Termini chiave

Questa pagina fornisce la terminologia chiave applicabile a Cloud Next Generation Firewall. Esamina questi termini per comprendere meglio come funziona Cloud NGFW e i concetti su cui si basa.

Gruppi di indirizzi

I gruppi di indirizzi sono una raccolta logica di intervalli di indirizzi IPv4 o IPv6 in formato CIDR. Puoi utilizzare i gruppi di indirizzi per definire origini o destinazioni coerenti a cui fanno riferimento molte regole del firewall. Per ulteriori informazioni sui gruppi di indirizzi, consulta Gruppi di indirizzi per i criteri firewall.

Formato CIDR

Il formato o la notazione CIDR (Classless Inter-Domain Routing) è un metodo per rappresentare un indirizzo IP e la relativa subnet. È un'alternativa alla scrittura di un'intera subnet mask. È composto da un indirizzo IP, seguito da una barra forward (/) e da un numero. Il numero indica il numero di bit nell'indirizzo IP che definiscono la parte di rete.

Cloud NGFW

Cloud Next Generation Firewall è un servizio firewall completamente distribuito con funzionalità di protezione avanzate, microsegmentazione e copertura pervasiva per proteggere i tuoi carichi di lavoro Google Cloud da attacchi interni ed esterni. Cloud NGFW è disponibile in tre livelli: Cloud Next Generation Firewall Essentials, Cloud Next Generation Firewall Standard e Cloud Next Generation Firewall Enterprise. Per ulteriori informazioni, consulta la panoramica di Cloud NGFW.

Cloud NGFW Essentials

Cloud Next Generation Firewall Essentials è il servizio di firewall di base offerto da Google Cloud. Include funzionalità e funzionalità come criteri firewall di rete globali e criteri firewall di rete regionali, tag regolati da Identity and Access Management (IAM), gruppi di indirizzi e regole firewall Virtual Private Cloud (VPC). Per ulteriori informazioni, consulta la panoramica di Cloud NGFW Essentials.

Cloud NGFW Enterprise

Cloud Next Generation Firewall Enterprise offre funzionalità di sicurezza avanzate di livello 7 che proteggono i tuoi carichi di lavoro Google Cloud da minacce e attacchi dannosi. Include il servizio di prevenzione delle intrusioni con intercettazione e decrittografia Transport Layer Security (TLS), che offre il rilevamento e la prevenzione delle minacce da malware, spyware e attacchi command-and-control sulla tua rete.

Cloud NGFW Standard

Cloud NGFW Standard estende le funzionalità di Cloud NGFW Essentials per fornire funzionalità avanzate per proteggere l'infrastruttura cloud da attacchi dannosi. Include funzionalità come la threat intelligence per le regole dei criteri firewall, gli oggetti di nome di dominio completo (FQDN) e gli oggetti di geolocalizzazione nelle regole dei criteri firewall.

Endpoint firewall

Un endpoint firewall è una risorsa Cloud NGFW che abilita le funzionalità di protezione avanzata di livello 7, come la prevenzione delle intrusioni, nella tua rete. Per ulteriori informazioni, consulta la panoramica degli endpoint firewall.

Regole firewall

Le regole del firewall sono gli elementi fondamentali della sicurezza della rete. Una regola del firewall controlla il traffico in entrata o in uscita verso un'istanza di macchina virtuale (VM). Per impostazione predefinita, il traffico in entrata è bloccato. Per ulteriori informazioni, consulta Criteri firewall.

Logging delle regole firewall

Il logging delle regole del firewall consente di controllare, verificare e analizzare gli effetti delle regole del firewall. Ad esempio, puoi determinare se una regola firewall progettata per negare il traffico funziona come previsto. Il logging delle regole firewall è utile anche se devi determinare quante connessioni sono interessate da una determinata regola firewall. Per ulteriori informazioni, consulta Logging delle regole firewall.

Criteri firewall

I criteri firewall consentono di raggruppare diverse regole firewall in modo da poterle aggiornare tutte insieme, con un controllo efficace mediante i ruoli IAM. Esistono tre tipi di criteri firewall: criteri firewall gerarchici, criteri firewall di rete globali e criteri firewall di rete regionali. Per ulteriori informazioni, consulta Criteri firewall.

Regole dei criteri firewall

Quando crei una regola del criterio firewall, specifichi un insieme di componenti che definiscono il funzionamento della regola. Questi componenti specificano la direzione, l'origine, la destinazione e le caratteristiche del livello 4 del traffico, come il protocollo e la porta di destinazione (se il protocollo utilizza porte). Questi componenti sono chiamati regole dei criteri firewall. Per ulteriori informazioni, consulta Regole dei criteri firewall.

Oggetti FQDN

Un nome di dominio completo (FQDN) è il nome completo di una risorsa specifica su internet. Ad esempio, cloud.google.com. Gli oggetti FQDN nelle regole dei criteri del firewall filtrano il traffico in entrata o in uscita da o verso un nome di dominio specifico. In base alla direzione del traffico, gli indirizzi IP associati ai nomi di dominio vengono abbinati alla sorgente o alla destinazione del traffico. Per ulteriori informazioni, consulta Oggetti FQDN.

