Configura el servicio de filtrado de URLs

El servicio de filtrado de URLs te permite controlar el acceso a dominios web específicos bloqueándolos o permitiéndolos. Para habilitar el servicio de filtrado de URLs en tu red, debes configurar varios componentes de Cloud Next Generation Firewall, incluidos los extremos de firewall, los perfiles de seguridad y los grupos de perfiles de seguridad. En este documento, se proporciona un flujo de trabajo de alto nivel en el que se describe cómo configurar estos componentes y habilitar el servicio de filtrado de URLs.

Para obtener más información sobre el servicio de filtros de URL, consulta la descripción general del servicio de filtros de URL.

Configura el servicio de filtrado de URLs sin inspección de TLS

Para configurar el servicio de filtrado de URLs en tu red, realiza las siguientes tareas.

  1. Crea un perfil de seguridad para el filtrado de URLs.

    Para permitir o rechazar el acceso a dominios específicos, crea un perfil de seguridad de tipo url-filtering y usa listas de URLs para especificar tus cadenas de coincidencia.

    Para obtener más información, consulta Cómo crear un perfil de seguridad de filtrado de URLs.

  2. De manera opcional, puedes crear un perfil de seguridad para analizar el tráfico en busca de amenazas.

    Para analizar el tráfico en busca de amenazas de seguridad, crea otro perfil de seguridad de tipo threat-prevention. Revisa la lista de firmas de amenazas, evalúa las respuestas predeterminadas y personaliza las acciones para las firmas seleccionadas según tus requisitos.

    Para obtener más información, consulta Crea un perfil de seguridad de prevención de amenazas. Para obtener más información sobre el servicio de detección y prevención de intrusiones, consulta Descripción general del servicio de detección y prevención de intrusiones.

  3. Crea un grupo de perfiles de seguridad.

    Un grupo de perfiles de seguridad actúa como contenedor de perfiles de seguridad. Crea un grupo de perfiles de seguridad para incluir los perfiles de seguridad que creaste en los pasos anteriores.

    Para obtener más información, consulta Crea un grupo de perfiles de seguridad.

  4. Crea un extremo de firewall.

    Un extremo de firewall es un recurso zonal que debes crear en la misma zona que la carga de trabajo que deseas proteger con el servicio de filtrado de URL.

    Para obtener más información, consulta Crea un extremo de firewall.

  5. Asocia el extremo de firewall con tus redes de VPC.

    Para habilitar el servicio de filtrado de URLs, asocia el extremo de firewall con tus redes de VPC. Asegúrate de ejecutar las cargas de trabajo en la misma zona que el extremo del firewall.

    Para obtener más información, consulta Crea asociaciones de extremos de firewall.

  6. Configura y aplica el servicio de filtrado de URLs a tu tráfico de red.

    Para configurar el servicio de filtrado de URL, crea una política de firewall de red global o una política de firewall jerárquica con inspección de capa 7.

    • Si creas una política de firewall global nueva o usas una existente, agrega una regla de política de firewall con la acción apply_security_profile_group y especifica el nombre del grupo de perfil de seguridad que creaste anteriormente. Asegúrate de que la política de firewall esté asociada con la misma red de VPC que las cargas de trabajo que requieren inspección.

      Para obtener más información, consulta Crea una política de firewall de red global y Crea reglas de firewall de red globales.

    • Si creas una política de firewall jerárquica nueva o usas una existente, agrega una regla de política de firewall con la acción apply_security_profile_group. Asegúrate de que la política de firewall esté asociada con la misma red de VPC que las cargas de trabajo que requieren inspección.

      Para obtener más información, consulta Crea reglas de firewall.

Configura el servicio de filtrado de URLs con inspección de TLS

Para configurar el servicio de filtrado de URLs con la inspección de seguridad de la capa de transporte (TLS) en tu red, realiza las siguientes tareas.

  1. Crea un perfil de seguridad para el filtrado de URLs.

    Para permitir o rechazar el acceso a dominios específicos, crea un perfil de seguridad de tipo url-filtering y usa listas de URLs para especificar tus cadenas de coincidencia.

    Para obtener más información, consulta Cómo crear un perfil de seguridad de filtrado de URLs.

  2. De manera opcional, puedes crear un perfil de seguridad para analizar el tráfico en busca de amenazas.

    Para analizar el tráfico en busca de amenazas de seguridad, crea otro perfil de seguridad de tipo threat-prevention. Revisa la lista de firmas de amenazas, evalúa las respuestas predeterminadas y personaliza las acciones para las firmas seleccionadas según tus requisitos.

    Para obtener más información, consulta Crea un perfil de seguridad de prevención de amenazas. Para obtener más información sobre el servicio de detección y prevención de intrusiones, consulta Descripción general del servicio de detección y prevención de intrusiones.

