Il servizio di prevenzione delle intrusioni monitora il traffico dei carichi di lavoro Google Cloud per individuare eventuali attività dannose e intraprende azioni preventive per prevenirle. Per abilitare questo servizio sulla tua rete, devi configurare più componenti firewall di Cloud Next Generation. Questo tutorial descrive il flusso di lavoro end-to-end per configurare il servizio di prevenzione delle intrusioni nella tua rete.
Obiettivi
Questo tutorial mostra come completare le seguenti attività:
- Crea una rete Virtual Private Cloud (VPC) con due subnet.
- Crea un'istanza di macchina virtuale (VM) server nella prima subnet della rete VPC e installa il server Apache sulla VM.
- Creare un'istanza VM client nella seconda subnet della rete VPC.
- Crea un profilo di sicurezza e un gruppo di profili di sicurezza.
- Creare un endpoint firewall e associarlo alla rete VPC.
- Aggiungi un criterio firewall di rete globale con le seguenti regole firewall:
- Una regola firewall per abilitare l'accesso Identity-Aware Proxy (IAP) alle istanze VM nella rete VPC.
- Una regola firewall per indirizzare tutto il traffico in entrata per l'ispezione di livello 7.
- Verifica se il traffico dannoso verso l'istanza VM server è bloccato.
- Esegui la pulizia delle risorse.
Il seguente diagramma mostra l'architettura generale della configurazione del deployment in questo tutorial. Il criterio firewall fw-policy-ips sul VPC
vpc-ips reindirizza il traffico in entrata all'endpoint firewall nella zona
asia-southeast1-a. L'endpoint firewall endpoint-ips ispeziona il traffico
per individuare eventuali minacce. Se viene rilevata una minaccia, le azioni preventive vengono applicate utilizzando le istruzioni specificate nel profilo di sicurezza sec-profile-ips.
Costi
La creazione degli endpoint firewall prevede un costo. Per i dettagli sui prezzi, consulta i prezzi di Cloud Next Generation Firewall.
Prima di iniziare
- Accedi al tuo account Google Cloud. Se non conosci Google Cloud, crea un account per valutare le prestazioni dei nostri prodotti in scenari reali. I nuovi clienti ricevono anche 300 $di crediti gratuiti per l'esecuzione, il test e il deployment dei carichi di lavoro.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Assicurati che la fatturazione sia attivata per il tuo progetto Google Cloud.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Assicurati che la fatturazione sia attivata per il tuo progetto Google Cloud.
- Abilita l'API Compute Engine per il tuo progetto.
- Abilita l'API Network Security per il tuo progetto.
- Abilita l'API Identity-Aware Proxy per il tuo progetto.
- Avere il ruolo IAM Amministratore rete Compute (
roles/compute.networkAdmin) per l'organizzazione. - Se preferisci lavorare dalla riga di comando, installa Google Cloud CLI.
Per informazioni concettuali e sull'installazione dello strumento, consulta la panoramica dell'interfaccia a riga di comando gcloud.
Nota: se non hai già eseguito gcloud CLI, esegui prima
gcloud initper inizializzare la directory gcloud CLI.
Crea una rete VPC personalizzata con subnet
In questa sezione creerai una rete VPC in modalità personalizzata con due subnet IPv4.
Console
Nella console Google Cloud, vai alla pagina Reti VPC.
Fai clic su Crea rete VPC.
In Nome, inserisci
vpc-ips.In Descrizione, inserisci
VPC network to set up intrusion prevention service.In Modalità di creazione subnet, seleziona Personalizzata.
Nella sezione Nuova subnet, specifica i seguenti parametri di configurazione per una subnet:
- Nome:
subnet-ips-server - Regione:
asia-southeast1 - Intervallo IPv4:
10.0.0.0/24
- Nome:
Fai clic su Fine.
Fai clic su Aggiungi subnet e specifica i seguenti parametri di configurazione:
- Nome:
subnet-ips-client - Regione:
us-central1 - Intervallo IPv4:
192.168.10.0/24
- Nome:
Fai clic su Fine.
Fai clic su Crea.
gcloud
Per creare una rete VPC, esegui questo comando:
gcloud compute networks create vpc-ips \ --subnet-mode custom \ --description "VPC network to set up intrusion prevention service."
Nella finestra di dialogo Autorizza Cloud Shell, fai clic su Autorizza.
Per creare una subnet, esegui questo comando:
gcloud compute networks subnets create subnet-server-ips \ --network vpc-ips \ --region asia-southeast1 \ --range 10.0.0.0/24
Per creare un'altra subnet, esegui questo comando:
gcloud compute networks subnets create subnet-client-ips \ --network vpc-ips \ --region us-central1 \ --range 192.168.10.0/24
crea istanze VM
In questa sezione creerai istanze VM server e client.
