Esta página se ha traducido con Cloud Translation API.

Configurar el servicio de filtrado de URLs

El servicio de filtrado de URLs le permite controlar el acceso a dominios web específicos bloqueándolos o permitiéndolos. Para habilitar el servicio de filtrado de URLs en tu red, debes configurar varios componentes de Cloud Next Generation Firewall, como endpoints de cortafuegos, perfiles de seguridad y grupos de perfiles de seguridad. En este documento se describe un flujo de trabajo general sobre cómo configurar estos componentes y habilitar el servicio de filtrado de URLs.

Para obtener más información sobre el servicio de filtrado de URLs, consulta el resumen del servicio de filtrado de URLs.

Configurar el servicio de filtrado de URLs sin inspección TLS

Para configurar el servicio de filtrado de URLs en su red, siga estos pasos.

necesarios.

Crea un perfil de seguridad para el filtrado de URLs.

Para permitir o denegar el acceso a dominios específicos, crea un perfil de seguridad de tipo url-filtering y usa listas de URLs para especificar las cadenas de coincidencia.

Para obtener más información, consulta Crear un perfil de seguridad de filtrado de URLs.
También puede crear un perfil de seguridad para analizar el tráfico en busca de amenazas.

Para analizar el tráfico en busca de amenazas de seguridad, crea otro perfil de seguridad de tipo threat-prevention. Revisa la lista de firmas de amenazas, evalúa las respuestas predeterminadas y personaliza las acciones de las firmas seleccionadas según tus requisitos.

Para obtener más información, consulta el artículo Crear un perfil de seguridad de prevención de amenazas. Para obtener más información sobre el servicio de detección y prevención de intrusos, consulta el artículo de descripción general.
Crea un grupo de perfiles de seguridad.

Un grupo de perfiles de seguridad actúa como contenedor de perfiles de seguridad. Crea un grupo de perfiles de seguridad para incluir los perfiles de seguridad que has creado en los pasos anteriores.

Para obtener más información, consulta el artículo Crear un grupo de perfiles de seguridad.
Crea un endpoint de cortafuegos.

Un endpoint de cortafuegos es un recurso zonal que debes crear en la misma zona que la carga de trabajo que quieras proteger con el servicio de filtrado de URLs.

Para obtener más información, consulta Crear un endpoint de firewall.
Asocia el endpoint de cortafuegos a tus redes de VPC.

Para habilitar el servicio de filtrado de URLs, asocia el endpoint del cortafuegos a tus redes de VPC. Asegúrate de que tus cargas de trabajo se ejecuten en la misma zona que el endpoint del cortafuegos.

Para obtener más información, consulta Crear asociaciones de endpoints de firewall.
Configura y aplica el servicio de filtrado de URLs al tráfico de tu red.

Para configurar el servicio de filtrado de URL, crea una política de cortafuegos de red global o una política de cortafuegos jerárquica con inspección de capa 7.
- Si creas una política de cortafuegos global o usas una que ya tengas, añade una regla de política de cortafuegos con la acción apply_security_profile_group y especifica el nombre del grupo de perfiles de seguridad que hayas creado anteriormente. Asegúrate de que la política de cortafuegos esté asociada a la misma red de VPC que las cargas de trabajo que requieran inspección.
  
  Para obtener más información, consulta Crear una política de cortafuegos de red global y Crear reglas de cortafuegos de red globales.
- Si creas una política de cortafuegos jerárquica o usas una que ya tengas, añade una regla de política de cortafuegos con la acción apply_security_profile_group. Asegúrate de que la política de firewall esté asociada a la misma red VPC que las cargas de trabajo que requieran inspección.
  
  Para obtener más información, consulta el artículo Crear reglas de firewall.

Configurar el servicio de filtrado de URLs con inspección TLS

Para configurar el servicio de filtrado de URLs con la inspección de Seguridad en la capa de transporte (TLS) en tu red, realiza las siguientes tareas.

Crea un perfil de seguridad para el filtrado de URLs.

Para permitir o denegar el acceso a dominios específicos, crea un perfil de seguridad de tipo url-filtering y usa listas de URLs para especificar las cadenas de coincidencia.

Para obtener más información, consulta Crear un perfil de seguridad de filtrado de URLs.
También puede crear un perfil de seguridad para analizar el tráfico en busca de amenazas.

Para analizar el tráfico en busca de amenazas de seguridad, crea otro perfil de seguridad de tipo threat-prevention. Revisa la lista de firmas de amenazas, evalúa las respuestas predeterminadas y personaliza las acciones de las firmas seleccionadas según tus requisitos.

Para obtener más información, consulta el artículo Crear un perfil de seguridad de prevención de amenazas. Para obtener más información sobre el servicio de detección y prevención de intrusos, consulta el artículo de descripción general.
Crea un grupo de perfiles de seguridad.

