Esta página foi traduzida pela API Cloud Translation.

Palavras-chave

Esta página fornece a terminologia principal que se aplica à firewall de nova geração do Google Cloud. Reveja estes termos para compreender melhor como funciona o NGFW da nuvem e os conceitos nos quais se baseia.

Grupos de endereços

Os grupos de endereços são uma coleção lógica de intervalos de endereços IPv4 ou IPv6 no formato CIDR. Pode usar grupos de endereços para definir origens ou destinos consistentes referenciados por muitas regras de firewall. Para mais informações sobre grupos de endereços, consulte o artigo Grupos de endereços para políticas de firewall.

Formato CIDR

O formato ou a notação CIDR (Classless Inter-Domain Routing) é um método para representar um endereço IP e a respetiva sub-rede. É uma alternativa à escrita de uma máscara de sub-rede completa. Consiste num endereço IP, seguido de uma barra (/) e um número. O número indica o número de bits no endereço IP que definem a parte da rede.

Cloud NGFW

A firewall de nova geração da nuvem é um serviço de firewall totalmente distribuído com capacidades de proteção avançadas, microsegmentação e cobertura abrangente para ajudar a proteger as suas cargas de trabalho de ataques internos e externos. Google Cloud A NGFW na nuvem está disponível em três níveis: Cloud Next Generation Firewall Essentials, Cloud Next Generation Firewall Standard e Cloud Next Generation Firewall Enterprise. Para mais informações, consulte a vista geral da NGFW na nuvem.

Cloud NGFW Essentials

O Cloud Next Generation Firewall Essentials é o serviço de firewall fundamental oferecido pela Google Cloud. Inclui funcionalidades como políticas de firewall de rede globais e políticas de firewall de rede regionais, etiquetas regidas pela gestão de identidade e acesso (IAM), grupos de endereços e regras de firewall da nuvem virtual privada (VPC). Para mais informações, consulte a Vista geral do Cloud NGFW Essentials.

Cloud NGFW Enterprise

A firewall de nova geração empresarial do Google Cloud oferece capacidades avançadas de segurança da camada 7 que protegem as suas cargas de trabalho contra ameaças e ataques maliciosos. Google Cloud Inclui um serviço de deteção e prevenção de intrusões com interceção e desencriptação de Transport Layer Security (TLS), que oferece deteção e prevenção de ameaças de software malicioso, spyware e ataques de comando e controlo na sua rede.

Cloud NGFW Standard

O Cloud NGFW Standard expande as funcionalidades do Cloud NGFW Essentials para oferecer capacidades melhoradas que ajudam a proteger a sua infraestrutura na nuvem contra ataques maliciosos. Inclui funcionalidades e capacidades como informações sobre ameaças para regras de políticas de firewall, objetos de nomes de domínio totalmente qualificados (FQDN) e objetos de geolocalização nas regras de políticas de firewall.

Ponto final da firewall

Um ponto final de firewall é um recurso do Cloud NGFW que permite capacidades de proteção avançadas da camada 7, como um serviço de deteção e prevenção de intrusões, na sua rede. Para mais informações, consulte o artigo Vista geral do ponto final da firewall.

Regras de firewall

As regras de firewall são os elementos básicos da segurança de rede. Uma regra de firewall controla o tráfego de entrada ou saída para uma instância de máquina virtual (VM). Por predefinição, o tráfego de entrada está bloqueado. Para mais informações, consulte o artigo Políticas de firewall.

Registo de regras de firewall

O registo de regras de firewall permite-lhe auditar, validar e analisar os efeitos das suas regras de firewall. Por exemplo, pode determinar se uma regra de firewall concebida para recusar tráfego está a funcionar conforme previsto. O registo das regras de firewall também é útil se precisar de determinar quantas ligações são afetadas por uma determinada regra de firewall. Para mais informações, consulte o artigo Registo de regras de firewall.

Políticas de firewall

As políticas de firewall permitem-lhe agrupar várias regras de firewall para que possa atualizá-las todas em simultâneo, controladas eficazmente pelas funções da IAM. As políticas de firewall são de três tipos: políticas de firewall hierárquicas, políticas de firewall de rede globais e políticas de firewall de rede regionais. Para mais informações, consulte o artigo Políticas de firewall.

Regras de política de firewall

Quando cria uma regra de política de firewall, especifica um conjunto de componentes que definem o que a regra faz. Estes componentes especificam a direção do tráfego, a origem, o destino e as caraterísticas da camada 4, como o protocolo e a porta de destino (se o protocolo usar portas). Estes componentes são denominados regras de política de firewall. Para mais informações, consulte as Regras da política de firewall.

Objetos FQDN

Um nome do domínio totalmente qualificado (FQDN) é o nome completo de um recurso específico na Internet. Por exemplo, cloud.google.com. Os objetos FQDN nas regras da política de firewall filtram o tráfego de entrada ou saída de ou para um nome de domínio específico. Com base na direção do tráfego, os endereços IP associados aos nomes de domínio são comparados com a origem ou o destino do tráfego. Para mais informações, consulte a secção Objetos FQDN.

