Configura il servizio di filtraggio degli URL

Il servizio di filtro degli URL ti consente di controllare l'accesso a domini web specifici bloccandoli o consentendone l'accesso. Per attivare il servizio di filtro degli URL nella tua rete, devi configurare più componenti di Cloud Next Generation Firewall, inclusi endpoint firewall, profili di sicurezza e gruppi di profili di sicurezza. Questo documento fornisce un flusso di lavoro di alto livello che descrive come configurare questi componenti e attivare il servizio di filtro degli URL.

Per scoprire di più sul servizio di filtro URL, consulta la panoramica del servizio di filtro URL.

Configura il servizio di filtro degli URL senza ispezione TLS

Per configurare il servizio di filtro degli URL nella tua rete, esegui le seguenti attività.

  1. Crea un profilo di sicurezza per il filtro degli URL.

    Per consentire o negare l'accesso a domini specifici, crea un profilo di sicurezza di tipo url-filtering e utilizza gli elenchi di URL per specificare le stringhe di corrispondenza.

    Per saperne di più, vedi Creare un profilo di sicurezza di filtro degli URL.

  2. (Facoltativo) Puoi creare un profilo di sicurezza per analizzare il traffico alla ricerca di minacce.

    Per eseguire la scansione del traffico alla ricerca di minacce alla sicurezza, crea un altro profilo di sicurezza di tipo threat-prevention. Esamina l'elenco delle firme delle minacce, valuta le risposte predefinite e personalizza le azioni per le firme selezionate in base ai tuoi requisiti.

    Per saperne di più, vedi Creare un profilo di sicurezza per la prevenzione delle minacce. Per scoprire di più sul servizio di rilevamento e prevenzione delle intrusioni, consulta la panoramica del servizio di rilevamento e prevenzione delle intrusioni.

  3. Crea un gruppo di profili di sicurezza.

    Un gruppo di profili di sicurezza funge da contenitore per i profili di sicurezza. Crea un gruppo di profili di sicurezza per includere i profili di sicurezza che hai creato nei passaggi precedenti.

    Per saperne di più, vedi Creare un gruppo di profili di sicurezza.

  4. Crea un endpoint firewall.

    Un endpoint firewall è una risorsa di zona che devi creare nella stessa zona del carico di lavoro che vuoi proteggere con il servizio di filtro URL.

    Per saperne di più, vedi Creare un endpoint firewall.

  5. Associa l'endpoint firewall alle tue reti VPC.

    Per attivare il servizio di filtro degli URL, associa l'endpoint firewall alle tue reti VPC. Assicurati di eseguire i tuoi workload nella stessa zona dell'endpoint firewall.

    Per saperne di più, consulta Creare associazioni di endpoint firewall.

  6. Configura e applica il servizio di filtro URL al traffico di rete.

    Per configurare il servizio di filtro degli URL, crea una policy del firewall di rete globale o una policy del firewall gerarchica con l'ispezione di livello 7.

    • Se crei una nuova policy firewall globale o ne utilizzi una esistente, aggiungi una regola della policy firewall con l'azione apply_security_profile_group e specifica il nome del gruppo di profili di sicurezza che hai creato in precedenza. Assicurati che la policy firewall sia associata alla stessa rete VPC dei workload che richiedono l'ispezione.

      Per saperne di più, consulta Crea una policy del firewall di rete globale e Crea regole firewall di rete globali.

    • Se crei un nuovo criterio firewall gerarchico o ne utilizzi uno esistente, aggiungi una regola del criterio firewall con l'azione apply_security_profile_group. Assicurati che la policy del firewall sia associata alla stessa rete VPC dei workload che richiedono l'ispezione.

      Per saperne di più, consulta Creare regole firewall.

Configura il servizio di filtro degli URL con l'ispezione TLS

Per configurare il servizio di filtro degli URL con l'ispezione Transport Layer Security (TLS) nella tua rete, esegui le seguenti attività.

  1. Crea un profilo di sicurezza per il filtro degli URL.

    Per consentire o negare l'accesso a domini specifici, crea un profilo di sicurezza di tipo url-filtering e utilizza gli elenchi di URL per specificare le stringhe di corrispondenza.

    Per saperne di più, vedi Creare un profilo di sicurezza di filtro degli URL.

  2. (Facoltativo) Puoi creare un profilo di sicurezza per analizzare il traffico alla ricerca di minacce.

    Per analizzare il traffico alla ricerca di minacce alla sicurezza, crea un altro profilo di sicurezza di tipo threat-prevention. Esamina l'elenco delle firme delle minacce, valuta le risposte predefinite e personalizza le azioni per le firme selezionate in base ai tuoi requisiti.

    Per saperne di più, vedi Creare un profilo di sicurezza per la prevenzione delle minacce. Per scoprire di più sul servizio di rilevamento e prevenzione delle intrusioni, consulta la panoramica del servizio di rilevamento e prevenzione delle intrusioni.