Crea l'istanza VM server
In questa sezione creerai un'istanza VM nella subnet subnet-server-ips e installerai il server Apache al suo interno.
Console
Nella console Google Cloud, vai alla pagina Crea un'istanza.
In Nome, inserisci
vm-server-ips.In Regione, seleziona
asia-southeast1 (Singapore).In Zona, seleziona
asia-southeast1-a.Nella sezione Disco di avvio, seleziona Cambia quindi, per il sistema operativo, seleziona Debian.
Fai clic su Seleziona.
Espandi Opzioni avanzate, quindi espandi Networking.
Nella sezione Interfacce di rete, specifica i seguenti parametri di configurazione:
- Rete:
vpc-ips - Subnet:
subnet-server-ips IPv4 (10.0.0.0/24)
- Rete:
Fai clic su Fine.
Espandi la sezione Gestione.
Nella sezione Automazione, aggiungi il seguente script di avvio:
#! /bin/bash apt update apt -y install apache2 cat <<EOF > /var/www/html/index.html <html><body><p>Hello world.</p></body></html> EOFFai clic su Crea.
Dopo la creazione, prendi nota dell'indirizzo IP esterno della VM server.
gcloud
Per creare la VM server, esegui questo comando:
gcloud compute instances create vm-server-ips \
--network vpc-ips \
--zone asia-southeast1-a \
--subnet subnet-server-ips \
--stack-type IPV4_ONLY \
--image-project debian-cloud \
--image-family debian-11 \
--metadata=startup-script='#! /bin/bash
apt update
apt -y install apache2
cat <<EOF > /var/www/html/index.html
<html><body><p>Hello World.</p></body></html>
EOF'
Prendi nota dell'indirizzo IP esterno della VM nello stato restituito.
Crea l'istanza VM client
In questa sezione creerai un'istanza VM nella subnet subnet-client-ips.
Console
Nella console Google Cloud, vai alla pagina Crea un'istanza.
In Nome, inserisci
vm-client-ips.In Regione, seleziona
us-central1.In Zona, seleziona
us-central1-a.Espandi Opzioni avanzate, quindi espandi Networking.
Nella sezione Interfacce di rete, specifica i seguenti parametri di configurazione:
- Rete:
vpc-ips - Subnet:
subnet-client-ips IPv4 (192.168.10.0/24)
- Rete:
Fai clic su Fine.
Fai clic su Crea.
gcloud
Per creare la VM client, esegui questo comando:
gcloud compute instances create vm-client-ips \
--network vpc-ips \
--zone us-central1-a \
--subnet subnet-client-ips \
--stack-type IPV4_ONLY
Crea un profilo di sicurezza
In questa sezione creerai un profilo di sicurezza di tipo threat-prevention nella tua organizzazione. Per visualizzare le autorizzazioni necessarie per creare un profilo di sicurezza, vedi Autorizzazioni richieste per questa attività.
Console
Nella console Google Cloud, vai alla pagina Profili di sicurezza.
Nel menu del selettore dei progetti, seleziona la tua organizzazione.
Seleziona la scheda Profili di sicurezza.
Fai clic su Crea profilo.
In Nome, inserisci
sec-profile-ips.In Descrizione, inserisci
Security profile to set up intrusion prevention service.Fai clic su Continua.
Fai clic su Crea.
gcloud
Per creare un profilo di sicurezza, esegui questo comando:
gcloud network-security security-profiles \
threat-prevention \
create sec-profile-ips \
--organization ORGANIZATION_ID \
--location global \
--project PROJECT_ID \
--description "Security profile to set up intrusion prevention service."
Sostituisci quanto segue:
ORGANIZATION_ID: l'organizzazione in cui è stato creato il profilo di sicurezza.PROJECT_ID: un ID progetto da utilizzare per le quote e le limitazioni di accesso al profilo di sicurezza.
Crea un gruppo di profili di sicurezza
In questa sezione devi creare un gruppo di profili di sicurezza per includere il profilo di sicurezza creato nella sezione precedente. Per visualizzare le autorizzazioni necessarie per creare un gruppo di profili di sicurezza, consulta Autorizzazioni richieste per questa attività.
Console
Nella console Google Cloud, vai alla pagina Profili di sicurezza.
Nel menu del selettore dei progetti, seleziona la tua organizzazione.
Seleziona la scheda Gruppi di profili di sicurezza.
Fai clic su Crea gruppo di profili.