Objetos de geolocalização

Use objetos de geolocalização em regras de políticas de firewall para filtrar o tráfego IPv4 externo e IPv6 externo com base em localizações geográficas ou regiões específicas. Pode usar objetos de geolocalização juntamente com outros filtros de origem ou destino. Para mais informações, consulte Objetos de geolocalização.

Políticas de firewall de rede globais

As políticas de firewall de rede globais permitem-lhe agrupar regras num objeto de política aplicável a todas as regiões (global). Depois de associar uma política de firewall de rede global a uma rede VPC, as regras na política podem aplicar-se a recursos na rede VPC. Para ver as especificações e os detalhes da política de firewall de rede global, consulte o artigo Políticas de firewall de rede global.

Políticas de firewall hierárquicas

As políticas de firewall hierárquicas permitem agrupar regras num objeto de política que pode ser aplicado a muitas redes VPC num ou mais projetos. Pode associar políticas de firewall hierárquicas a uma organização inteira ou a pastas individuais. Para ver as especificações e os detalhes das políticas de firewall hierárquicas, consulte o artigo Políticas de firewall hierárquicas.

Gestão de identidade e de acesso

O IAM doGoogle Cloudpermite-lhe conceder acesso detalhado a recursos específicos e ajuda a impedir o acesso a outros recursos. Google Cloud O IAM permite-lhe adotar o princípio de segurança do menor privilégio, que afirma que ninguém deve ter mais autorizações do que as que realmente precisa. Para mais informações, consulte a vista geral da IAM.

Regras implícitas

Todas as redes VPC têm duas regras de firewall IPv4 implícitas. Se o IPv6 estiver ativado numa rede da VPC, a rede também tem duas regras de firewall IPv6 implícitas. Estas regras não são apresentadas na Google Cloud consola.

As regras de firewall IPv4 implícitas estão presentes em todas as redes VPC, independentemente de como as redes são criadas ou se são redes VPC de modo automático ou de modo personalizado. A rede predefinida tem as mesmas regras implícitas. Para mais informações, consulte as Regras implícitas.

Serviço de deteção e prevenção de intrusões

O serviço de deteção e prevenção de intrusões do NGFW na nuvem monitoriza continuamente o tráfego da sua carga de trabalho quanto a qualquer atividade maliciosa e toma medidas preventivas para a evitar. Google Cloud A atividade maliciosa pode incluir ameaças, como intrusões, software malicioso, spyware e ataques de comando e controlo à sua rede. Para mais informações, Vista geral do serviço de deteção e prevenção de intrusões.

Políticas de firewall de rede

As políticas de firewall de rede, também conhecidas como políticas de firewall, permitem-lhe agrupar várias regras de firewall para que possa atualizá-las todas de uma só vez, controladas eficazmente pelas funções do IAM. Estas políticas contêm regras que podem negar ou permitir explicitamente ligações, tal como as regras de firewall da VPC. Isto inclui políticas de firewall de rede globais e regionais. Para mais informações, consulte o artigo Políticas de firewall.

Etiquetas de rede

Uma etiqueta de rede é uma string de carateres que é adicionada a um campo de etiquetas num recurso, como instâncias de VMs do Compute Engine ou modelos de instâncias. Uma etiqueta não é um recurso separado, pelo que não a pode criar separadamente. Todos os recursos com essa string são considerados como tendo essa etiqueta. As etiquetas permitem-lhe criar regras de firewall da VPC e trajetos aplicáveis a instâncias de VM específicas.

Espelhamento de pacotes

A replicação de pacotes, um serviço fora da banda, clona o tráfego de rede com base nos critérios de filtragem especificados nas regras de replicação da política de firewall. Este tráfego espelhado é, em seguida, enviado para as implementações de dispositivos virtuais de terceiros para inspeção detalhada de pacotes. Usa a replicação de pacotes para analisar o tráfego de rede das suas cargas de trabalho em grande escala. Para mais informações, consulte a Vista geral da integração fora da banda.

Herança de políticas

Por predefinição, as políticas da organização são herdadas pelos descendentes dos recursos nos quais aplica a política. Por exemplo, se aplicar uma política a uma pasta, Google Cloud aplica a política a todos os projetos na pasta. Para saber mais acerca deste comportamento e como o alterar, consulte as regras de avaliação da hierarquia.

Prioridade

A prioridade de uma regra numa política de firewall é um número inteiro de 0 a 2 147 483 647, inclusive. Os números inteiros mais baixos indicam prioridades mais elevadas. Para mais informações, consulte o artigo Prioridade.

Políticas de firewall de rede regionais

As políticas de firewall de rede regionais permitem-lhe agrupar regras num objeto de política aplicável a uma região específica. Depois de associar uma política de firewall de rede regional a uma rede VPC, as regras na política podem aplicar-se a recursos nessa região da rede VPC. Para ver as especificações e os detalhes da política de firewall regional, consulte o artigo Políticas de firewall de rede regionais.

