Términos clave

En esta página, se proporciona terminología clave que se aplica a Cloud Next Generation Firewall. Revisa estas condiciones para comprender mejor cómo funciona Cloud NGFW y los conceptos en los que se basa.

Grupos de direcciones

Los grupos de direcciones son una colección lógica de rangos de direcciones IPv4 o rangos de direcciones IPv6 en formato CIDR. Puedes usar grupos de direcciones para definir orígenes o destinos coherentes a los que hacen referencia muchas reglas de firewall. A fin de obtener más información sobre los grupos de direcciones, consulta Grupos de direcciones para políticas de firewall.

Formato CIDR

El formato o la notación del enrutamiento entre dominios sin clases (CIDR) es un método para representar una dirección IP y su subred. Es una alternativa a escribir una máscara de subred completa. Consiste en una dirección IP, seguida de una barra diagonal (/) y un número. El número indica la cantidad de bits en la dirección IP que definen la parte de la red.

Cloud NGFW

Cloud Next Generation Firewall es un servicio de firewall completamente distribuido con capacidades de protección avanzada, microsegmentación y cobertura generalizada para proteger tus cargas de trabajo de Google Cloud de los ataques internos y externos. Cloud NGFW está disponible en tres niveles: Cloud Next Generation Firewall Essentials, Cloud Next Generation Firewall Standard y Cloud Firewall Enterprise. Para obtener más información, consulta Descripción general de Cloud NGFW.

Cloud NGFW Essentials

Cloud Next Firewall Essentials es el servicio de firewall fundamental que ofrece Google Cloud. Incluye funciones y capacidades como las políticas de firewall de red globales y las políticas de firewall de red regionales, Etiquetas administradas por Identity and Access Management (IAM), Grupos de direcciones y reglas de firewall de nube privada virtual (VPC). Para obtener más información, consulta Descripción general de Cloud NGFW Essentials.

Cloud NGFW Enterprise

Cloud Next Generation Firewall Enterprise proporciona capacidades avanzadas de seguridad de capa 7 que protegen tus cargas de trabajo de Google Cloud de amenazas y ataques maliciosos. Incluye el servicio de prevención de intrusiones con interceptación y desencriptación de seguridad de la capa de transporte (TLS), que proporciona detección y prevención de amenazas de software malicioso, software espía y ataques de comando y control en tu red.

Cloud NGFW Standard

Cloud NGFW Standard extiende las funciones de Cloud NGFW Essentials para proporcionar capacidades mejoradas para proteger tu infraestructura de nube de ataques maliciosos. Incluye funciones y capacidades como la inteligencia contra amenazas para las reglas de políticas de firewall, objetos de nombre de dominio completamente calificados (FQDN) y objetos de ubicación geográfica en las reglas de políticas de firewall.

Extremo de firewall

Un extremo de firewall es un recurso de Cloud NGFW que habilita las funciones avanzadas de protección de la capa 7, como la prevención de intrusiones, en tu red. Para obtener más información, consulta Descripción general del extremo de firewall.

Reglas de firewall

Las reglas de firewall son los componentes básicos de la seguridad de red. Una regla de firewall controla el tráfico entrante o saliente a una instancia de máquina virtual (VM). Según la configuración predeterminada, el tráfico entrante se bloquea. Para obtener más información, consulta las Políticas de firewall.

Registro de reglas de firewall

Los registros de reglas de firewall te permiten inspeccionar, verificar y analizar los efectos de tus reglas de firewall. Por ejemplo, puedes determinar si una regla de firewall diseñada para denegar tráfico está funcionando según lo previsto. Este registro también es útil si necesitas determinar cuántas conexiones se ven afectadas por una regla de firewall determinada. Para obtener más información, consulta Registro de reglas de firewall.

Políticas de firewall

Las políticas de firewall te permiten agrupar varias reglas de firewall para que puedas actualizarlas todas a la vez, con eficacia controlada por roles de IAM. Las políticas de firewall son de tres tipos: políticas de firewall jerárquicas, políticas de firewall de red globales y políticas de firewall de red regionales. Para obtener más información, consulta las políticas de firewall.

Reglas de la política de firewall

Cuando creas una regla de política de firewall, debes especificar un conjunto de componentes que definen lo que hace la regla. Estos componentes especifican la dirección del tráfico, el origen, el destino y las características de la capa 4, como el protocolo y el puerto de destino (si el protocolo usa puertos). Estos componentes se llaman reglas de política de firewall. Para obtener más información, consulta las Reglas de políticas del firewall.

Objetos FQDN

Un nombre de dominio completamente calificado (FQDN) es el nombre completo de un recurso específico en Internet. Por ejemplo, cloud.google.com. Los objetos FQDN en las reglas de la política de firewall filtran el tráfico entrante o saliente desde o hacia un nombre de dominio específico. Según la dirección del tráfico, las direcciones IP asociadas con los nombres de dominio coinciden con la fuente o el destino del tráfico. Para obtener más información, consulta los objetos FQDN.

