Configurar o serviço de filtragem de URL

Com o serviço de filtragem de URL, é possível controlar o acesso a domínios da Web específicos bloqueando ou permitindo o acesso a eles. Para ativar o serviço de filtragem de URL na rede, configure vários componentes do Cloud Next Generation Firewall, incluindo endpoints de firewall, perfis de segurança e grupos de perfis de segurança. Este documento apresenta um fluxo de trabalho de alto nível que descreve como configurar esses componentes e ativar o serviço de filtragem de URL.

Para saber mais sobre o serviço de filtragem de URL, consulte a visão geral do serviço de filtragem de URL.

Configurar o serviço de filtragem de URL sem inspeção TLS

Para configurar o serviço de filtragem de URL na sua rede, execute as tarefas a seguir.

  1. Crie um perfil de segurança para filtragem de URL.

    Para permitir ou negar o acesso a domínios específicos, crie um perfil de segurança do tipo url-filtering e use listas de URLs para especificar as strings de correspondência.

    Para mais informações, consulte Criar um perfil de segurança de filtragem de URL.

  2. Como opção, você pode criar um perfil de segurança para verificar o tráfego em busca de ameaças.

    Para verificar o tráfego em busca de ameaças à segurança, crie outro perfil de segurança do tipo threat-prevention. Analise a lista de assinaturas de ameaças, avalie as respostas padrão e personalize as ações para as assinaturas selecionadas de acordo com seus requisitos.

    Para mais informações, consulte Criar um perfil de segurança de prevenção de ameaças. Para saber mais sobre o serviço de detecção e prevenção contra invasões, consulte Visão geral do serviço de detecção e prevenção contra invasões.

  3. Crie um grupo de perfis de segurança.

    Um grupo de perfis de segurança funciona como um contêiner para perfis de segurança. Crie um grupo de perfis de segurança para incluir os perfis criados nas etapas anteriores.

    Para mais informações, consulte Criar um grupo de perfis de segurança.

  4. Crie um endpoint de firewall.

    Um endpoint de firewall é um recurso zonal que precisa ser criado na mesma zona da carga de trabalho que você quer proteger com o serviço de filtragem de URL.

    Para mais informações, consulte Criar um endpoint de firewall.

  5. Associe o endpoint de firewall às suas redes VPC.

    Para ativar o serviço de filtragem de URL, associe o endpoint de firewall às suas redes VPC. Verifique se as cargas de trabalho estão sendo executadas na mesma zona que o endpoint de firewall.

    Para mais informações, consulte Criar associações de endpoint de firewall.

  6. Configure e aplique o serviço de filtragem de URL ao tráfego de rede.

    Para configurar o serviço de filtragem de URL, crie uma política global de firewall de rede ou uma política hierárquica de firewall com inspeção da camada 7.

    • Se você criar uma política de firewall global ou usar uma já existente, adicione uma regra de política de firewall com a ação apply_security_profile_group e especifique o nome do grupo de perfis de segurança que você criou anteriormente. Verifique se a política de firewall está associada à mesma rede VPC que as cargas de trabalho que exigem inspeção.

      Para mais informações, consulte Criar uma política de firewall de rede global e Criar regras de firewall de rede global.

    • Se você criar ou usar uma política de firewall hierárquica, adicione uma regra com a ação apply_security_profile_group. Verifique se a política de firewall está associada à mesma rede VPC que as cargas de trabalho que exigem inspeção.

      Para mais informações, consulte Criar regras de firewall.

Configurar o serviço de filtragem de URL com inspeção de TLS

Para configurar o serviço de filtragem de URL com a inspeção de Transport Layer Security (TLS) na sua rede, execute as tarefas a seguir.

  1. Crie um perfil de segurança para filtragem de URL.

    Para permitir ou negar o acesso a domínios específicos, crie um perfil de segurança do tipo url-filtering e use listas de URLs para especificar as strings de correspondência.

    Para mais informações, consulte Criar um perfil de segurança de filtragem de URL.

  2. Como opção, você pode criar um perfil de segurança para verificar o tráfego em busca de ameaças.

    Para verificar o tráfego em busca de ameaças à segurança, crie outro perfil de segurança do tipo threat-prevention. Analise a lista de assinaturas de ameaças, avalie as respostas padrão e personalize as ações para as assinaturas selecionadas de acordo com seus requisitos.

    Para mais informações, consulte Criar um perfil de segurança de prevenção de ameaças. Para saber mais sobre o serviço de detecção e prevenção contra invasões, consulte Visão geral do serviço de detecção e prevenção contra invasões.