In Nome, inserisci
sec-profile-group-ips.In Descrizione, inserisci
Security profile group to set up intrusion prevention service.Nell'elenco Profilo di prevenzione delle minacce, seleziona
sec-profile-ips.Fai clic su Crea.
gcloud
Per creare un gruppo di profili di sicurezza, esegui questo comando:
gcloud network-security security-profile-groups \
create sec-profile-group-ips \
--organization ORGANIZATION_ID \
--location global \
--project PROJECT_ID \
--threat-prevention-profile \
organizations/ORGANIZATION_ID/locations/global/securityProfiles/sec-profile-ips \
--description "Security profile group to set up intrusion prevention service."
Sostituisci quanto segue:
ORGANIZATION_ID: l'organizzazione in cui è stato creato il gruppo di profili di sicurezza.PROJECT_ID: un ID progetto da utilizzare per le quote e le limitazioni di accesso al gruppo di profili di sicurezza.
crea un endpoint firewall
In questa sezione creerai un endpoint firewall in una zona specifica. Per visualizzare le autorizzazioni necessarie per creare un endpoint firewall, consulta Autorizzazioni richieste per questa attività.
Nota: quando crei un endpoint firewall, lo stato
dell'endpoint viene impostato su Creating. Quando l'endpoint firewall è pronto, lo stato passa a Active.
Console
Nella console Google Cloud, vai alla pagina Endpoint firewall.
Nel menu del selettore dei progetti, seleziona la tua organizzazione.
Fai clic su Crea.
Nell'elenco Regione, seleziona
asia-southeast1 (Singapore).Nell'elenco Zona, seleziona
asia-southeast1-a.In Nome, inserisci
endpoint-ips.Fai clic su Crea.
gcloud
Per creare un endpoint firewall, esegui questo comando:
gcloud network-security firewall-endpoints \
create endpoint-ips \
--organization ORGANIZATION_ID \
--zone asia-southeast1-a \
--billing-project PROJECT_ID
Sostituisci quanto segue:
ORGANIZATION_ID: l'organizzazione in cui viene creato l'endpoint firewall.PROJECT_ID: un ID progetto da utilizzare per la fatturazione dell'endpoint firewall.
Crea un'associazione di endpoint firewall
In questa sezione, assocerai l'endpoint firewall alla rete VPC creata nel passaggio precedente.
Console
Nella console Google Cloud, vai alla pagina Reti VPC.
Fai clic sulla rete
vpc-ipsper visualizzare la pagina dei dettagli della rete VPC.Seleziona la scheda Endpoint firewall.
Fai clic su Aggiungi associazione endpoint.
Nell'elenco Regione, seleziona
asia-southeast1.Nell'elenco Zona, seleziona
asia-southeast1-a.Nell'elenco Endpoint firewall, seleziona
endpoint-ips.Fai clic su Crea.
gcloud
Per creare un'associazione di endpoint firewall, esegui questo comando:
gcloud network-security firewall-endpoint-associations \
create endpoint-association-ips \
--endpoint organizations/ORGANIZATION_ID/locations/asia-southeast1-a/firewallEndpoints/endpoint-ips \
--network vpc-ips \
--zone asia-southeast1-a \
--project PROJECT_ID
Sostituisci quanto segue:
ORGANIZATION_ID: l'organizzazione in cui viene creato l'endpoint firewall.PROJECT_ID: un ID progetto in cui viene creata l'associazione.
Crea un criterio firewall di rete globale
In questa sezione devi creare un criterio firewall di rete globale contenente le due regole firewall seguenti:
- Una regola firewall in entrata con priorità
100per consentire il traffico TCP verso le porte3389e22. Questa regola consente l'accesso IAP alle istanze VM nella rete VPC. - Una regola firewall in entrata con priorità
200per eseguire un'ispezione di livello 7 sul traffico in entrata verso la VM server in una zona specifica.
Console
Nella console Google Cloud, vai alla pagina Criteri firewall.
Nell'elenco del selettore progetti, seleziona il progetto all'interno della tua organizzazione.
Fai clic su Crea criterio firewall.
In Nome, inserisci
fw-policy-ips.Per Ambito di deployment, seleziona Globale.
Fai clic su Continua e poi su Aggiungi regola.
Nel campo Priority (Priorità), inserisci
100.In Log, seleziona On.
Per Direzione del traffico, seleziona In entrata.
In Azione in caso di corrispondenza, seleziona Consenti.
Per il filtro Origine, seleziona IPv4, quindi nel campo Intervallo IP inserisci
35.235.240.0/20.Nella sezione Protocolli e porte, seleziona Protocolli e porte specificati.