Oggetti di geolocalizzazione

Utilizza gli oggetti di geolocalizzazione nelle regole dei criteri del firewall per filtrare il traffico IPv4 e IPv6 esterno in base a regioni o località geografiche specifiche. Puoi utilizzare gli oggetti di geolocalizzazione insieme ad altri filtri di origine o destinazione. Per informazioni, consulta Oggetti di geolocalizzazione.

Criteri firewall di rete globali

I criteri firewall di rete globali ti consentono di raggruppare le regole in un oggetto criterio applicabile a tutte le regioni (globale). Dopo aver associato un criterio firewall di rete globale a una rete VPC, le regole del criterio possono essere applicate alle risorse nella rete VPC. Per le specifiche e i dettagli dei criteri firewall di rete globale, consulta Criteri firewall di rete globali.

Criteri firewall gerarchici

I criteri firewall gerarchici ti consentono di raggruppare le regole in un oggetto criterio che può essere applicato a molte reti VPC in uno o più progetti. Puoi associare i criteri firewall gerarchici a un'intera organizzazione o a singole cartelle. Per le specifiche e i dettagli dei criteri firewall gerarchici, consulta Criteri firewall gerarchici.

Identity and Access Management

IAM di Google Cloud ti consente di concedere l'accesso granulare a determinate risorse Google Cloud e aiuta a impedire l'accesso ad altre risorse. IAM ti consente di adottare il principio di sicurezza del privilegio minimo, che afferma che nessuno deve disporre di più autorizzazioni di quelle di cui ha effettivamente bisogno. Per ulteriori informazioni, consulta la panoramica di IAM.

Regole implicite

Ogni rete VPC prevede due regole firewall IPv4 implicite. Se IPv6 è abilitato in una rete VPC, la rete ha anche due regole firewall IPv6 implicite. Queste regole non vengono mostrate nella console Google Cloud.

Le regole firewall IPv4 implicite sono presenti in tutte le reti VPC, indipendentemente dal modo in cui vengono create o se si tratta di reti VPC in modalità automatica o personalizzata. La rete predefinita ha le stesse regole implicite. Per ulteriori informazioni, consulta Regole implicite.

Servizio di prevenzione delle intrusioni

Il servizio di prevenzione delle intrusioni Cloud NGFW monitora continuamente il traffico del tuo carico di lavoro Google Cloud per rilevare eventuali attività dannose e adotta azioni preventive per evitarle. L'attività dannosa può includere minacce come intrusioni, malware, spyware e attacchi command-and-control sulla tua rete. Per ulteriori informazioni, consulta la panoramica del servizio di prevenzione delle intrusioni.

Criteri firewall di rete

I criteri firewall di rete, noti anche come criteri firewall, consentono di raggruppare diverse regole firewall in modo da poterle aggiornare tutte insieme, con un controllo efficace mediante i ruoli IAM. Questi criteri contengono regole che possono negare o consentire esplicitamente le connessioni, come le regole firewall VPC. Sono inclusi i criteri firewall di rete globali e regionali. Per ulteriori informazioni, consulta Criteri firewall.

Tag di rete

Un tag di rete è una stringa di caratteri aggiunta a un campo dei tag in una risorsa, come le istanze VM o i modelli di istanze di Compute Engine. Un tag non è una risorsa separata, pertanto non puoi crearlo separatamente. Tutte le risorse con la stringa in questione sono considerate come contenenti quel tag. I tag ti consentono di applicare regole firewall VPC e route a istanze VM specifiche.

Mirroring pacchetto

Mirroring pacchetto, un servizio out-of-band, clona il traffico di rete in base ai criteri di filtro specificati nelle regole di mirroring del criterio firewall. Questo traffico sottoposto a mirroring viene poi inviato alle implementazioni di appliance virtuali di terze parti per l'ispezione approfondita dei pacchetti. Utilizzi Mirroring pacchetto per analizzare su larga scala il traffico di rete dei tuoi carichi di lavoro. Per ulteriori informazioni, consulta la Panoramica dell'integrazione out-of-band.

Ereditarietà dei criteri

Per impostazione predefinita, i criteri dell'organizzazione vengono ereditati dai discendenti delle risorse su cui applichi il criterio. Ad esempio, se applichi un criterio a una cartella, Google Cloud lo applica a tutti i progetti nella cartella. Per scoprire di più su questo comportamento e su come modificarlo, consulta Regole di valutazione della gerarchia.

Priorità

La priorità di una regola in un criterio firewall è un numero intero compreso tra 0 e 2.147.483.647, inclusi. Gli interi più bassi indicano priorità più elevate. Per ulteriori informazioni, consulta la sezione Priorità.

