Le service de filtrage d'URL vous permet de contrôler l'accès à des domaines Web spécifiques en les bloquant ou en les autorisant. Pour activer le service de filtrage d'URL sur votre réseau, vous devez configurer plusieurs composants Cloud Next Generation Firewall, y compris des points de terminaison de pare-feu, des profils de sécurité et des groupes de profils de sécurité. Ce document fournit un workflow de haut niveau décrivant comment configurer ces composants et comment activer le service de filtrage d'URL.
Pour en savoir plus sur le service de filtrage des URL, consultez Présentation du service de filtrage des URL.
Configurer le service de filtrage d'URL sans inspection TLS
Pour configurer le service de filtrage d'URL sur votre réseau, procédez comme suit.
Créez un profil de sécurité pour le filtrage des URL.
Pour autoriser ou refuser l'accès à des domaines spécifiques, créez un profil de sécurité de type
url-filteringet utilisez des listes d'URL pour spécifier vos chaînes de correspondance.Pour en savoir plus, consultez Créer un profil de sécurité pour le filtrage d'URL.
Vous pouvez également créer un profil de sécurité pour analyser le trafic et détecter les menaces.
Pour analyser le trafic et détecter les menaces de sécurité, créez un autre profil de sécurité de type
threat-prevention. Passez en revue la liste des signatures de menace, évaluez les réponses par défaut et personnalisez les actions pour les signatures sélectionnées en fonction de vos besoins.Pour en savoir plus, consultez Créer un profil de sécurité pour la prévention des menaces. Pour en savoir plus sur le service de détection et de prévention des intrusions, consultez la présentation du service de détection et de prévention des intrusions.
Créez un groupe de profils de sécurité.
Un groupe de profils de sécurité fait office de conteneur pour les profils de sécurité. Créez un groupe de profils de sécurité pour inclure les profils de sécurité que vous avez créés lors des étapes précédentes.
Pour en savoir plus, consultez Créer un groupe de profils de sécurité.
Créez un point de terminaison de pare-feu.
Un point de terminaison de pare-feu est une ressource zonale que vous devez créer dans la même zone que la charge de travail que vous souhaitez protéger avec le service de filtrage d'URL.
Pour en savoir plus, consultez Créer un point de terminaison de pare-feu.
Associez le point de terminaison de pare-feu à vos réseaux VPC.
Pour activer le service de filtrage d'URL, associez le point de terminaison de pare-feu à vos réseaux VPC. Assurez-vous que vous exécutez vos charges de travail dans la même zone que le point de terminaison de pare-feu.
Pour en savoir plus, consultez Créer des associations de points de terminaison de pare-feu.
Configurez et appliquez le service de filtrage d'URL à votre trafic réseau.
Pour configurer le service de filtrage d'URL, créez une stratégie de pare-feu réseau au niveau mondial ou une stratégie de pare-feu hiérarchique avec inspection de couche 7.
Si vous créez une stratégie de pare-feu mondiale ou en utilisez une existante, ajoutez une règle de stratégie de pare-feu avec l'action
apply_security_profile_groupet spécifiez le nom du groupe de profils de sécurité que vous avez créé précédemment. Assurez-vous que la stratégie de pare-feu est associée au même réseau VPC que les charges de travail qui nécessitent une inspection.Pour en savoir plus, consultez Créer une stratégie de pare-feu réseau mondiale et Créer des règles de pare-feu réseau mondiales.
Si vous créez une stratégie de pare-feu hiérarchique ou si vous en utilisez une existante, ajoutez une règle de stratégie de pare-feu avec l'action
apply_security_profile_group. Assurez-vous que la stratégie de pare-feu est associée au même réseau VPC que les charges de travail qui nécessitent une inspection.Pour plus d'informations, consultez la section Créer des règles de pare-feu.
Configurer le service de filtrage d'URL avec l'inspection TLS
Pour configurer le service de filtrage d'URL avec l'inspection TLS (Transport Layer Security) sur votre réseau, procédez comme suit.
Créez un profil de sécurité pour le filtrage des URL.
Pour autoriser ou refuser l'accès à des domaines spécifiques, créez un profil de sécurité de type
url-filteringet utilisez des listes d'URL pour spécifier vos chaînes de correspondance.Pour en savoir plus, consultez Créer un profil de sécurité pour le filtrage d'URL.
Vous pouvez également créer un profil de sécurité pour analyser le trafic et détecter les menaces.
Pour analyser le trafic à la recherche de menaces de sécurité, créez un autre profil de sécurité de type
threat-prevention. Passez en revue la liste des signatures de menace, évaluez les réponses par défaut et personnalisez les actions pour les signatures sélectionnées en fonction de vos besoins.Pour en savoir plus, consultez Créer un profil de sécurité pour la prévention des menaces. Pour en savoir plus sur le service de détection et de prévention des intrusions, consultez la présentation du service de détection et de prévention des intrusions.
Créez un groupe de profils de sécurité.
