Configure o serviço de filtragem de URLs

O serviço de filtragem de URLs permite-lhe controlar o acesso a domínios Web específicos, bloqueando-os ou permitindo-os. Para ativar o serviço de filtragem de URLs na sua rede, tem de configurar vários componentes da firewall de nova geração da nuvem, incluindo pontos finais da firewall, perfis de segurança e grupos de perfis de segurança. Este documento fornece um fluxo de trabalho de alto nível que descreve como configurar estes componentes e ativar o serviço de filtragem de URLs.

Para saber mais sobre o serviço de filtragem de URLs, consulte a vista geral do serviço de filtragem de URLs.

Configure o serviço de filtragem de URLs sem inspeção TLS

Para configurar o serviço de filtragem de URLs na sua rede, execute as seguintes tarefas.

e componentes necessários.

  1. Crie um perfil de segurança para a filtragem de URLs.

    Para permitir ou negar o acesso a domínios específicos, crie um perfil de segurança do tipo url-filtering e use listas de URLs para especificar as suas strings de correspondência.

    Para mais informações, consulte o artigo Crie um perfil de segurança de filtragem de URLs.

  2. Opcionalmente, pode criar um perfil de segurança para analisar o tráfego em busca de ameaças.

    Para analisar o tráfego em busca de ameaças à segurança, crie outro perfil de segurança do tipo threat-prevention. Reveja a lista de assinaturas de ameaças, avalie as respostas predefinidas e personalize as ações para as assinaturas selecionadas de acordo com os seus requisitos.

    Para mais informações, consulte o artigo Crie um perfil de segurança de prevenção contra ameaças. Para saber mais sobre o serviço de deteção e prevenção de intrusões, consulte o artigo Vista geral do serviço de deteção e prevenção de intrusões.

  3. Crie um grupo de perfis de segurança.

    Um grupo de perfis de segurança funciona como um contentor para perfis de segurança. Crie um grupo de perfis de segurança para incluir os perfis de segurança que criou nos passos anteriores.

    Para mais informações, consulte o artigo Crie um grupo de perfis de segurança.

  4. Crie um ponto final de firewall.

    Um ponto final da firewall é um recurso zonal que tem de criar na mesma zona que a carga de trabalho que quer proteger com o serviço de filtragem de URLs.

    Para mais informações, consulte o artigo Crie um ponto final de firewall.

  5. Associe o ponto final da firewall às suas redes VPC.

    Para ativar o serviço de filtragem de URLs, associe o ponto final da firewall às suas redes VPC. Certifique-se de que está a executar as suas cargas de trabalho na mesma zona que o ponto final da firewall.

    Para mais informações, consulte o artigo Crie associações de pontos finais da firewall.

  6. Configure e aplique o serviço de filtragem de URLs ao tráfego de rede.

    Para configurar o serviço de filtragem de URLs, crie uma política de firewall de rede global ou uma política de firewall hierárquica com inspeção da camada 7.

    • Se criar uma nova política de firewall global ou usar uma existente, adicione uma regra de política de firewall com a ação apply_security_profile_group e especifique o nome do grupo de perfis de segurança que criou anteriormente. Certifique-se de que a política de firewall está associada à mesma rede VPC que as cargas de trabalho que requerem inspeção.

      Para mais informações, consulte os artigos Crie uma política de firewall de rede global e Crie regras de firewall de rede global.

    • Se criar uma nova política de firewall hierárquica ou usar uma existente, adicione uma regra de política de firewall com a ação apply_security_profile_group. Certifique-se de que a política de firewall está associada à mesma rede VPC que as cargas de trabalho que requerem inspeção.

      Para mais informações, consulte o artigo Crie regras de firewall.

Configure o serviço de filtragem de URLs com inspeção TLS

Para configurar o serviço de filtragem de URLs com a inspeção do protocolo Transport Layer Security (TLS) na sua rede, execute as seguintes tarefas.

  1. Crie um perfil de segurança para a filtragem de URLs.

    Para permitir ou negar o acesso a domínios específicos, crie um perfil de segurança do tipo url-filtering e use listas de URLs para especificar as suas strings de correspondência.

    Para mais informações, consulte o artigo Crie um perfil de segurança de filtragem de URLs.

  2. Opcionalmente, pode criar um perfil de segurança para analisar o tráfego em busca de ameaças.

    Para analisar o tráfego quanto a ameaças à segurança, crie outro perfil de segurança do tipo threat-prevention. Reveja a lista de assinaturas de ameaças, avalie as respostas predefinidas e personalize as ações para as assinaturas selecionadas de acordo com os seus requisitos.

    Para mais informações, consulte o artigo Crie um perfil de segurança de prevenção contra ameaças. Para saber mais sobre o serviço de deteção e prevenção de intrusões, consulte o artigo Vista geral do serviço de deteção e prevenção de intrusões.

