Termos importantes

Nesta página, apresentamos a terminologia-chave que se aplica ao firewall de última geração do Cloud. Analise esses termos para entender melhor como o Cloud NGFW funciona e os conceitos da criação dele.

Grupos de endereços

Os grupos de endereços são uma coleção lógica de intervalos de endereços IPv4 ou IPv6 no formato CIDR. É possível usar grupos de endereços para definir origens ou destinos consistentes referenciados por muitas regras de firewall. Para mais informações sobre grupos de endereços, consulte Grupos de endereços para políticas de firewall.

Formato CIDR

O formato ou a notação de roteamento entre domínios sem classe (CIDR, na sigla em inglês) é um método para representar um endereço IP e a sub-rede dele. É uma alternativa à gravação de uma máscara de sub-rede inteira. Ele consiste em um endereço IP, seguido por uma barra (/) e um número. O número indica a quantidade de bits no endereço IP que define a parte da rede.

Cloud NGFW

O Cloud Firewall de última geração é um serviço de firewall totalmente distribuído com recursos avançados de proteção, microssegmentação e cobertura abrangente para proteger suas cargas de trabalho do Google Cloud contra ataques internos e externos. O Cloud NGFW está disponível em três níveis: Cloud Next Generation Firewall Essentials, Cloud Next Generation Firewall Standard e Cloud Next Generation Firewall Enterprise. Para mais informações, consulte Visão geral do Cloud NGFW.

Princípios básicos de NGFW do Cloud

O Cloud Next Generation Firewall Essentials é o serviço básico de firewall oferecido pelo Google Cloud. Ele contém recursos e funcionalidades como políticas de firewall de rede globais e regionais, tags gerenciadas pelo Identity and Access Management (IAM), grupos de endereços e regras de firewall de nuvem privada virtual (VPC). Para mais informações, consulte Visão geral dos fundamentos do Cloud NGFW.

NGFW para empresas de nuvem

O Cloud Next Generation Firewall Enterprise fornece recursos avançados de segurança da camada 7 que protegem suas cargas de trabalho do Google Cloud contra ameaças e ataques maliciosos. Ele contém um serviço de prevenção contra invasões com interceptação e descriptografia do Transport Layer Security (TLS), que fornece detecção e prevenção de ameaças contra malware, spyware e ataques de comando e controle na sua rede.

Padrão de NGFW do Cloud

O Cloud NGFW Standard estende os recursos do Cloud NGFW Essentials para fornecer recursos aprimorados a fim de proteger sua infraestrutura em nuvem contra ataques maliciosos. Ele contém recursos e funcionalidades como inteligência contra ameaças para regras de política de firewall, objetos de nome de domínio totalmente qualificado (FQDN, na sigla em inglês) e objetos de geolocalização nas regras da política de firewall.

Endpoint de firewall

O endpoint de firewall é um recurso do Cloud NGFW que ativa funcionalidades de proteção avançada da camada 7, como prevenção contra invasões, na sua rede. Para mais informações, consulte Visão geral do endpoint de firewall.

Regras de firewall

As regras de firewall são elementos básicos da segurança de rede. Uma regra de firewall controla o tráfego de entrada ou saída para uma instância de máquina virtual (VM). Por padrão, o tráfego de entrada é bloqueado. Para mais informações, consulte Políticas de firewall.

Geração de registros de regras de firewall

A geração de registros de regras de firewall permite auditar, verificar e analisar os efeitos das suas regras de firewall. Por exemplo, é possível determinar se uma regra de firewall criada para negar tráfego está funcionando conforme o esperado. A geração de registros de regras de firewall também é útil quando é preciso determinar quantas conexões são afetadas por uma determinada regra de firewall. Para mais informações, consulte Geração de registros de regras de firewall.

Políticas de firewall

As políticas de firewall permitem agrupar várias regras de firewall para que seja possível atualizá-las de uma só vez, efetivamente controladas pelos papéis do IAM. Há três tipos de políticas de firewall: políticas hierárquicas de firewall, políticas de firewall de rede globais e políticas de firewall de rede regionais. Para mais informações, consulte Políticas de firewall.

Regras da política de firewall

Ao criar uma regra de política de firewall, você especifica um conjunto de componentes que define o que a regra faz. Esses componentes especificam as características de direção do tráfego, origem, destino e Camada 4, como protocolo e porta de destino (se o protocolo usar portas). Esses componentes são chamados de regras da política de firewall. Saiba mais em Regras da política de firewall.

Objetos FQDN

Um nome de domínio totalmente qualificado (FQDN, na sigla em inglês) é o nome completo de um recurso específico na Internet. Por exemplo, cloud.google.com. Os objetos FQDN nas regras da política de firewall filtram o tráfego de entrada ou saída em um nome de domínio específico. Com base na direção do tráfego, os endereços IP associados aos nomes de domínio fazem a correspondência com a origem ou o destino do tráfego. Para mais informações, consulte Objetos FQDN.

