Para habilitar el servicio de prevención de intrusiones en tu red, debes configurar varios componentes de Cloud Next Generation Firewall. En este documento, se proporciona un flujo de trabajo de alto nivel en el que se describe cómo configurar estos componentes y habilitar la detección y prevención de amenazas.
Configura el servicio de prevención de intrusiones sin inspección de TLS
Para configurar el servicio de prevención de intrusiones en tu red, realiza las siguientes tareas.
Crea un perfil de seguridad de tipo
Threat prevention
. Configura las anulaciones de gravedad o amenaza según lo requiera tu red. Puedes crear uno o más perfiles. Para obtener información sobre cómo crear perfiles de seguridad, consulta Crea un perfil de seguridad.Crea un grupo de perfiles de seguridad con el perfil de seguridad creado en el paso anterior. Si quieres obtener información sobre cómo crear un grupo de perfiles de seguridad, consulta Crea un grupo de perfiles de seguridad.
Crea un extremo de firewall en la misma zona en la que están tus cargas de trabajo en las que deseas habilitar la prevención de amenazas. Para obtener información sobre cómo crear un extremo de firewall, consulta Crea un extremo de firewall.
Asocia el extremo de firewall con una o más redes de VPC en las que deseas habilitar la detección y prevención de amenazas. Asegúrate de ejecutar las cargas de trabajo en la misma zona que el extremo del firewall. Para obtener información sobre cómo asociar un extremo de firewall con una red de VPC, consulta Crea asociaciones de extremos de firewall.
Puedes usar políticas de firewall de red globales o políticas de firewall jerárquicas para configurar el servicio de prevención de intrusiones.
En una política de firewall global nueva o existente, agrega una regla de política de firewall con la inspección de capa 7 habilitada (acción
apply_security_profile_group
) y especifica el nombre del grupo de perfil de seguridad que creaste en el paso anterior. Asegúrate de que la política de firewall esté asociada con la misma red de VPC que las cargas de trabajo que requieren inspección. Si deseas obtener más información sobre los parámetros necesarios para crear una regla de política de firewall con la prevención de amenazas habilitada, consulta Crea reglas de políticas de firewall de red globales.También puedes usar una política de firewall jerárquica para agregar una regla de política de firewall con un grupo de perfil de seguridad configurado. Si deseas obtener más información sobre los parámetros necesarios para crear reglas de políticas de firewall jerárquicas con la prevención de amenazas habilitada, consulta Crea reglas de firewall.
Configura el servicio de prevención de intrusiones con una inspección de TLS
Para configurar el servicio de prevención de intrusiones con la inspección de seguridad de la capa de transporte (TLS) en tu red, realiza las siguientes tareas.
Crea un perfil de seguridad de tipo
Threat prevention
. Configura las anulaciones de gravedad o amenaza según lo requiera tu red. Puedes crear uno o más perfiles. Para obtener información sobre cómo crear perfiles de seguridad, consulta Crea un perfil de seguridad.Crea un grupo de perfiles de seguridad con el perfil de seguridad creado en el paso anterior. Si quieres obtener información sobre cómo crear un grupo de perfiles de seguridad, consulta Crea un grupo de perfiles de seguridad.
Crea un grupo de CA y una configuración de confianza y agrégalos a tu política de inspección de TLS. Para obtener información sobre cómo habilitar la inspección de TLS en Cloud NGFW, consulta Configura la inspección de TLS.
Crea un extremo de firewall en la misma zona en la que están tus cargas de trabajo en las que deseas habilitar la prevención de amenazas. Para obtener información sobre cómo crear un extremo de firewall, consulta Crea un extremo de firewall.
Asocia el extremo de firewall con una o más redes de VPC en las que deseas habilitar la detección y prevención de amenazas. Agrega la política de inspección de TLS que creaste en el paso anterior a la asociación del extremo de firewall. Asegúrate de ejecutar las cargas de trabajo en la misma zona que el extremo del firewall.
Para obtener información sobre cómo asociar un extremo de firewall con una red de VPC y habilitar la inspección de TLS, consulta Crea una asociación de extremo de firewall.
Puedes usar políticas de firewall de red globales o políticas de firewall jerárquicas para configurar un servicio de prevención de intrusiones.
En una política de firewall global nueva o existente, agrega una regla de política de firewall con la inspección de capa 7 habilitada (acción
apply_security_profile_group
) y especifica el nombre del grupo de perfil de seguridad que creaste en el paso anterior. Para habilitar la inspección de TLS, especifica la marca--tls-inspect
. Asegúrate de que la política de firewall esté asociada con la misma red de VPC que las cargas de trabajo que requieren inspección. Si deseas obtener más información sobre los parámetros necesarios para crear una regla de política de firewall con la prevención de amenazas habilitada, consulta Crea reglas de políticas de firewall de red globales.También puedes usar una política de firewall jerárquica para agregar una regla de política de firewall con un grupo de perfil de seguridad configurado. Si deseas obtener más información sobre los parámetros necesarios para crear reglas de políticas de firewall jerárquicas con la prevención de amenazas habilitada, consulta Crea reglas de firewall.
Ejemplo de modelo de implementación
En la figura 1, se muestra un ejemplo de implementación con el servicio de prevención de intrusiones configurado para dos redes de VPC en la misma región, pero en dos zonas diferentes.
La implementación de ejemplo tiene la siguiente configuración de prevención de amenazas:
Dos grupos de perfiles de seguridad:
Security profile group 1
con el perfil de seguridadSecurity profile 1
.Security profile group 2
con el perfil de seguridadSecurity profile 2
.
La VPC 1 del cliente (
VPC 1
) tiene una política de firewall con el grupo de perfil de seguridad configurado comoSecurity profile group 1
.La VPC 2 del cliente (
VPC 2
) tiene una política de firewall con el grupo de perfil de seguridad configurado comoSecurity profile group 2
.El extremo de firewall
Firewall endpoint 1
realiza la detección y prevención de amenazas para las cargas de trabajo que se ejecutan enVPC 1
yVPC 2
en la zonaus-west1-a
.El extremo de firewall
Firewall endpoint 2
realiza la detección y prevención de amenazas con la inspección de TLS habilitada para las cargas de trabajo que se ejecutan enVPC 1
yVPC 2
en la zonaus-west1-b
.
¿Qué sigue?
- Descripción general del perfil de seguridad
- Descripción general del grupo de perfiles de seguridad
- Descripción general del extremo de firewall