  3. Crie um grupo de perfis de segurança.

    Um grupo de perfis de segurança funciona como um contêiner para perfis de segurança. Crie um grupo de perfis de segurança para incluir os perfis criados nas etapas anteriores.

    Para mais informações, consulte Criar um grupo de perfis de segurança.

  4. Crie um endpoint de firewall.

    Um endpoint de firewall é um recurso zonal que precisa ser criado na mesma zona da carga de trabalho que você quer proteger com o serviço de filtragem de URL.

    Para mais informações, consulte Criar um endpoint de firewall.

  5. Crie e configure recursos para inspecionar o tráfego criptografado.

    1. Crie um pool de autoridade certificadora (CA).

      Um pool de ACs é uma coleção de ACs com uma política de emissão de certificados e uma política do Identity and Access Management (IAM) comuns. Um pool de CAs regional precisa existir antes que você possa configurar a inspeção de TLS.

      Para mais informações, consulte Criar um pool de ACs.

    2. Crie uma CA raiz.

      Para usar a inspeção TLS, você precisa ter pelo menos uma CA raiz. A CA raiz assina uma CA intermediária, que assina todos os certificados folha dos clientes. Para mais informações, consulte a documentação de referência do comando gcloud privateca roots create.

    3. Conceda as permissões necessárias ao agente de serviço de segurança de rede (P4SA).

      O Cloud NGFW exige uma P4SA para gerar CAs intermediárias para inspeção de TLS. O agente de serviço precisa das permissões necessárias para solicitar certificados para o pool de CA.

      Para mais informações, consulte Criar uma conta de serviço.

  6. Crie uma política regional de inspeção de TLS.

    Uma política de inspeção TLS especifica como interceptar o tráfego criptografado. Uma política regional de inspeção de TLS pode conter as configurações para a inspeção de TLS.

    Para mais informações, consulte Criar uma política de inspeção TLS.

  7. Associe o endpoint de firewall às suas redes VPC.

    Para ativar o serviço de filtragem de URL, associe o endpoint de firewall às suas redes VPC. Verifique se as cargas de trabalho estão sendo executadas na mesma zona que o endpoint de firewall.

    Além disso, associe o endpoint de firewall a uma política de inspeção de TLS.

    Para mais informações, consulte Criar associações de endpoint de firewall.

  8. Configure e aplique o serviço de filtragem de URL ao tráfego de rede.

    Para configurar o serviço de filtragem de URL, crie uma política global de firewall de rede ou uma política hierárquica de firewall com inspeção da camada 7.

    • Se você criar uma política de firewall global ou usar uma já existente, adicione uma regra de política de firewall com a ação apply_security_profile_group e especifique o nome do grupo de perfis de segurança que você criou anteriormente. Verifique se a política de firewall está associada à mesma rede VPC que as cargas de trabalho que exigem inspeção.

      Para mais informações, consulte Criar uma política global de firewall de rede e Criar regras de política global de firewall de rede.

    • Se você criar ou usar uma política de firewall hierárquica, adicione uma regra com a ação apply_security_profile_group configurada. Verifique se a política de firewall está associada à mesma rede VPC que as cargas de trabalho que exigem inspeção.

      Para mais informações, consulte Criar regras de firewall.

Exemplo de modelo de implantação

O diagrama a seguir mostra um exemplo da implantação do serviço de filtragem de URL com vários endpoints de firewall, configurados para duas redes VPC na mesma região, mas em duas zonas diferentes.

Implante o serviço de filtragem de URL em uma região.
Implante o serviço de filtragem de URL em uma região (clique para ampliar).

A implantação de exemplo tem a seguinte configuração:

  1. Dois grupos de perfis de segurança:

    1. Security profile group 1 com o perfil de segurança Security profile 1.

    2. Security profile group 2 com o perfil de segurança Security profile 2.

  2. A VPC 1 do cliente (VPC 1) tem uma política de firewall com o grupo de perfis de segurança definido como Security profile group 1.

  3. A VPC 2 do cliente (VPC 2) tem uma política de firewall com o grupo de perfis de segurança definido como Security profile group 2.

  4. O endpoint de firewall Firewall endpoint 1 realiza a filtragem de URL para cargas de trabalho em execução no VPC 1 e VPC 2 na zona us-west1-a.

  5. O endpoint de firewall Firewall endpoint 2 realiza a filtragem de URL com a inspeção de TLS ativada para cargas de trabalho em execução no VPC 1 e VPC 2 na zona us-west1-b.

A seguir