Objetos de geolocalização

Use objetos de geolocalização em regras de política de firewall para filtrar o tráfego IPv4 e IPv6 externo com base em regiões ou localizações geográficas específicas. É possível usar objetos de geolocalização com outros filtros de origem ou destino. Para mais informações, consulte Objetos de geolocalização.

Políticas globais de firewall de rede

As políticas de firewall de rede global permitem agrupar regras em um objeto de política aplicável a todas as regiões (global). Depois de associar uma política de firewall de rede global a uma rede VPC, as regras na política podem ser aplicadas a recursos na rede VPC. Veja detalhes e especificações da política de firewall de rede global neste link.

Políticas de firewall hierárquicas

As políticas hierárquicas de firewall permitem agrupar regras em um objeto de política que pode ser aplicado a muitas redes VPC em um ou mais projetos. É possível associar políticas de firewall hierárquicas a uma organização inteira ou pastas individuais. Veja detalhes e especificações das políticas de firewall hierárquicas neste link.

Identity and Access Management

O IAM do Google Cloud permite conceder acesso granular a recursos específicos do Google Cloud e ajuda a impedir o acesso a outros recursos. O IAM permite que você adote o princípio de segurança de privilégio mínimo, o que indica que ninguém precisa ter mais permissões do que o realmente necessário. Para mais informações, consulte a Visão geral do IAM.

Regras implícitas

Toda rede VPC tem duas regras implícitas de firewall IPv4. Se o IPv6 estiver ativado em uma rede VPC, a rede também terá duas regras implícitas de firewall do IPv6. Essas regras não são mostradas no console do Google Cloud.

As regras de firewall implícitas do IPv4 estão presentes em todas as redes VPC, independentemente de como elas são criadas ou se são redes VPC de modo automático ou personalizado. A rede padrão tem as mesmas regras implícitas. Para mais informações, consulte Regras implícitas.

Serviço de prevenção de invasões

O serviço de prevenção contra invasões do Cloud NGFW monitora continuamente o tráfego da carga de trabalho do Google Cloud em busca de atividades maliciosas e toma medidas preventivas para evitá-las. A atividade maliciosa pode incluir ameaças como invasões, malware, spyware e ataques de comando e controle na sua rede. Saiba mais em Visão geral do serviço de prevenção contra invasões.

Políticas de firewall de rede

As políticas de firewall de rede, também conhecidas como políticas de firewall, permitem agrupar várias regras de firewall para atualizá-las de uma só vez, efetivamente controladas pelos papéis do IAM. Essas políticas contêm regras que podem negar ou permitir conexões explicitamente, assim como as regras de firewall da VPC. Isso inclui as políticas de firewall de rede globais e regionais. Para mais informações, consulte Políticas de firewall.

Tags de rede

Uma tag de rede é uma string de caracteres adicionada a um campo de tags em um recurso, como modelos de instância ou instâncias de VM do Compute Engine. Uma tag não é um recurso isolado. Ou seja, não é possível criá-la separadamente. Considera-se que todos os recursos da string têm essa tag. Com as tags, é possível aplicar regras e rotas de firewall da VPC a instâncias de VM específicas.

Espelhamento de pacotes

O Espelhamento de pacotes clona o tráfego de instâncias de VM específicas na rede VPC e encaminha o tráfego para análise. O espelhamento de pacotes captura todo o tráfego e dados de pacote, incluindo payloads e cabeçalhos. É possível configurar a captura para tráfego de saída e de entrada, apenas de entrada ou apenas de saída. O Espelhamento de pacotes é útil para monitorar e analisar seu status de segurança. Ele exporta todo o tráfego, não apenas o tráfego entre os períodos de amostragem.

Herança de políticas

Por padrão, as políticas da organização são herdadas pelos descendentes dos recursos em que a política é aplicada. Por exemplo, se você aplicar uma política em uma pasta, o Google Cloud aplicará a política a todos os projetos da pasta. Para saber mais sobre esse comportamento e como alterá-lo, consulte Regras de avaliação da hierarquia.

Prioridade

A prioridade de uma regra em uma política de firewall é um número inteiro de 0 a 2.147.483.647, inclusive. Os números inteiros mais baixos indicam prioridades mais altas. Para mais informações, consulte Prioridade.

Políticas regionais de firewall da rede

As políticas de firewall de rede regionais permitem agrupar regras em um objeto de política aplicável a uma região específica. Depois de associar uma política de firewall da rede regional a uma rede VPC, as regras na política podem ser aplicadas aos recursos nessa região da rede VPC. Veja detalhes e especificações da política de firewall regional em Políticas de firewall de rede regionais.