  3. Crea un grupo de perfiles de seguridad.

    Un grupo de perfiles de seguridad actúa como contenedor de perfiles de seguridad. Crea un grupo de perfiles de seguridad para incluir los perfiles de seguridad que creaste en los pasos anteriores.

    Para obtener más información, consulta Crea un grupo de perfiles de seguridad.

  4. Crea un extremo de firewall.

    Un extremo de firewall es un recurso zonal que debes crear en la misma zona que la carga de trabajo que deseas proteger con el servicio de filtrado de URL.

    Para obtener más información, consulta Crea un extremo de firewall.

  5. Crea y configura recursos para inspeccionar el tráfico encriptado.

    1. Crea un grupo de autoridades certificadoras (AC).

      Un grupo de AC es un conjunto de AC con una política común de emisión de certificados y de Identity and Access Management (IAM). Debe existir un grupo de CA regional antes de que puedas configurar la inspección de TLS.

      Para obtener más información, consulta Crea un grupo de AC.

    2. Crea una CA raíz.

      Para usar la inspección de TLS, debes tener al menos una CA raíz. La CA raíz firma una CA intermedia, que luego firma todos los certificados de hoja para los clientes. Para obtener más información, consulta la documentación de referencia del comando gcloud privateca roots create.

    3. Otorga los permisos necesarios al agente de servicio de seguridad de redes (P4SA).

      Cloud NGFW requiere un P4SA para generar CA intermedias para la inspección de TLS. El agente de servicio necesita los permisos necesarios para solicitar certificados para el grupo de CA.

      Para obtener más información, consulta Crea una cuenta de servicio.

  6. Crea una política de inspección de TLS regional.

    Una política de inspección de TLS especifica cómo interceptar el tráfico encriptado. Una política de inspección de TLS regional puede contener las configuraciones para la inspección de TLS.

    Para obtener más información, consulta Crea una política de inspección de TLS.

  7. Asocia el extremo de firewall con tus redes de VPC.

    Para habilitar el servicio de filtrado de URLs, asocia el extremo de firewall con tus redes de VPC. Asegúrate de ejecutar las cargas de trabajo en la misma zona que el extremo del firewall.

    Además, asocia el extremo de firewall con una política de inspección de TLS.

    Para obtener más información, consulta Crea asociaciones de extremos de firewall.

  8. Configura y aplica el servicio de filtrado de URLs a tu tráfico de red.

    Para configurar el servicio de filtrado de URL, crea una política de firewall de red global o una política de firewall jerárquica con inspección de capa 7.

    • Si creas una política de firewall global nueva o usas una existente, agrega una regla de política de firewall con la acción apply_security_profile_group y especifica el nombre del grupo de perfil de seguridad que creaste anteriormente. Asegúrate de que la política de firewall esté asociada con la misma red de VPC que las cargas de trabajo que requieren inspección.

      Para obtener más información, consulta Crea una política de firewall de red global y Crea reglas de políticas de firewall de red globales.

    • Si creas una política de firewall jerárquica nueva o usas una existente, agrega una regla de política de firewall con la acción apply_security_profile_group configurada. Asegúrate de que la política de firewall esté asociada con la misma red de VPC que las cargas de trabajo que requieren inspección.

      Para obtener más información, consulta Crea reglas de firewall.

Ejemplo de modelo de implementación

En el siguiente diagrama, se muestra un ejemplo de la implementación del servicio de filtrado de URLs con varios extremos de firewall, configurado para dos redes de VPC en la misma región, pero en dos zonas diferentes.

Implementa el servicio de filtrado de URLs en una región.
Implementa el servicio de filtrado de URLs en una región (haz clic para ampliar).

La implementación de ejemplo tiene la siguiente configuración:

  1. Dos grupos de perfiles de seguridad:

    1. Security profile group 1 con el perfil de seguridad Security profile 1.

    2. Security profile group 2 con el perfil de seguridad Security profile 2.

  2. La VPC 1 del cliente (VPC 1) tiene una política de firewall con su grupo de perfil de seguridad establecido en Security profile group 1.

  3. La VPC 2 del cliente (VPC 2) tiene una política de firewall con su grupo de perfil de seguridad establecido en Security profile group 2.

  4. El extremo de firewall Firewall endpoint 1 realiza el filtrado de URLs para las cargas de trabajo que se ejecutan en VPC 1 y VPC 2 en la zona us-west1-a.

  5. El extremo de firewall Firewall endpoint 2 realiza el filtrado de URLs con la inspección de TLS habilitada para las cargas de trabajo que se ejecutan en VPC 1 y VPC 2 en la zona us-west1-b.

¿Qué sigue?