Termini chiave

Questa pagina fornisce la terminologia chiave che si applica a Cloud Next Generation Firewall. Esamina questi termini per comprendere meglio come funziona Cloud NGFW e i concetti su cui si basa.

Gruppi di indirizzi

I gruppi di indirizzi sono una raccolta logica di intervalli di indirizzi IPv4 o IPv6 in formato CIDR. Puoi utilizzare la modalità gruppi di indirizzi per definire origini o destinazioni coerenti a cui fanno riferimento le regole del firewall. Per ulteriori informazioni sui gruppi di indirizzi, consulta Gruppi di indirizzi per i criteri firewall.

Formato CIDR

Il formato o la notazione Classless Inter-Domain Routing (CIDR) è un metodo che rappresenta un indirizzo IP e la rispettiva subnet. È un'alternativa alla scrittura di un'intera subnet mask. Si tratta di un indirizzo IP, seguito da un indirizzo barra (/) e un numero. Il numero indica il numero di bit nell'indirizzo IP che definiscono la parte di rete.

Cloud NGFW

Cloud Next Generation Firewall è un servizio firewall completamente distribuito con funzionalità di protezione, micro-segmentazione e copertura pervasiva dei carichi di lavoro Google Cloud da attacchi interni ed esterni. Cloud NGFW è disponibile in tre livelli: Cloud Next Generation Firewall Essentials, Cloud Next Generation Firewall Standard e Cloud Next Generation Firewall Enterprise. Per ulteriori informazioni, consulta la panoramica di Cloud NGFW.

Cloud NGFW Essentials

Cloud Next Generation Firewall Essentials è il servizio firewall di base offerto sono creati da Google Cloud. Include funzionalità e funzionalità come criteri firewall di rete globali e criteri firewall di rete regionali, tag regolati da Identity and Access Management (IAM), gruppi di indirizzi e regole firewall Virtual Private Cloud (VPC). Per ulteriori informazioni, consulta la panoramica di Cloud NGFW Essentials.

Cloud NGFW Enterprise

Cloud Next Generation Firewall Enterprise offre funzionalità di sicurezza avanzate di livello 7 che proteggono i tuoi carichi di lavoro Google Cloud da minacce e attacchi dannosi. Include il servizio di prevenzione delle intrusioni con intercettazione e decrittografia Transport Layer Security (TLS), che offre il rilevamento e la prevenzione delle minacce da malware, spyware e attacchi command-and-control sulla tua rete.

Cloud NGFW Standard

Cloud NGFW Standard estende Cloud NGFW Essentials per fornire funzionalità avanzate di protezione dell'infrastruttura cloud da attacchi dannosi. Include funzionalità come intelligence sulle minacce per le regole dei criteri firewall, oggetti con nomi di dominio completi (FQDN) e oggetti di geolocalizzazione nelle regole dei criteri firewall.

Endpoint firewall

Un endpoint firewall è una risorsa Cloud NGFW che abilita il livello 7 funzionalità di protezione avanzate, come la prevenzione delle intrusioni, nei vostri in ogni rete. Per ulteriori informazioni, vedi Panoramica degli endpoint firewall.

Regole firewall

Le regole firewall sono i componenti di base della sicurezza di rete. Una regola firewall controlla il traffico in entrata o in uscita verso un'istanza di una macchina virtuale (VM). Per impostazione predefinita, il traffico in entrata è bloccato. Per maggiori informazioni informazioni, consulta Criteri firewall.

Logging delle regole firewall

Il logging delle regole firewall consente di controllare, verificare e analizzare gli effetti delle tue regole firewall. Ad esempio, puoi determinare se una regola firewall progettata per negare il traffico funziona come previsto. Il logging delle regole firewall è utile anche se devi determinare come molte connessioni sono interessate da una determinata regola firewall. Per ulteriori informazioni, consulta Logging delle regole firewall.

Criteri firewall

I criteri firewall consentono di raggruppare diverse regole firewall in modo da poter aggiornare contemporaneamente, controllati in modo efficace dai ruoli IAM. Esistono tre tipi di criteri firewall: criteri firewall gerarchici, criteri firewall di rete globali e criteri firewall di rete regionali. Per ulteriori informazioni, consulta i criteri firewall.

Regole dei criteri firewall

Quando crei una regola del criterio firewall, devi specificare un insieme di componenti che e definire cosa fa la regola. Questi componenti specificano la direzione, l'origine, la destinazione e le caratteristiche del livello 4 del traffico, come il protocollo e la porta di destinazione (se il protocollo utilizza porte). Questi componenti sono chiamati regole di criterio firewall. Per ulteriori informazioni, vedi Regole dei criteri firewall.

Oggetti FQDN

Un nome di dominio completo (FQDN) è il nome completo di un su internet. Ad esempio, cloud.google.com. Oggetti FQDN in Le regole dei criteri firewall filtrano il traffico in entrata o in uscita da o verso un nome di dominio. In base alla direzione del traffico, gli indirizzi IP associati a i nomi di dominio vengono confrontati con l'origine o la destinazione per via del traffico. Per ulteriori informazioni, consulta Oggetti FQDN.