Perfis seguros

Perfis seguros ou de segurança ajudam a definir a política de inspeção da camada 7 para seus recursos do Google Cloud. Eles são estruturas de política genéricas usadas por endpoints de firewall para verificar o tráfego interceptado para fornecer serviços de camada de aplicativo, como prevenção de invasões. Para mais informações, consulte Visão geral do perfil de segurança.

Grupos de perfis de segurança

Um grupo de perfis de segurança é um contêiner para perfis de segurança. Uma regra de política de firewall faz referência a um grupo de perfis de segurança para ativar a inspeção da camada 7, como prevenção de intrusão, na sua rede. Para mais informações, consulte Visão geral do grupo de perfis de segurança.

Indicação de nome do servidor

A indicação de nome do servidor (SNI, na sigla em inglês) é uma extensão ao protocolo de rede de computadores TLS. A SNI permite que vários sites HTTPS compartilhem um certificado IP e TLS, o que é mais eficiente e econômico porque você não precisa de certificados individuais para cada site no mesmo servidor.

Tags

A hierarquia de recursos do Google Cloud é uma maneira de organizar seus recursos em uma estrutura em árvore. Essa hierarquia ajuda a gerenciar recursos em larga escala, mas modela apenas algumas dimensões de negócios, incluindo estrutura organizacional, regiões, tipos de carga de trabalho e centros de custo. A hierarquia não possui flexibilidade para agrupar em camadas várias dimensões de negócios.

As tags fornecem uma maneira de criar anotações para recursos e, em alguns casos, permitir ou negar políticas condicionalmente com base em um recurso ter uma tag específica. Use tags e aplicação obrigatória condicional de políticas para ter um controle refinado em toda a hierarquia de recursos.

As tags são diferentes das tags de rede. Para mais informações sobre as diferenças entre tags e tags de rede, consulte Comparação entre tags e tags de rede.

Inteligência contra ameaças

As regras de política de firewall permitem proteger a rede, permitindo ou bloqueando o tráfego com base nos dados do Threat Intelligence. Os dados da Inteligência contra ameaças incluem listas de endereços IP com base nos nós de saída Tor, endereços IP maliciosos conhecidos, mecanismos de pesquisa e intervalos de endereços IP da nuvem pública. Para mais informações, consulte Inteligência contra ameaças para regras das políticas de firewall.

Assinatura de ameaça

A detecção de ameaças baseada em assinaturas é um dos mecanismos mais usados para identificar comportamentos maliciosos. Ela é amplamente usada para evitar ataques a redes. Os recursos de detecção de ameaças do Cloud NGFW são fornecidos pelas tecnologias de prevenção de ameaças da Palo Alto Networks. Para saber mais, consulte Visão geral das assinaturas de ameaças.

Inspeção do Transport Layer Security

O Cloud Firewall oferece um serviço de interceptação e descriptografia TLS que pode inspecionar o tráfego criptografado e não criptografado em busca de ataques e interrupções de rede. As conexões de TLS são inspecionadas em conexões de entrada e de saída, incluindo o tráfego de e para a Internet e o tráfego dentro do Google Cloud.

O Cloud NGFW descriptografa o tráfego de TLS para permitir que o endpoint do firewall realize a inspeção da camada 7, como a prevenção contra invasões, na sua rede. Após a inspeção, o tráfego do Cloud NGFW criptografa o tráfego novamente antes de enviá-lo ao destino. Para mais informações, consulte Visão geral da inspeção do TLS.

Tags de firewall

As tags também são chamadas de tags seguras. As tags permitem definir origens e destinos nas políticas de firewall de rede globais e regionais. As tags são diferentes das tags de rede. As tags de rede são strings simples, não chaves e valores, e não oferecem nenhum tipo de controle de acesso. Para mais informações sobre as diferenças entre tags de rede e tags e quais produtos são compatíveis com cada uma, consulte Comparação entre tags e tags de rede.

Regras de firewall de VPC

Com as regras de firewall da VPC, você permite ou nega conexões de entrada ou saída nas instâncias de máquina virtual (VM) na sua rede VPC. As regras ativadas de firewall da VPC sempre são aplicadas. Isso garante a proteção das instâncias independentemente da configuração e do sistema operacional, mesmo que elas não tenham sido inicializadas. Essas regras se aplicam a projetos e redes específicos. Para mais informações, consulte Regras de firewall da VPC.

A seguir

• Para informações conceituais sobre o Cloud NGFW, consulte Visão geral do Cloud NGFW.
• Para informações conceituais sobre as regras da política de firewall, consulte este link.
• Para criar, atualizar, monitorar ou excluir regras de firewall da VPC, consulte Usar regras de firewall da VPC.
• Para determinar os custos, consulte Preços do Cloud NGFW.