Un grupo de perfiles de seguridad actúa como contenedor de perfiles de seguridad. Crea un grupo de perfiles de seguridad para incluir los perfiles de seguridad que has creado en los pasos anteriores.

Para obtener más información, consulta el artículo Crear un grupo de perfiles de seguridad.
Crea un endpoint de cortafuegos.

Un endpoint de cortafuegos es un recurso zonal que debes crear en la misma zona que la carga de trabajo que quieras proteger con el servicio de filtrado de URLs.

Para obtener más información, consulta Crear un endpoint de firewall.
Crea y configura recursos para inspeccionar el tráfico cifrado.
1. Crea un grupo de autoridades de certificación.
  
  Un grupo de ACs es un conjunto de ACs con una política de emisión de certificados y una política de gestión de identidades y accesos (IAM) comunes. Debe haber un pool de CAs regional para poder configurar la inspección TLS.
  
  Para obtener más información, consulta Crear un pool de CAs.
2. Crea una CA raíz.
  
  Para usar la inspección TLS, debes tener al menos una autoridad de certificación raíz. La CA raíz firma una CA intermedia, que a su vez firma todos los certificados de hoja de los clientes. Para obtener más información, consulta la documentación de referencia del comando gcloud privateca roots create.
3. Concede los permisos necesarios al agente de servicio de seguridad de red (P4SA).
  
  Cloud NGFW requiere un P4SA para generar CAs intermedias para la inspección TLS. El agente de servicio necesita los permisos necesarios para solicitar certificados para el grupo de autoridades de certificación.
  
  Para obtener más información, consulta el artículo Crear una cuenta de servicio.
Crea una política de inspección TLS regional.

Una política de inspección TLS especifica cómo interceptar el tráfico cifrado. Una política de inspección TLS regional puede contener las configuraciones de la inspección TLS.

Para obtener más información, consulta el artículo Crear una política de inspección TLS.
Asocia el endpoint de cortafuegos a tus redes de VPC.

Para habilitar el servicio de filtrado de URLs, asocia el endpoint del cortafuegos a tus redes de VPC. Asegúrate de que tus cargas de trabajo se ejecuten en la misma zona que el endpoint del cortafuegos.

Además, asocia el endpoint del cortafuegos a una política de inspección TLS.

Para obtener más información, consulta Crear asociaciones de endpoints de firewall.
Configura y aplica el servicio de filtrado de URLs al tráfico de tu red.

Para configurar el servicio de filtrado de URL, crea una política de cortafuegos de red global o una política de cortafuegos jerárquica con inspección de capa 7.
- Si creas una política de cortafuegos global o usas una que ya tengas, añade una regla de política de cortafuegos con la acción apply_security_profile_group y especifica el nombre del grupo de perfiles de seguridad que hayas creado anteriormente. Asegúrate de que la política de cortafuegos esté asociada a la misma red de VPC que las cargas de trabajo que requieran inspección.
  
  Para obtener más información, consulta Crear una política de cortafuegos de red global y Crear reglas de política de cortafuegos de red global.
- Si creas una política de cortafuegos jerárquica o usas una que ya tengas, añade una regla de política de cortafuegos con la acción apply_security_profile_group configurada. Asegúrate de que la política de cortafuegos esté asociada a la misma red de VPC que las cargas de trabajo que requieran inspección.
  
  Para obtener más información, consulta el artículo Crear reglas de firewall.

Modelo de implementación de ejemplo

En el siguiente diagrama se muestra un ejemplo de la implementación del servicio de filtrado de URLs con varios endpoints de firewall configurados para dos redes VPC en la misma región, pero en dos zonas diferentes.

Despliega el servicio de filtrado de URLs en una región. — Implementa el servicio de filtrado de URLs en una región (haz clic para ampliar).

La implementación de ejemplo tiene la siguiente configuración:

Dos grupos de perfiles de seguridad:
1. Security profile group 1 con el perfil de seguridad Security profile 1.
2. Security profile group 2 con el perfil de seguridad Security profile 2.
La VPC del cliente 1 (VPC 1) tiene una política de cortafuegos con el grupo de perfiles de seguridad definido como Security profile group 1.
La VPC del cliente 2 (VPC 2) tiene una política de cortafuegos con el grupo de perfiles de seguridad definido como Security profile group 2.
El endpoint de cortafuegos Firewall endpoint 1 realiza el filtrado de URLs de las cargas de trabajo que se ejecutan en VPC 1 y VPC 2 en la zona us-west1-a.
El endpoint de cortafuegos Firewall endpoint 2 realiza el filtrado de URLs con la inspección de TLS habilitada para las cargas de trabajo que se ejecutan en VPC 1 y VPC 2 en la zona us-west1-b.