Objetos de ubicación geográfica

Usa objetos de ubicación geográfica en reglas de la política de firewall para filtrar el tráfico IPv4 y el IPv6 externo en función de ubicaciones geográficas o regiones específicas. Puedes usar objetos de ubicación geográfica junto con otros filtros de origen o de destino. Para obtener más información, consulta Objetos de ubicación geográfica.

Políticas de firewall de redes globales

Las políticas de firewall de red globales te permiten agrupar reglas en un objeto de política aplicable a todas las regiones (global). Después de asociar una política de firewall de red global con una red de VPC, las reglas de la política pueden aplicarse a los recursos en la red de VPC. Para obtener más información sobre las especificaciones de las políticas de firewall de la red globales, consulta la políticas de firewall de red globales.

Políticas jerárquicas de firewall

Las políticas de firewall jerárquicas te permiten agrupar reglas en un objeto de política que puede aplicarse a muchas redes de VPC en uno o más proyectos. Puedes asociar políticas de firewall jerárquicas con una organización completa o carpetas individuales. Para obtener más información y especificaciones de las políticas de los firewalls jerárquicos, consulta Políticas de firewall jerárquicas.

Identity and Access Management

IAM de Google Cloud te permite otorgar acceso detallado a recursos específicos de Google Cloud y ayuda a evitar el acceso a otros recursos. IAM te permite adoptar el principio de seguridad de mínimo privilegio de seguridad, que indica que nadie debe tener más permisos de los que realmente necesita. Para obtener más información, consulta la Descripción general de IAM.

Reglas implícitas

Cada red de VPC tiene dos reglas de firewall IPv4 implícitas. Si IPv6 está habilitado en una red de VPC, la red también tiene dos reglas de firewall IPv6 implícitas. Estas reglas no se muestran en la consola de Google Cloud.

Las reglas de firewall IPv4 implícitas están presentes en todas las redes de VPC, sin importar cómo se crean las redes o si son redes de VPC de modo automático o personalizado. La red predeterminada tiene las mismas reglas implícitas. Para obtener más información, consulta Reglas implícitas.

Servicio de prevención de intrusiones

El servicio de prevención de intrusiones de Cloud NGFW supervisa de forma continua el tráfico de la carga de trabajo de Google Cloud para detectar actividad maliciosa y toma medidas interrumpibles a fin de evitarlo. La actividad maliciosa puede incluir amenazas como intrusiones, software malicioso, software espía y ataques de comando y control en tu red. Para obtener más información, consulta Descripción general del servicio de prevención de intrusiones.

Políticas de firewall de red

Las políticas de firewall de red, también conocidas como políticas de firewall, te permiten agrupar varias reglas de firewall para que puedas actualizarlas todas a la vez, controladas eficazmente por roles de IAM. Estas políticas contienen reglas que pueden rechazar o permitir las conexiones de forma explícita, al igual que las reglas de firewall de VPC. Esto incluye las políticas de firewall de red globales y regionales. Para obtener más información, consulta las Políticas de firewall.

Etiquetas de red

Una etiqueta de red es una string de caracteres que se agrega al campo de etiquetas en un recurso, como las instancias de VM de Compute Engine o las plantillas de instancias. Una etiqueta no es un recurso independiente, por lo que no puedes crearla por separado. Se considera que todos los recursos con esa string tienen esa etiqueta. Las etiquetas te permiten hacer que las rutas y reglas del firewall de VPC sean aplicables a instancias de VM específicas.

Duplicación de paquetes

Con la duplicación de paquetes, se puede clonar el tráfico de instancias de VM específicas en tu red de VPC y reenviar el tráfico para su análisis. La duplicación de paquetes capta todo el tráfico y los datos de paquetes, incluidas las cargas útiles y los encabezados. Puedes configurar la captura para solo el tráfico de entrada o solo el de salida, o ambos (entrada y salida). La Duplicación de paquetes es útil cuando necesitas supervisar y analizar tu estado de seguridad. Se exporta todo el tráfico, no solo el tráfico entre los períodos de muestreo.

Herencia de políticas

De forma predeterminada, las políticas de la organización se heredan según los subordinados de los recursos en los que se aplica la política. Por ejemplo, si aplicas una política en una carpeta, Google Cloud aplica la política en todos los proyectos de la carpeta. Para obtener más información sobre este comportamiento y cómo cambiarlo, consulta Reglas de evaluación de jerarquía.

Prioridad

La prioridad de una regla en una política de firewall es un número entero de 0 a 2,147,483,647, inclusive. Los números enteros más bajos indican prioridades más altas. Para obtener más información, consulta Prioridad.