Oggetti di geolocalizzazione

Utilizza gli oggetti di geolocalizzazione nelle regole dei criteri del firewall per filtrare il traffico IPv4 e IPv6 esterno in base a regioni o località geografiche specifiche. Puoi utilizzare gli oggetti di geolocalizzazione insieme ad altri filtri di origine o destinazione. Per informazioni, consulta Oggetti di geolocalizzazione.

Criteri firewall di rete globali

I criteri firewall di rete globali consentono di raggruppare le regole in un oggetto criterio applicabile a tutte le regioni (a livello globale). Dopo aver associato un criterio firewall di rete globale a una rete VPC, le regole del criterio possono essere applicate alle risorse nella rete VPC. Per la rete globale le specifiche e i dettagli dei criteri firewall, consulta Criteri firewall di rete globali.

Criteri firewall gerarchici

I criteri firewall gerarchici consentono di raggruppare le regole in un oggetto criterio che può essere applicata a più reti VPC in uno o più progetti. Puoi associare i criteri firewall gerarchici a un'intera organizzazione o a singole cartelle. Per le specifiche dei criteri firewall gerarchici i dettagli, vedi Criteri firewall gerarchici.

Identity and Access Management

IAM di Google Cloud ti consente di concedere l'accesso granulare a determinate risorse Google Cloud e aiuta a impedire l'accesso ad altre risorse. IAM ti consente di adottare il principio di sicurezza del privilegio minimo, che afferma che nessuno dovrebbe disporre di più autorizzazioni di quelle di cui ha effettivamente bisogno. Per ulteriori informazioni, consulta la panoramica di IAM.

Regole implicite

Ogni rete VPC ha due regole firewall IPv4 implicite. Se IPv6 è abilitato in una rete VPC, la rete ha anche due regole firewall IPv6 implicite. Queste regole non vengono mostrate nel nella console Google Cloud.

Le regole firewall IPv4 implicite sono presenti in tutte le reti VPC, indipendentemente dal modo in cui vengono create o se si tratta di reti VPC in modalità automatica o personalizzata. La rete predefinita ha le stesse regole implicite. Per ulteriori informazioni, vedi Regole implicite.

Servizio di prevenzione delle intrusioni

Il servizio di prevenzione delle intrusioni Cloud NGFW monitora continuamente il traffico del tuo carico di lavoro Google Cloud per rilevare eventuali attività dannose e adotta azioni preventive per evitarle. L'attività dannosa può includere minacce come intrusioni, malware, spyware e attacchi command-and-control sulla tua rete. Per ulteriori informazioni, consulta la panoramica del servizio di prevenzione delle intrusioni.

Criteri firewall di rete

I criteri firewall di rete, noti anche come criteri firewall, consentono di raggruppare diverse regole firewall in modo da poterle aggiornare tutte insieme, in modo controllate da ruoli IAM. Questi criteri contengono regole che negare o consentire esplicitamente le connessioni, così come le regole del firewall VPC. Sono inclusi i criteri firewall di rete globali e regionali. Per maggiori informazioni informazioni, consulta Criteri firewall.

Tag di rete

Un tag di rete è una stringa di caratteri aggiunta a un campo dei tag in una risorsa, come le istanze VM o i modelli di istanze di Compute Engine. Un tag non è una risorsa separata, pertanto non puoi crearlo separatamente. Tutte le risorse con la stringa in questione sono considerate come contenenti quel tag. I tag ti consentono di applicare regole firewall VPC e route a istanze VM specifiche.

Mirroring pacchetto

Mirroring pacchetto clona il traffico di istanze VM specifiche nel tuo VPC e inoltra il traffico per l'esame. Mirroring pacchetto acquisisce tutto il traffico e i dati dei pacchetti, tra cui: e intestazioni. Puoi configurare l'acquisizione sia per il traffico in uscita che per il traffico in entrata solo traffico in entrata o solo traffico in uscita. Il mirroring dei pacchetti è utile quando devi monitorare e analizzare il tuo stato di sicurezza. Esporta tutto il traffico, non solo quello tra periodi di campionamento.

Eredità dei criteri

Per impostazione predefinita, i criteri dell'organizzazione vengono ereditati dai discendenti delle risorse su cui applichi il criterio. Ad esempio, se applichi un criterio su una cartella, Google Cloud applica i criteri a tutti i progetti . Per scoprire di più su questo comportamento e su come modificarlo, consulta Regole di valutazione della gerarchia.

Priorità

La priorità di una regola in un criterio firewall è un numero intero compreso tra 0 e 2.147.483.647, inclusivi. Gli interi più bassi indicano priorità più elevate. Per ulteriori informazioni, consulta la sezione Priorità.