  3. Crie um grupo de perfis de segurança.

    Um grupo de perfis de segurança funciona como um contentor para perfis de segurança. Crie um grupo de perfis de segurança para incluir os perfis de segurança que criou nos passos anteriores.

    Para mais informações, consulte o artigo Crie um grupo de perfis de segurança.

  4. Crie um ponto final de firewall.

    Um ponto final da firewall é um recurso zonal que tem de criar na mesma zona que a carga de trabalho que quer proteger com o serviço de filtragem de URLs.

    Para mais informações, consulte o artigo Crie um ponto final de firewall.

  5. Crie e configure recursos para inspecionar o tráfego encriptado.

    1. Crie um grupo de autoridades de certificação (AC).

      Um conjunto de ACs é uma coleção de ACs com uma política de emissão de certificados comum e uma política de gestão de identidade e de acesso (IAM). Tem de existir um conjunto de ACs regional antes de poder configurar a inspeção TLS.

      Para mais informações, consulte o artigo Crie um conjunto de CA.

    2. Crie uma AC de raiz.

      Para usar a inspeção TLS, tem de ter, pelo menos, uma AC raiz. A CA de raiz assina uma CA intermédia, que, por sua vez, assina todos os certificados finais para os clientes. Para mais informações, consulte a documentação de referência para o comando gcloud privateca roots create.

    3. Conceda as autorizações necessárias ao agente do serviço de segurança de rede (P4SA).

      O Cloud NGFW requer um P4SA para gerar ACs intermédias para a inspeção TLS. O agente de serviço precisa das autorizações necessárias para pedir certificados para o conjunto de ACs.

      Para mais informações, consulte o artigo Crie uma conta de serviço.

  6. Crie uma política de inspeção TLS regional.

    Uma política de inspeção TLS especifica como intercetar tráfego encriptado. Uma política de inspeção de TLS regional pode conter as configurações para a inspeção de TLS.

    Para mais informações, consulte o artigo Crie uma política de inspeção TLS.

  7. Associe o ponto final da firewall às suas redes VPC.

    Para ativar o serviço de filtragem de URLs, associe o ponto final da firewall às suas redes VPC. Certifique-se de que está a executar as suas cargas de trabalho na mesma zona que o ponto final da firewall.

    Além disso, associe o ponto final da firewall a uma política de inspeção TLS.

    Para mais informações, consulte o artigo Crie associações de pontos finais da firewall.

  8. Configure e aplique o serviço de filtragem de URLs ao tráfego de rede.

    Para configurar o serviço de filtragem de URLs, crie uma política de firewall de rede global ou uma política de firewall hierárquica com inspeção da camada 7.

    • Se criar uma nova política de firewall global ou usar uma existente, adicione uma regra de política de firewall com a ação apply_security_profile_group e especifique o nome do grupo de perfis de segurança que criou anteriormente. Certifique-se de que a política de firewall está associada à mesma rede VPC que as cargas de trabalho que requerem inspeção.

      Para mais informações, consulte os artigos Crie uma política de firewall de rede global e Crie regras de política de firewall de rede global.

    • Se criar uma nova política de firewall hierárquica ou usar uma existente, adicione uma regra de política de firewall com a ação apply_security_profile_group configurada. Certifique-se de que a política de firewall está associada à mesma rede VPC que as cargas de trabalho que requerem inspeção.

      Para mais informações, consulte o artigo Crie regras de firewall.

Exemplo de modelo de implementação

O diagrama seguinte mostra um exemplo da implementação do serviço de filtragem de URLs com vários pontos finais de firewall, configurados para duas redes VPC na mesma região, mas em duas zonas diferentes.

Implemente o serviço de filtragem de URLs numa região.
Implemente o serviço de filtragem de URLs numa região (clique para aumentar).

A implementação de exemplo tem a seguinte configuração:

  1. Dois grupos de perfis de segurança:

    1. Security profile group 1 com perfil de segurança Security profile 1.

    2. Security profile group 2 com perfil de segurança Security profile 2.

  2. A VPC do cliente 1 (VPC 1) tem uma política de firewall com o respetivo grupo de perfis de segurança definido como Security profile group 1.

  3. A VPC do cliente 2 (VPC 2) tem uma política de firewall com o respetivo grupo de perfis de segurança definido como Security profile group 2.

  4. O ponto final da firewall Firewall endpoint 1 executa a filtragem de URLs para cargas de trabalho executadas no VPC 1 e no VPC 2 na zona us-west1-a.

  5. O ponto final da firewall Firewall endpoint 2 executa a filtragem de URLs com a inspeção TLS ativada para cargas de trabalho em execução em VPC 1 e VPC 2 na zona us-west1-b.

O que se segue?