un point de terminaison de pare-feu.
Associez le point de terminaison de pare-feu à un ou plusieurs réseaux VPC dans lesquels vous souhaitez activer la détection et la prévention des menaces. Assurez-vous que vous exécutez vos charges de travail dans la même zone que le point de terminaison de pare-feu. Pour savoir comment associer un point de terminaison de pare-feu à un réseau VPC, consultez Créer des associations de points de terminaison de pare-feu.
Vous pouvez utiliser des stratégies de pare-feu de réseau au niveau mondial ou des stratégies de pare-feu hiérarchiques pour configurer le service de prévention des intrusions.
Dans une stratégie de pare-feu mondiale, nouvelle ou existante, ajoutez une règle de stratégie de pare-feu avec l'inspection de couche 7 activée (action
apply_security_profile_group
) et spécifiez le nom du groupe de profils de sécurité que vous avez créé précédemment. Assurez-vous que la stratégie de pare-feu est associée au même réseau VPC que les charges de travail qui nécessitent une inspection. Pour en savoir plus sur la stratégie de pare-feu réseau mondiale et les paramètres requis pour créer une règle de stratégie de pare-feu avec la prévention des menaces activée, consultez Créer une stratégie de pare-feu réseau mondiale et Créer des règles de stratégie de pare-feu réseau mondiale.Vous pouvez également utiliser une stratégie de pare-feu hiérarchique pour ajouter une règle de stratégie de pare-feu avec un groupe de profils de sécurité configuré. Pour en savoir plus sur les paramètres requis pour créer des règles de stratégies de pare-feu hiérarchiques avec la prévention des menaces activée, consultez la section Créer des règles de pare-feu.
Configurer le service de prévention des intrusions avec l'inspection TLS
Pour configurer le service de prévention des intrusions avec l'inspection TLS (Transport Layer Security) sur votre réseau, procédez comme suit.
Créez un profil de sécurité de type
Threat prevention
. Configurez des remplacements de menaces ou de niveau de gravité selon les exigences de votre réseau. Vous pouvez créer un ou plusieurs profils. Pour savoir comment créer un profil de sécurité, consultez la section Créer un profil de sécurité.Créez un groupe de profils de sécurité avec le profil de sécurité créé à l'étape précédente. Pour savoir comment créer un groupe de profils de sécurité, consultez la section Créer un groupe de profils de sécurité.
Créez un pool d'autorités de certification et une configuration de confiance, puis ajoutez-les à votre règle d'inspection TLS. Pour savoir comment activer l'inspection TLS dans Cloud NGFW, consultez la section Configurer l'inspection TLS.
Créez un point de terminaison de pare-feu dans la même zone que vos charges de travail pour lesquelles vous souhaitez activer la prévention des menaces. Pour savoir comment créer un point de terminaison de pare-feu, consultez la section Créer un point de terminaison de pare-feu.
Associez le point de terminaison de pare-feu à un ou plusieurs réseaux VPC dans lesquels vous souhaitez activer la détection et la prévention des menaces. Ajoutez la règle d'inspection TLS que vous avez créée à l'étape précédente à l'association de point de terminaison de pare-feu. Assurez-vous que vous exécutez vos charges de travail dans la même zone que le point de terminaison de pare-feu.
Pour savoir comment associer un point de terminaison de pare-feu à un réseau VPC et comment activer l'inspection TLS, consultez Créer des associations de points de terminaison de pare-feu.
Vous pouvez utiliser des stratégies de pare-feu de réseau au niveau mondial ou des stratégies de pare-feu hiérarchiques pour configurer un service de prévention des intrusions.
Dans une stratégie de pare-feu mondiale, nouvelle ou existante, ajoutez une règle de stratégie de pare-feu avec l'inspection de couche 7 activée (action
apply_security_profile_group
) et spécifiez le nom du groupe de profils de sécurité que vous avez créé précédemment. Pour activer l'inspection TLS, spécifiez l'option--tls-inspect
. Assurez-vous que la stratégie de pare-feu est associée au même réseau VPC que les charges de travail qui nécessitent une inspection. Pour en savoir plus sur la stratégie de pare-feu réseau mondiale et les paramètres requis pour créer une règle de stratégie de pare-feu avec la prévention des menaces activée, consultez Créer une stratégie de pare-feu réseau mondiale et Créer des règles de stratégie de pare-feu réseau mondiale.Vous pouvez également utiliser une stratégie de pare-feu hiérarchique pour ajouter une règle de stratégie de pare-feu avec un groupe de profils de sécurité configuré. Pour en savoir plus sur les paramètres requis pour créer des règles de stratégies de pare-feu hiérarchiques avec la prévention des menaces activée, consultez la section Créer des règles de pare-feu.
Exemple de modèle de déploiement
La figure 1 montre un exemple de déploiement avec un service de prévention des intrusions configuré pour deux réseaux VPC dans la même région mais dans deux zones différentes.
L'exemple de déploiement présente la configuration de prévention des menaces suivante :
Deux groupes de profils de sécurité :
Security profile group 1
avec le profil de sécuritéSecurity profile 1
.Security profile group 2
avec le profil de sécuritéSecurity profile 2
.
Le VPC client 1 (
VPC 1
) dispose d'une stratégie de pare-feu avec le groupe de profils de sécurité défini surSecurity profile group 1
.Le VPC client 2 (
VPC 2
) dispose d'une stratégie de pare-feu avec le groupe de profils de sécurité défini surSecurity profile group 2
.Le point de terminaison de pare-feu
Firewall endpoint 1
effectue la détection et la prévention des menaces pour les charges de travail exécutées surVPC 1
etVPC 2
dans la zoneus-west1-a
.Le point de terminaison de pare-feu
Firewall endpoint 2
effectue la détection et la prévention des menaces avec l'inspection TLS activée pour les charges de travail exécutées surVPC 1
etVPC 2
dans la zoneus-west1-b
.
Étapes suivantes
- Présentation du profil de sécurité
- Présentation des groupes de profils de sécurité
- Présentation des points de terminaison de pare-feu