  3. Crea un gruppo di profili di sicurezza.

    Un gruppo di profili di sicurezza funge da contenitore per i profili di sicurezza. Crea un gruppo di profili di sicurezza per includere i profili di sicurezza che hai creato nei passaggi precedenti.

    Per saperne di più, vedi Creare un gruppo di profili di sicurezza.

  4. Crea un endpoint firewall.

    Un endpoint firewall è una risorsa di zona che devi creare nella stessa zona del carico di lavoro che vuoi proteggere con il servizio di filtro URL.

    Per saperne di più, vedi Creare un endpoint firewall.

  5. Crea e configura le risorse per ispezionare il traffico criptato.

    1. Crea un pool di autorità di certificazione (CA).

      Un pool di CA è una raccolta di CA con una policy di emissione dei certificati comune e una policy Identity and Access Management (IAM). Prima di poter configurare l'ispezione TLS, deve esistere un pool di CA regionale.

      Per saperne di più, consulta Creare un pool di CA.

    2. Crea una CA radice.

      Per utilizzare l'ispezione TLS, devi avere almeno un'autorità di certificazione radice. La CA radice firma una CA intermedia, che a sua volta firma tutti i certificati foglia per i client. Per saperne di più, consulta la documentazione di riferimento per il comando gcloud privateca roots create.

    3. Concedi le autorizzazioni necessarie all'agente di servizio Network Security (P4SA).

      Cloud NGFW richiede un P4SA per generare CA intermedie per l'ispezione TLS. L'agente di servizio necessita delle autorizzazioni richieste per richiedere i certificati per il pool di CA.

      Per saperne di più, vedi Creare un service account.

  6. Crea una policy di ispezione TLS regionale.

    Una policy di ispezione TLS specifica come intercettare il traffico criptato. Una policy di ispezione TLS regionale può contenere le configurazioni per l'ispezione TLS.

    Per saperne di più, vedi Creare una policy di ispezione TLS.

  7. Associa l'endpoint firewall alle tue reti VPC.

    Per attivare il servizio di filtro degli URL, associa l'endpoint firewall alle tue reti VPC. Assicurati di eseguire i tuoi workload nella stessa zona dell'endpoint firewall.

    Inoltre, associa l'endpoint firewall a una policy di ispezione TLS.

    Per saperne di più, consulta Creare associazioni di endpoint firewall.

  8. Configura e applica il servizio di filtro URL al traffico di rete.

    Per configurare il servizio di filtro degli URL, crea una policy del firewall di rete globale o una policy del firewall gerarchica con l'ispezione di livello 7.

    • Se crei una nuova policy firewall globale o ne utilizzi una esistente, aggiungi una regola della policy firewall con l'azione apply_security_profile_group e specifica il nome del gruppo di profili di sicurezza che hai creato in precedenza. Assicurati che la policy firewall sia associata alla stessa rete VPC dei workload che richiedono l'ispezione.

      Per saperne di più, consulta Crea una policy del firewall di rete globale e Crea regole della policy del firewall di rete globale.

    • Se crei una nuova policy del firewall gerarchica o ne utilizzi una esistente, aggiungi una regola della policy del firewall con l'azione apply_security_profile_group configurata. Assicurati che la policy firewall sia associata alla stessa rete VPC dei workload che richiedono l'ispezione.

      Per saperne di più, consulta Creare regole firewall.

Modello di deployment di esempio

Il seguente diagramma mostra un esempio di deployment del servizio di filtro URL con più endpoint firewall, configurati per due reti VPC nella stessa regione, ma in due zone diverse.

Esegui il deployment del servizio di filtro URL in una regione.
Implementa il servizio di filtro degli URL in una regione (fai clic per ingrandire).

Il deployment di esempio ha la seguente configurazione:

  1. Due gruppi di profili di sicurezza:

    1. Security profile group 1 con profilo di sicurezza Security profile 1.

    2. Security profile group 2 con profilo di sicurezza Security profile 2.

  2. Il VPC 1 del cliente (VPC 1) ha una policy del firewall con il gruppo di profili di sicurezza impostato su Security profile group 1.

  3. Il VPC 2 del cliente (VPC 2) ha una policy firewall con il gruppo di profili di sicurezza impostato su Security profile group 2.

  4. L'endpoint firewall Firewall endpoint 1 esegue il filtro URL per i carichi di lavoro in esecuzione su VPC 1 eVPC 2 nella zona us-west1-a.

  5. L'endpoint firewall Firewall endpoint 2 esegue il filtro degli URL con l'ispezione TLS abilitata per i carichi di lavoro in esecuzione su VPC 1 e VPC 2 nella zona us-west1-b.

Passaggi successivi