Políticas de firewall de redes regionales

Las políticas de firewall de red regionales te permiten agrupar reglas en un objeto de política que es aplicable a una región específica. Después de asociar una política de firewall de red regional con una red de VPC, las reglas de la política pueden aplicarse a los recursos dentro de esa región de la red de VPC. Para obtener más información sobre las especificaciones y las políticas de los firewalls regionales, consulta las políticas de firewall de red regionales.

Perfiles seguros

Los perfiles seguros o de seguridad te ayudan a definir la política de inspección de la capa 7 para tus recursos de Google Cloud. Son estructuras de políticas genéricas que usan los extremos de firewall para analizar el tráfico interceptado a fin de proporcionar servicios de capa de aplicación, como la prevención de intrusiones. Para obtener más información, consulta Descripción general de las políticas de seguridad.

Grupos de perfiles de seguridad

Un grupo de perfil de seguridad es un contenedor de perfiles de seguridad. Una regla de políticas de firewall hace referencia a un grupo de perfiles de seguridad para habilitar la inspección de la capa 7, como la prevención de intrusiones, en tu red. Para obtener más información, consulta Descripción general del grupo de perfiles de seguridad.

Indicación del nombre del servidor

La indicación del nombre del servidor (SNI) es una extensión del protocolo de redes informáticas TLS. La SNI permite que varios sitios HTTPS compartan una IP y un certificado TLS, que es más eficiente y rentable porque no necesitas certificados individuales para cada sitio web en el mismo servidor.

Etiquetas

La jerarquía de recursos de Google Cloud es una forma de organizar los recursos en una estructura de árbol. Esta jerarquía te ayuda a administrar recursos a gran escala, pero modela solo algunas dimensiones empresariales, como la estructura organizativa, las regiones, los tipos de cargas de trabajo y los centros de costos. La jerarquía carece de la flexibilidad de agrupar varias dimensiones empresariales.

Las etiquetas proporcionan una forma de crear anotaciones para los recursos y, en algunos casos, permitir o denegar políticas de forma condicional en función de si un recurso tiene una etiqueta específica. Puedes usar etiquetas y la aplicación condicional de políticas para obtener un control detallado de toda la jerarquía de recursos.

Las etiquetas son diferentes de las etiquetas de red. Para obtener más información sobre las diferencias entre las etiquetas y las etiquetas de red, consulta Comparación de etiquetas y etiquetas de red.

Inteligencia contra amenazas

Las reglas de políticas de firewall te permiten proteger tu red, ya que permiten o bloquean el tráfico según los datos de Threat Intelligence. Los datos de Threat Intelligence incluyen listas de direcciones IP basadas en los nodos de salida de Tor, las direcciones IP maliciosas conocidas, los motores de búsqueda y los rangos de direcciones IP de la nube pública. Si deseas obtener información, consulta Threat Intelligence para las reglas de políticas de firewall.

Firma de amenazas

La detección de amenazas basada en firmas es uno de los mecanismos más comunes para identificar comportamientos maliciosos y, por lo tanto, se usa ampliamente para evitar ataques de red. Las capacidades de detección de amenazas de Cloud NGFW tienen la tecnología de las tecnologías de prevención de amenazas de Palo Alto Networks. Para obtener más información, consulta Descripción general de las firmas de amenazas.

Inspección de seguridad de la capa de transporte

Cloud NGFW ofrece un servicio de intercepción y desencriptación de TLS que puede inspeccionar el tráfico encriptado y no encriptado para detectar ataques de red e interrupciones. Las conexiones TLS se inspeccionan en conexiones entrantes y salientes, incluido el tráfico desde y hacia Internet y el tráfico dentro de Google Cloud.

Cloud NGFW desencripta el tráfico TLS para permitir que el extremo del firewall realice una inspección de la capa 7, como la prevención de intrusiones, en tu red. Después de la inspección, Cloud NGFW vuelve a encriptar el tráfico antes de enviarlo a su destino. Para obtener más información, consulta Descripción general de la inspección de TLS.

Etiquetas para el firewall

Las etiquetas también se denominan etiquetas seguras. Las etiquetas te permiten definir fuentes y destinos en las políticas de firewall de red globales y las políticas de firewall regionales. Las etiquetas son diferentes de las etiquetas de red. Las etiquetas de red son strings simples, no claves y valores, y no ofrecen ningún tipo de control de acceso. Para obtener más información sobre las diferencias entre las etiquetas y las etiquetas de red, y qué productos admiten cada una, consulta Comparación de las etiquetas de Resource Manager y las etiquetas de red.

Reglas de firewall de VPC

Las reglas de firewall de VPC permiten o rechazan las conexiones hacia o desde las instancias de máquina virtual (VM) en la red de VPC. Las reglas de firewall de VPC habilitadas siempre se aplican para proteger las instancias sin importar la configuración ni el sistema operativo, incluso si no se iniciaron. Estas reglas se aplican a un proyecto y una red determinados. Para obtener más información, consulta las Reglas de firewall de VPC.

¿Qué sigue?