Per attivare il servizio di prevenzione delle intrusioni nella tua rete, devi configurare più componenti firewall di nuova generazione Cloud. Questo documento fornisce un workfow di alto livello che descrive come configurare questi componenti e attivare il rilevamento e la prevenzione delle minacce.
Configurare il servizio di prevenzione delle intrusioni senza ispezione TLS
Per configurare il servizio di prevenzione delle intrusioni nella rete, svolgi le seguenti attività.
Crea un profilo di sicurezza di tipo
Threat prevention
. Configura le sostituzioni di minacce o gravità in base alle esigenze della tua rete. Puoi crearne uno o più profili. Per scoprire come creare profili di sicurezza, consulta Creare un profilo di sicurezza.Crea un gruppo di profili di sicurezza con il profilo di sicurezza creato in passaggio precedente. Per scoprire come creare un gruppo di profili di sicurezza, consulta Creare un gruppo di profili di sicurezza.
Crea un endpoint firewall nella stessa zona dei carichi di lavoro in cui vuoi attivare la prevenzione delle minacce. Per scoprire come creare un endpoint firewall, consulta Creare un endpoint firewall.
Associa l'endpoint firewall a una o più reti VPC in cui vuoi abilitare il rilevamento e la prevenzione delle minacce. Assicurati di eseguire i carichi di lavoro nella stessa zona dell'endpoint del firewall. Per scoprire come associare un endpoint firewall a una rete VPC, consulta Creare associazioni di endpoint firewall.
Puoi utilizzare i criteri firewall di rete globali o criteri firewall gerarchici e configurare il servizio di prevenzione delle intrusioni.
In un criterio firewall globale nuovo o esistente, aggiungi una regola del criterio firewall con Ispezione di livello 7 abilitata (azione
apply_security_profile_group
) e specifica il nome del gruppo di profili di sicurezza che hai creato nel passaggio precedente. Assicurati che il criterio del firewall sia associato alla stessa rete VPC dei carichi di lavoro che richiedono l'ispezione. Per scoprire di più sul criterio firewall di rete globale e sui parametri necessari per creare una regola del criterio firewall con la prevenzione delle minacce abilitata, consulta Creare un criterio firewall di rete globale e Creare regole del criterio firewall di rete globale.Puoi anche usare un criterio firewall gerarchico per aggiungere un criterio firewall regola con un gruppo di profili di sicurezza configurato. Per saperne di più sulle necessari per creare regole di criterio firewall gerarchiche con funzionalità di prevenzione delle minacce attivata; consulta l'articolo Creare un firewall .
Configura il servizio di prevenzione delle intrusioni con l'ispezione TLS
Per configurare il servizio di prevenzione delle intrusioni con l'ispezione TLS (Transport Layer Security) nella tua rete, svolgi le seguenti attività.
Crea un profilo di sicurezza di tipo
Threat prevention
. Configura le sostituzioni di minacce o gravità in base alle esigenze della tua rete. Puoi creare uno o più profili. Per scoprire come creare profili di sicurezza, consulta Creare un profilo di sicurezza.Crea un gruppo di profili di sicurezza con il profilo di sicurezza creato in passaggio precedente. Per scoprire come creare un gruppo di profili di sicurezza: consulta Creare un gruppo di profili di sicurezza.
Crea un pool di CA e una configurazione attendibilità e aggiungili al criterio di ispezione TLS. Per scoprire come abilitare l'ispezione TLS in Cloud NGFW, consulta Configura l'ispezione TLS.
Crea un endpoint firewall nella stessa zona dei carichi di lavoro in cui vuoi attivare la prevenzione delle minacce. Per scoprire come creare un endpoint firewall, consulta Creare un endpoint firewall.
Associa l'endpoint firewall a una o più reti VPC dove vuoi attivare il rilevamento e la prevenzione delle minacce. Aggiungi il protocollo TLS criterio di ispezione creato nel passaggio precedente all'endpoint firewall dell'associazione. Assicurati di eseguire i carichi di lavoro nella stessa zona come endpoint firewall.
Per scoprire come associare un endpoint firewall a una rete VPC e abilitare l'ispezione TLS, consulta Creare associazioni di endpoint firewall.
Puoi utilizzare i criteri firewall di rete globali o criteri firewall gerarchici configurare un servizio di prevenzione delle intrusioni.
In un criterio firewall globale nuovo o esistente, aggiungi una regola del criterio firewall con l'ispezione a livello 7 abilitata (azione
apply_security_profile_group
) e specifica il nome del gruppo di profili di sicurezza creato nel passaggio precedente. Per attivare l'ispezione TLS, specifica il flag--tls-inspect
. Assicurati che il criterio del firewall sia associato alla stessa rete VPC dei carichi di lavoro che richiedono l'ispezione. Per scoprire di più sul criterio firewall di rete globale e sui parametri necessari per creare una regola del criterio firewall con la prevenzione delle minacce abilitata, consulta Creare un criterio firewall di rete globale e Creare regole del criterio firewall di rete globale.Puoi anche utilizzare un criterio firewall gerarchico per aggiungere una regola del criterio firewall con un gruppo di profili di sicurezza configurato. Per saperne di più sulle necessari per creare regole di criterio firewall gerarchiche con funzionalità di prevenzione delle minacce attivata; consulta l'articolo Creare un firewall .
Esempio di modello di deployment
La Figura 1 mostra un esempio di implementazione con prevenzione delle intrusioni servizio configurato per due reti VPC nella stessa regione ma due diverse zone.
Il deployment di esempio ha la seguente configurazione di prevenzione delle minacce:
Due gruppi di profili di sicurezza:
Security profile group 1
con profilo di sicurezzaSecurity profile 1
.Security profile group 2
con il profilo di sicurezzaSecurity profile 2
.
La VPC 1 (
VPC 1
) del cliente ha un criterio firewall con il gruppo di profili di sicurezza impostato suSecurity profile group 1
.Il VPC del cliente 2 (
VPC 2
) ha un criterio firewall con un gruppo di profili di sicurezza impostato suSecurity profile group 2
.L'endpoint firewall
Firewall endpoint 1
esegue il rilevamento e la prevenzione delle minacce per i carichi di lavoro in esecuzione suVPC 1
eVPC 2
nella zonaus-west1-a
.L'endpoint firewall
Firewall endpoint 2
esegue il rilevamento e la prevenzione delle minacce con l'ispezione TLS abilitata per i carichi di lavoro in esecuzione suVPC 1
eVPC 2
nella zonaus-west1-b
.
Passaggi successivi
- Panoramica del profilo di sicurezza
- Panoramica del gruppo di profili di sicurezza
- Panoramica degli endpoint firewall