Criteri firewall di rete regionali

I criteri firewall di rete regionali ti consentono di raggruppare le regole in un oggetto criterio applicabile a una regione specifica. Dopo aver associato un criterio di firewall di rete regionale a una rete VPC, le regole del criterio possono essere applicate alle risorse all'interno della regione della rete VPC. Per le specifiche e i dettagli dei criteri firewall regionali, consulta Criteri firewall di rete regionali.

Profili protetti

I profili sicuri o di sicurezza ti aiutano a definire i criteri di ispezione di livello 7 per le tue risorse Google Cloud. Si tratta di strutture di criteri generiche utilizzate dagli endpoint firewall per eseguire la scansione del traffico intercettato al fine di fornire servizi a livello di applicazione, come la prevenzione delle intrusioni. Per ulteriori informazioni, consulta la sezione Panoramica del profilo di sicurezza.

Gruppi di profili di sicurezza

Un gruppo di profili di sicurezza è un contenitore per i profili di sicurezza. Una regola del criterio del firewall fa riferimento a un gruppo di profili di sicurezza per attivare l'ispezione di livello 7, come la prevenzione delle intrusioni, sulla tua rete. Per saperne di più, consulta la Panoramica del gruppo di profili di sicurezza.

Server Name Indication

L'indicazione nome server (SNI) è un'estensione del protocollo di rete di computer TLS. SNI consente a più siti HTTPS di condividere un certificato IP e TLS, il che è più efficiente e conveniente perché non sono necessari certificati individuali per ogni sito web sullo stesso server.

Tag

La gerarchia delle risorse di Google Cloud è un modo per organizzare le risorse in una struttura ad albero. Questa gerarchia ti aiuta a gestire le risorse su larga scala, ma modella solo alcune dimensioni aziendali, tra cui la struttura dell'organizzazione, le regioni, i tipi di carico di lavoro e i centri di costo. La gerarchia non è sufficientemente flessibile per applicare più dimensioni aziendali contemporaneamente.

I tag forniscono un modo per creare annotazioni per le risorse e, in alcuni casi, consentono o negano in modo condizionale i criteri a seconda che una risorsa abbia un tag specifico. Puoi utilizzare i tag e l'applicazione condizionale dei criteri per avere un controllo granulare in tutta la gerarchia delle risorse.

I tag sono diversi dai tag di rete. Per saperne di più sulle differenze tra i tag e i tag di rete, consulta Confronto tra i tag e i tag di rete.

Threat intelligence

Le regole dei criteri firewall ti consentono di proteggere la tua rete consentendo o bloccando il traffico in base ai dati di Threat Intelligence. I dati di Threat Intelligence includono elenchi di indirizzi IP basati sui nodi di uscita di Tor, indirizzi IP dannosi noti, motori di ricerca e intervalli di indirizzi IP del cloud pubblico. Per informazioni, consulta Threat Intelligence per le regole dei criteri del firewall.

Firma per le minacce

Il rilevamento delle minacce basato su firme è uno dei meccanismi più comunemente utilizzati per identificare i comportamenti dannosi ed è quindi ampiamente utilizzato per prevenire gli attacchi alla rete. Le funzionalità di rilevamento delle minacce di Cloud NGFW si basano sulle tecnologie di Palo Alto Networks per la prevenzione delle minacce. Per ulteriori informazioni, consulta la panoramica delle firme delle minacce.

Ispezione Transport Layer Security

Cloud NGFW offre un servizio di intercettazione e decriptazione TLS che può ispezionare il traffico criptato e non criptato alla ricerca di attacchi e interruzioni della rete. Le connessioni TLS vengono controllate sia sulle connessioni in entrata sia su quelle in uscita, incluso il traffico da e verso internet e il traffico all'interno di Google Cloud.

Cloud NGFW decripta il traffico TLS per consentire all'endpoint firewall di eseguire l'ispezione di livello 7, ad esempio la prevenzione delle intrusioni, nella tua rete. Dopo l'ispezione, Cloud NGFW cripta nuovamente il traffico prima di inviarlo alla destinazione. Per ulteriori informazioni, consulta Panoramica dell'ispezione TLS.

Tag per il firewall

I tag sono noti anche come tag sicuri. I tag ti consentono di definire origini e destinazioni nei criteri firewall di rete globali e regionali. I tag sono diversi dai tag di rete. I tag di rete sono semplici stringhe, non chiavi e valori, e non offrono alcun tipo di controllo dell'accesso dell'accesso. Per ulteriori informazioni sulle differenze tra i tag e i tag di rete e sui prodotti che supportano ciascuno, consulta Confronto tra i tag e i tag di rete.

Regole firewall VPC

Le regole firewall VPC consentono o negano le connessioni da o verso le istanze VM nella tua rete VPC. Le regole firewall VPC abilitate vengono applicate sempre in modo da proteggere le istanze a prescindere dalla configurazione e dal sistema operativo, anche se non sono state avviate. Queste regole si applicano a un determinato progetto e a una determinata rete. Per ulteriori informazioni, consulta le regole firewall VPC.

Passaggi successivi