Perfis seguros

Os perfis seguros ou de segurança ajudam a definir a política de inspeção da camada 7 para os seus Google Cloud recursos. São estruturas de políticas genéricas usadas pelos pontos finais da firewall para analisar o tráfego intercetado de modo a fornecer serviços da camada de aplicação, como deteção e prevenção de intrusões. Para mais informações, consulte o artigo Vista geral do perfil de segurança.

Grupos de perfis de segurança

Um grupo de perfis de segurança é um contentor para perfis de segurança. Uma regra de política de firewall faz referência a um grupo de perfis de segurança para ativar a inspeção da camada 7, como um serviço de deteção e prevenção de intrusões, na sua rede. Para mais informações, consulte o artigo Vista geral do grupo de perfis de segurança.

Indicação de Nome do Servidor

A Indicação do nome do servidor (SNI) é uma extensão ao protocolo de rede informática TLS. O SNI permite que vários sites HTTPS partilhem um certificado de IP e TLS, o que é mais eficiente e rentável porque não precisa de certificados individuais para cada Website no mesmo servidor.

Etiquetas

A Google Cloud hierarquia de recursos é uma forma de organizar os seus recursos numa estrutura em árvore. Esta hierarquia ajuda a gerir recursos em grande escala, mas modela apenas algumas dimensões da empresa, incluindo a estrutura organizacional, as regiões, os tipos de carga de trabalho e os centros de custos. A hierarquia não tem a flexibilidade necessária para sobrepor várias dimensões da empresa.

As etiquetas oferecem uma forma de criar anotações para recursos e, em alguns casos, permitem ou negam condicionalmente políticas com base no facto de um recurso ter uma etiqueta específica. Pode usar etiquetas e a aplicação condicional de políticas para ter um controlo detalhado na hierarquia de recursos.

As etiquetas são diferentes das etiquetas de rede. Para mais informações sobre as diferenças entre etiquetas e etiquetas de rede, consulte o artigo Comparação entre etiquetas e etiquetas de rede.

Informações sobre ameaças

As regras da política de firewall permitem-lhe proteger a sua rede, permitindo ou bloqueando o tráfego com base nos dados de informações sobre ameaças. Os dados de informações sobre ameaças incluem listas de endereços IP com base nos nós de saída do Tor, endereços IP maliciosos conhecidos, motores de pesquisa e intervalos de endereços IP da nuvem pública. Para mais informações, consulte o artigo Inteligência contra ameaças para regras de políticas de firewall.

Assinatura de ameaça

A deteção de ameaças baseada em assinaturas é um dos mecanismos mais usados para identificar comportamentos maliciosos e, por isso, é amplamente usada para impedir ataques de rede. As capacidades de deteção de ameaças do NGFW da nuvem são baseadas nas tecnologias de prevenção de ameaças da Palo Alto Networks. Para mais informações, consulte o artigo Vista geral das assinaturas de ameaças.

Inspeção de Transport Layer Security

O NGFW da nuvem oferece um serviço de interceção e desencriptação de TLS que pode inspecionar o tráfego encriptado e não encriptado para verificar a existência de ataques e interrupções de rede. As ligações TLS são inspecionadas nas ligações recebidas e enviadas, incluindo o tráfego de e para a Internet e o tráfego dentro do Google Cloud.

O Cloud NGFW desencripta o tráfego TLS para permitir que o ponto final da firewall execute a inspeção da camada 7, como o serviço de deteção e prevenção de intrusões, na sua rede. Após a inspeção, o Cloud NGFW volta a encriptar o tráfego antes de o enviar para o respetivo destino. Para mais informações, consulte a vista geral da inspeção TLS.

Etiquetas para firewall

As etiquetas também são denominadas etiquetas seguras. As etiquetas permitem-lhe definir origens e destinos nas políticas de firewall de rede globais e nas políticas de firewall de rede regionais. As etiquetas são diferentes das etiquetas de rede. As etiquetas de rede são strings simples, não chaves e valores, e não oferecem qualquer tipo de controlo de acesso. Para mais informações sobre as diferenças entre as etiquetas e as etiquetas de rede, e que produtos suportam cada uma, consulte o artigo Comparação entre etiquetas e etiquetas de rede.

Regras de firewall da VPC

As regras de firewall da VPC permitem-lhe autorizar ou recusar ligações a ou de instâncias de VMs na sua rede da VPC. Ativadas As regras de firewall da VPC são sempre aplicadas, o que ajuda a proteger as suas instâncias, independentemente da respetiva configuração e sistema operativo, mesmo que não tenham sido iniciadas. Estas regras aplicam-se a um determinado projeto e rede. Para mais informações, consulte o artigo Regras de firewall da VPC.

O que se segue?

Para informações conceptuais sobre o Cloud NGFW, consulte o artigo Vista geral do Cloud NGFW.
Para informações conceptuais sobre as regras de política de firewall, consulte o artigo Regras de política de firewall.
Para criar, atualizar, monitorizar ou eliminar regras de firewall de VPC, consulte o artigo Use regras de firewall de VPC.
Para determinar os custos, consulte os preços do Cloud NGFW.

Palavras-chave Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.