Criteri firewall di rete regionali

I criteri firewall di rete regionali consentono di raggruppare le regole in un oggetto criterio applicabile a una regione specifica. Dopo aver associato una rete regionale firewall con una rete VPC, le regole nel criterio possono alle risorse all'interno di quella regione della rete VPC. Per le specifiche e i dettagli dei criteri firewall a livello di regione, consulta Criteri firewall di rete a livello di regione.

Profili protetti

I profili sicuri o di sicurezza ti aiutano a definire i criteri di ispezione di livello 7 per le tue risorse Google Cloud. Si tratta di strutture di criteri generiche utilizzate endpoint firewall per analizzare il traffico intercettato e fornire il livello dell'applicazione come la prevenzione delle intrusioni. Per ulteriori informazioni, consulta la sezione Panoramica del profilo di sicurezza.

Gruppi di profili di sicurezza

Un gruppo di profili di sicurezza è un contenitore per i profili di sicurezza. Una regola del criterio del firewall fa riferimento a un gruppo di profili di sicurezza per attivare l'ispezione di livello 7, come la prevenzione delle intrusioni, sulla tua rete. Per saperne di più, consulta la Panoramica del gruppo di profili di sicurezza.

Server Name Indication

L'indicazione nome server (SNI) è un'estensione del protocollo di rete di computer TLS. SNI consente a più siti HTTPS di condividere un IP e un certificato TLS, è più efficiente ed economicamente conveniente perché non hai bisogno di per ciascun sito web sullo stesso server.

Tag

La gerarchia delle risorse di Google Cloud è un modo per organizzare le risorse in una struttura ad albero. Questa gerarchia consente gestisci le risorse su larga scala, ma modella solo poche dimensioni aziendali, tra cui struttura organizzativa, regioni, tipi di carichi di lavoro e centri di costo. La gerarchia non è sufficientemente flessibile per applicare più dimensioni aziendali contemporaneamente.

I tag forniscono un modo per creare annotazioni per le risorse e, in alcuni casi, consentono o negano in modo condizionale i criteri a seconda che una risorsa abbia un tag specifico. Puoi utilizzare i tag e l'applicazione condizionale dei criteri per controllo nella gerarchia delle risorse.

I tag sono diversi da quelli di rete. Per ulteriori informazioni sui differenze tra tag e tag di rete, consulta Confronto tra tag e tag di rete.

Threat intelligence

Le regole dei criteri firewall ti consentono di proteggere la rete consentendo o bloccando del traffico in base ai dati di Threat Intelligence. I dati di Threat Intelligence includono elenchi di indirizzi IP basati sui nodi di uscita di Tor, indirizzi IP dannosi noti, motori di ricerca e intervalli di indirizzi IP del cloud pubblico. Per informazioni, consulta Threat Intelligence per le regole dei criteri del firewall.

Firma della minaccia

Il rilevamento delle minacce basato su firme è uno dei meccanismi più comunemente utilizzati per identificare i comportamenti dannosi ed è quindi ampiamente utilizzato per prevenire gli attacchi alla rete. Le funzionalità di rilevamento delle minacce di Cloud NGFW si basano sulle tecnologie di Palo Alto Networks per la prevenzione delle minacce. Per ulteriori informazioni, vedi Panoramica delle firme delle minacce.

Ispezione Transport Layer Security

Cloud NGFW offre un servizio di intercettazione e decriptazione TLS che può analizzare il traffico criptato e non criptato per rilevare eventuali attacchi di rete e interruzioni. Le connessioni TLS vengono controllate sia sulle connessioni in entrata sia su quelle in uscita, incluso il traffico da e verso internet e il traffico all'interno di Google Cloud.

Cloud NGFW decripta il traffico TLS per abilitare l'endpoint firewall per eseguire un'ispezione di livello 7, come la prevenzione delle intrusioni, nella vostra rete. Dopo l'ispezione, Cloud NGFW cripta nuovamente il traffico prima che lo invia alla sua destinazione. Per ulteriori informazioni, consulta Panoramica dell'ispezione TLS.

Tag per firewall

I tag sono anche chiamati tag sicuri. I tag consentono di definire origini e destinazioni nei criteri firewall di rete globali e firewall di rete a livello di regione criteri. I tag sono diversi dai tag di rete. I tag di rete sono semplici stringhe, non chiavi e valori, e non offrono alcun tipo di controllo dell'accesso. Per ulteriori informazioni sulle differenze tra i tag e i tag di rete e sui prodotti che supportano ciascuno, consulta Confronto tra i tag e i tag di rete.

Regole firewall VPC

Le regole firewall VPC consentono o negano le connessioni da o verso le istanze VM nella tua rete VPC. Attivato Le regole firewall VPC vengono sempre applicate, delle istanze a prescindere dalla configurazione e dal sistema operativo, anche se non si sono avviati. Queste regole si applicano a un progetto e a una rete specifici. Per Per saperne di più, consulta Regole firewall VPC.

Passaggi successivi