Configura il servizio di prevenzione delle intrusioni

Per abilitare il servizio di prevenzione delle intrusioni nella rete, devi configurare più componenti Cloud Firewall. Questo documento fornisce un flusso di lavoro di alto livello che descrive come configurare questi componenti e abilitare il rilevamento e la prevenzione delle minacce.

Configura il servizio di prevenzione delle intrusioni senza ispezione TLS

Per configurare il servizio di prevenzione delle intrusioni nella rete, esegui le attività seguenti.

  1. Crea un profilo di sicurezza di tipo Threat prevention. Configura gli override delle minacce o di gravità in base alle esigenze della tua rete. Puoi creare uno o più profili. Per informazioni su come creare profili di sicurezza, consulta Creare un profilo di sicurezza.

  2. Crea un gruppo di profili di sicurezza con il profilo di sicurezza creato nel passaggio precedente. Per informazioni su come creare un gruppo di profili di sicurezza, vedi Creare un gruppo di profili di sicurezza.

  3. Crea un endpoint firewall nella stessa zona dei carichi di lavoro in cui vuoi abilitare la prevenzione delle minacce. Per scoprire come creare un endpoint firewall, consulta Creare un endpoint firewall.

  4. Associa l'endpoint firewall a una o più reti VPC in cui vuoi abilitare il rilevamento e la prevenzione delle minacce. Assicurati di eseguire i carichi di lavoro nella stessa zona dell'endpoint firewall. Per scoprire come associare un endpoint firewall a una rete VPC, consulta Creare un'associazione di endpoint firewall.

  5. Puoi utilizzare i criteri firewall di rete globali o i criteri firewall gerarchici per configurare il servizio di prevenzione delle intrusioni.

    • In un criterio firewall globale nuovo o esistente, aggiungi una regola del criterio firewall con l'ispezione di livello 7 abilitata (azione apply_security_profile_group) e specifica il nome del gruppo di profili di sicurezza creato nel passaggio precedente. Assicurati che il criterio firewall sia associato alla stessa rete VPC dei carichi di lavoro che richiedono l'ispezione. Per scoprire di più sui parametri necessari per creare una regola di criterio firewall con prevenzione delle minacce abilitata, vedi Creare regole di criteri firewall di rete globali.

    • Puoi anche utilizzare un criterio firewall gerarchico per aggiungere una regola del criterio firewall con un gruppo di profili di sicurezza configurato. Per scoprire di più sui parametri necessari per creare regole dei criteri firewall gerarchici con prevenzione delle minacce abilitata, consulta Creare regole firewall.

Configura il servizio di prevenzione delle intrusioni con l'ispezione TLS

Per configurare il servizio di prevenzione delle intrusioni con l'ispezione TLS (Transport Layer Security) nella rete, esegui le attività seguenti.

  1. Crea un profilo di sicurezza di tipo Threat prevention. Configura gli override delle minacce o di gravità in base alle esigenze della tua rete. Puoi creare uno o più profili. Per informazioni su come creare profili di sicurezza, consulta Creare un profilo di sicurezza.

  2. Crea un gruppo di profili di sicurezza con il profilo di sicurezza creato nel passaggio precedente. Per informazioni su come creare un gruppo di profili di sicurezza, vedi Creare un gruppo di profili di sicurezza.

  3. Crea un pool di CA e una configurazione di attendibilità, quindi aggiungili al criterio di ispezione TLS. Per informazioni su come abilitare l'ispezione TLS in Cloud Firewall, consulta Configurare l'ispezione TLS.

  4. Crea un endpoint firewall nella stessa zona dei carichi di lavoro in cui vuoi abilitare la prevenzione delle minacce. Per scoprire come creare un endpoint firewall, consulta Creare un endpoint firewall.

  5. Associa l'endpoint firewall a una o più reti VPC in cui vuoi abilitare il rilevamento e la prevenzione delle minacce. Aggiungi all'associazione dell'endpoint firewall il criterio di ispezione TLS creato nel passaggio precedente. Assicurati di eseguire i carichi di lavoro nella stessa zona dell'endpoint firewall.

    Per scoprire come associare un endpoint firewall a una rete VPC e abilitare l'ispezione TLS, consulta Creare un'associazione di endpoint firewall.

  6. Puoi utilizzare i criteri firewall di rete globali o i criteri firewall gerarchici per configurare un servizio di prevenzione delle intrusioni.

    • In un criterio firewall globale nuovo o esistente, aggiungi una regola del criterio firewall con l'ispezione di livello 7 abilitata (azione apply_security_profile_group) e specifica il nome del gruppo di profili di sicurezza creato nel passaggio precedente. Per abilitare l'ispezione TLS, specifica il flag --tls-inspect. Assicurati che il criterio firewall sia associato alla stessa rete VPC dei carichi di lavoro che richiedono l'ispezione. Per scoprire di più sui parametri necessari per creare una regola di criterio firewall con prevenzione delle minacce abilitata, vedi Creare regole di criteri firewall di rete globali.

    • Puoi anche utilizzare un criterio firewall gerarchico per aggiungere una regola del criterio firewall con un gruppo di profili di sicurezza configurato. Per scoprire di più sui parametri necessari per creare regole dei criteri firewall gerarchici con prevenzione delle minacce abilitata, consulta Creare regole firewall.

Esempio di modello di deployment

La Figura 1 mostra un deployment di esempio con un servizio di prevenzione delle intrusioni configurato per due reti VPC nella stessa regione ma due zone diverse.

Esegui il deployment di un servizio di prevenzione delle intrusioni in una regione.
Figura 1. Esegui il deployment di un servizio di prevenzione delle intrusioni in una regione (fai clic per ingrandire).

Il deployment di esempio ha la seguente configurazione di prevenzione delle minacce:

  1. Due gruppi di profili di sicurezza:

    1. Security profile group 1 con profilo di sicurezza Security profile 1.

    2. Security profile group 2 con profilo di sicurezza Security profile 2.

  2. Il VPC 1 del cliente (VPC 1) ha un criterio firewall con il gruppo di profili di sicurezza impostato su Security profile group 1.

  3. Il VPC 2 del cliente (VPC 2) ha un criterio firewall con il gruppo di profili di sicurezza impostato su Security profile group 2.

  4. L'endpoint firewall Firewall endpoint 1 esegue il rilevamento e la prevenzione delle minacce per i carichi di lavoro in esecuzione sulle VPC 1eVPC 2 nella zona us-west1-a.

  5. L'endpoint firewall Firewall endpoint 2 esegue il rilevamento e la prevenzione delle minacce con l'ispezione TLS abilitata per i carichi di lavoro in esecuzione su VPC 1 e VPC 2 nella zona us-west1-b.

Passaggi successivi