Un groupe de profils de sécurité fait office de conteneur pour les profils de sécurité. Créez un groupe de profils de sécurité pour inclure les profils de sécurité que vous avez créés lors des étapes précédentes.
Pour en savoir plus, consultez Créer un groupe de profils de sécurité.
Créez un point de terminaison de pare-feu.
Un point de terminaison de pare-feu est une ressource zonale que vous devez créer dans la même zone que la charge de travail que vous souhaitez protéger avec le service de filtrage d'URL.
Pour en savoir plus, consultez Créer un point de terminaison de pare-feu.
Créez et configurez des ressources pour inspecter le trafic chiffré.
Créez un pool d'autorités de certification.
Un pool d'autorités de certification est une collection d'autorités de certification disposant d'une règle d'émission de certificats et d'une stratégie Identity and Access Management (IAM) communes. Un pool d'autorités de certification régional doit exister pour que vous puissiez configurer l'inspection TLS.
Pour en savoir plus, consultez Créer un pool d'autorités de certification.
Créez une autorité de certification racine.
Pour utiliser l'inspection TLS, vous devez disposer d'au moins une autorité de certification racine. L'autorité de certification racine signe une autorité de certification intermédiaire, qui signe ensuite tous les certificats de feuille pour les clients. Pour en savoir plus, consultez la documentation de référence sur la commande
gcloud privateca roots create.Accordez les autorisations nécessaires à l'agent de service de sécurité réseau (P4SA).
Cloud NGFW nécessite un P4SA pour générer des CA intermédiaires pour l'inspection TLS. L'agent de service a besoin des autorisations requises pour demander des certificats pour le pool d'autorités de certification.
Pour en savoir plus, consultez Créer un compte de service.
Créez une règle d'inspection TLS régionale.
Une règle d'inspection TLS spécifie comment intercepter le trafic chiffré. Une règle d'inspection TLS régionale peut contenir les configurations de l'inspection TLS.
Pour en savoir plus, consultez Créer une règle d'inspection TLS.
Associez le point de terminaison de pare-feu à vos réseaux VPC.
Pour activer le service de filtrage d'URL, associez le point de terminaison de pare-feu à vos réseaux VPC. Assurez-vous que vous exécutez vos charges de travail dans la même zone que le point de terminaison de pare-feu.
Associez également le point de terminaison de pare-feu à une règle d'inspection TLS.
Pour en savoir plus, consultez Créer des associations de points de terminaison de pare-feu.
Configurez et appliquez le service de filtrage d'URL à votre trafic réseau.
Pour configurer le service de filtrage d'URL, créez une stratégie de pare-feu réseau au niveau mondial ou une stratégie de pare-feu hiérarchique avec inspection de couche 7.
Si vous créez une stratégie de pare-feu mondiale ou en utilisez une existante, ajoutez une règle de stratégie de pare-feu avec l'action
apply_security_profile_groupet spécifiez le nom du groupe de profils de sécurité que vous avez créé précédemment. Assurez-vous que la stratégie de pare-feu est associée au même réseau VPC que les charges de travail qui nécessitent une inspection.Pour en savoir plus, consultez Créer une stratégie de pare-feu réseau au niveau mondial et Créer des règles de stratégie de pare-feu réseau au niveau mondial.
Si vous créez une stratégie de pare-feu hiérarchique ou si vous en utilisez une existante, ajoutez une règle de stratégie de pare-feu avec l'action
apply_security_profile_groupconfigurée. Assurez-vous que la stratégie de pare-feu est associée au même réseau VPC que les charges de travail qui nécessitent une inspection.Pour plus d'informations, consultez la section Créer des règles de pare-feu.
Exemple de modèle de déploiement
Le schéma suivant montre un exemple de déploiement du service de filtrage d'URL avec plusieurs points de terminaison de pare-feu, configurés pour deux réseaux VPC dans la même région, mais dans deux zones différentes.
L'exemple de déploiement présente la configuration suivante :
Deux groupes de profils de sécurité :
Security profile group 1avec le profil de sécuritéSecurity profile 1.Security profile group 2avec le profil de sécuritéSecurity profile 2.
Le VPC client 1 (
VPC 1) dispose d'une stratégie de pare-feu avec son groupe de profils de sécurité défini surSecurity profile group 1.Le VPC client 2 (
VPC 2) dispose d'une stratégie de pare-feu avec le groupe de profils de sécurité défini surSecurity profile group 2.Le point de terminaison de pare-feu
Firewall endpoint 1effectue le filtrage des URL pour les charges de travail exécutées surVPC 1etVPC 2dans la zoneus-west1-a.Le point de terminaison de pare-feu
Firewall endpoint 2effectue le filtrage d'URL avec l'inspection TLS activée pour les charges de travail exécutées surVPC 1etVPC 2dans la zoneus-west1-b.
Étapes suivantes
- Présentation du profil de sécurité
- Présentation des groupes de profils de sécurité
- Présentation des points de terminaison de pare-feu