Configure o serviço de deteção e prevenção de intrusões

Para ativar o serviço de deteção e prevenção de intrusões na sua rede, tem de configurar vários componentes da firewall de nova geração da Google Cloud. Este documento fornece um fluxo de trabalho de alto nível que descreve como configurar estes componentes e ativar a deteção e a prevenção de ameaças.

Configure o serviço de deteção e prevenção de intrusões sem inspeção TLS

Para configurar o serviço de deteção e prevenção de intrusões na sua rede, execute as seguintes tarefas.

necessários.

  1. Crie um perfil de segurança do tipo Threat prevention. Configure substituições de ameaças ou gravidade conforme exigido pela sua rede. Pode criar um ou mais perfis. Para saber como criar perfis de segurança, consulte o artigo Crie um perfil de segurança.

  2. Crie um grupo de perfis de segurança com o perfil de segurança criado no passo anterior. Para saber como criar um grupo de perfis de segurança, consulte o artigo Crie um grupo de perfis de segurança.

  3. Crie um ponto final de firewall na mesma zona que as suas cargas de trabalho onde quer ativar a prevenção de ameaças. Para saber como criar um ponto final de firewall, consulte o artigo Crie um ponto final de firewall.

  4. Associe o ponto final da firewall a uma ou mais redes VPC onde quer ativar a deteção e a prevenção de ameaças. Certifique-se de que está a executar as cargas de trabalho na mesma zona que o ponto final da firewall. Para saber como associar um ponto final de firewall a uma rede da VPC, consulte o artigo Crie associações de pontos finais de firewall.

  5. Pode usar políticas de firewall de rede globais ou políticas de firewall hierárquicas para configurar o serviço de deteção e prevenção de intrusões.

    • Numa política de firewall global nova ou existente, adicione uma regra de política de firewall com a inspeção da camada 7 ativada (ação apply_security_profile_group) e especifique o nome do grupo de perfis de segurança que criou no passo anterior. Certifique-se de que a política de firewall está associada à mesma rede VPC que as cargas de trabalho que requerem inspeção. Para saber mais acerca da política de firewall de rede global e dos parâmetros necessários para criar uma regra de política de firewall com a prevenção de ameaças ativada, consulte os artigos Crie uma política de firewall de rede global e Crie regras de política de firewall de rede global.

    • Também pode usar uma política de firewall hierárquica para adicionar uma regra de política de firewall com um grupo de perfis de segurança configurado. Para saber mais acerca dos parâmetros necessários para criar regras de políticas de firewall hierárquicas com a prevenção de ameaças ativada, consulte o artigo Crie regras de firewall.

Configure o serviço de deteção e prevenção de intrusões com inspeção TLS

Para configurar o serviço de deteção e prevenção de intrusões com a inspeção do protocolo Transport Layer Security (TLS) na sua rede, execute as seguintes tarefas.

necessários.

  1. Crie um perfil de segurança do tipo Threat prevention. Configure substituições de ameaças ou gravidade conforme exigido pela sua rede. Pode criar um ou mais perfis. Para saber como criar perfis de segurança, consulte o artigo Crie um perfil de segurança.

  2. Crie um grupo de perfis de segurança com o perfil de segurança criado no passo anterior. Para saber como criar um grupo de perfis de segurança, consulte o artigo Crie um grupo de perfis de segurança.

  3. Crie um conjunto de CAs e uma configuração de confiança, e adicione-os à sua política de inspeção TLS. Para saber como ativar a inspeção TLS no Cloud NGFW, consulte o artigo Configure a inspeção TLS.

  4. Crie um ponto final de firewall na mesma zona que as suas cargas de trabalho onde quer ativar a prevenção de ameaças. Para saber como criar um ponto final de firewall, consulte o artigo Crie um ponto final de firewall.

  5. Associe o ponto final da firewall a uma ou mais redes VPC onde quer ativar a deteção e a prevenção de ameaças. Adicione a política de inspeção TLS criada no passo anterior à associação do ponto final da firewall. Certifique-se de que está a executar as cargas de trabalho na mesma zona que o ponto final da firewall.

    Para saber como associar um ponto final de firewall a uma rede VPC e ativar a inspeção TLS, consulte o artigo Crie associações de pontos finais de firewall.

  6. Pode usar políticas de firewall de rede globais ou políticas de firewall hierárquicas para configurar o serviço de deteção e prevenção de intrusões.

    • Numa política de firewall global nova ou existente, adicione uma regra de política de firewall com a inspeção da camada 7 ativada (ação apply_security_profile_group) e especifique o nome do grupo de perfis de segurança que criou no passo anterior. Para ativar a inspeção TLS, especifique a flag --tls-inspect. Certifique-se de que a política de firewall está associada à mesma rede VPC que as cargas de trabalho que requerem inspeção. Para saber mais acerca da política de firewall de rede global e dos parâmetros necessários para criar uma regra de política de firewall com a prevenção de ameaças ativada, consulte os artigos Crie uma política de firewall de rede global e Crie regras de política de firewall de rede global.

    • Também pode usar uma política de firewall hierárquica para adicionar uma regra de política de firewall com um grupo de perfis de segurança configurado. Para saber mais acerca dos parâmetros necessários para criar regras de políticas de firewall hierárquicas com a prevenção de ameaças ativada, consulte o artigo Crie regras de firewall.

Exemplo de modelo de implementação

A Figura 1 mostra uma implementação de exemplo com o serviço de deteção e prevenção de intrusões configurado para duas redes VPC na mesma região, mas duas zonas diferentes.

Implemente um serviço de deteção e prevenção de intrusões numa região.
Figura 1. Implemente o serviço de deteção e prevenção de intrusões numa região (clique para aumentar).

A implementação de exemplo tem a seguinte configuração de prevenção contra ameaças:

  1. Dois grupos de perfis de segurança:

    1. Security profile group 1 com perfil de segurança Security profile 1.

    2. Security profile group 2 com perfil de segurança Security profile 2.

  2. A VPC do cliente 1 (VPC 1) tem uma política de firewall com um grupo de perfis de segurança definido como Security profile group 1.

  3. A VPC do cliente 2 (VPC 2) tem uma política de firewall com um grupo de perfis de segurança definido como Security profile group 2.

  4. O ponto final do firewall Firewall endpoint 1 realiza a deteção e a prevenção de ameaças para cargas de trabalho em execução no VPC 1 e no VPC 2 na zona us-west1-a.

  5. O ponto final da firewall Firewall endpoint 2 realiza a deteção e a prevenção de ameaças com a inspeção TLS ativada para cargas de trabalho em execução em VPC 1 e VPC 2 na zona us-west1-b.

O que se segue?