Seleziona TCP e per Porte, inserisci
22,3389.Fai clic su Crea.
Fai clic su Aggiungi regola.
Nel campo Priority (Priorità), inserisci
200.In Log, seleziona On.
Per Direzione del traffico, seleziona In entrata.
In Azione in caso di corrispondenza, seleziona Procedi all'ispezione L7.
Nell'elenco Gruppo di profili di sicurezza, seleziona
sec-profile-group-ips.Nel filtro Destinazione, seleziona IPv4, quindi nel campo Intervallo IP inserisci l'indirizzo IP esterno della VM server che hai creato nella sezione Crea le istanze VM server.
Fai clic su Crea.
Fai clic su Continua.
Fai clic su Associa criterio a reti VPC.
Seleziona la rete
vpc-ips.Fai clic su Associa.
Fai clic su Crea.
gcloud
Per creare un criterio firewall di rete globale, esegui questo comando:
gcloud compute network-firewall-policies \ create fw-policy-ips \ --global \ --project PROJECT_ID
Sostituisci quanto segue:
PROJECT_ID: un ID progetto in cui viene creato il criterio firewall della rete globale.
Per aggiungere la regola firewall per abilitare l'accesso IAP, esegui questo comando:
gcloud compute network-firewall-policies rules create 100 \ --firewall-policy fw-policy-ips \ --direction INGRESS \ --action ALLOW \ --src-ip-ranges 35.235.240.0/20 \ --layer4-configs tcp:22, tcp:3389 \ --global-firewall-policy \ --enable-logging
Per aggiungere la regola firewall per abilitare l'ispezione di livello 7 ai fini della prevenzione e del rilevamento delle minacce, esegui questo comando:
gcloud compute network-firewall-policies rules create 200 \ --direction INGRESS \ --firewall-policy fw-policy-ips \ --action apply_security_profile_group \ --dest-ip-ranges SERVER_VM_IP \ --layer4-configs tcp:0-65535 \ --global-firewall-policy \ --security-profile-group \ //networksecurity.googleapis.com/organizations/ORGANIZATION_ID \ /locations/global/securityProfileGroups/sec-profile-group-ips \ --enable-logging
Sostituisci quanto segue:
SERVER_VM_IP: l'indirizzo IP esterno della VM server che hai creato nella sezione Crea le istanze VM server.ORGANIZATION_ID: l'organizzazione in cui viene creato il gruppo di profili sicuri.
Per associare il criterio firewall alla rete VPC, esegui questo comando:
gcloud compute network-firewall-policies associations create \ --firewall-policy fw-policy-ips \ --network vpc-ips \ --name fw-pol-association-ips \ --global-firewall-policy \ --project PROJECT_ID
Sostituisci quanto segue:
PROJECT_ID: l'ID progetto in cui viene creata l'associazione VPC.
Testa la configurazione
In questa sezione, genererai il traffico intercettato dall'endpoint e verrà applicato il criterio del firewall di rete globale per eseguire l'ispezione di livello 7.
Console
Nella console Google Cloud, vai alla pagina Istanze VM.
Dalla colonna IP esterno della VM
vm-server-ips, copia l'indirizzo IP esterno della VM.Nella colonna Connetti della VM
vm-client-ips, fai clic su SSH.Nella finestra di dialogo SSH nel browser, fai clic su Autorizza e attendi che venga stabilita la connessione.
Per verificare se una richiesta che non rappresenta una minaccia non è bloccata, esegui questo comando:
curl EXTERNAL_IP -m 2
Sostituisci
EXTERNAL_IPcon l'IP esterno della VMvm-server-ips.Il messaggio di risposta previsto è il seguente:
<!doctype html><html><body><h1>Hello World!</h1></body></html>Per verificare che una richiesta dannosa sia bloccata, esegui questo comando. Questo comando invia una richiesta di accesso al file delle password, che è vietato.
curl -m 2 EXTERNAL_IP:80/cgi-bin/../../../../bin/cat%20/etc/passwd/
Sostituisci
EXTERNAL_IPcon l'IP esterno della VMvm-server-ips.È previsto un messaggio
Connection timed outperché l'endpoint firewall rileva la minaccia nella richiesta e blocca il pacchetto.Chiudi la finestra di dialogo SSH nel browser.
gcloud
Per connetterti alla VM
vm-client-ips, esegui questo comando:gcloud compute ssh vm-client-ips \ --zone=us-central1-a \ --tunnel-through-iap
Quando richiesto, premi Y per confermare, quindi premi Invio.
Per verificare se una richiesta che non rappresenta una minaccia non è bloccata, esegui questo comando:
curl EXTERNAL_IP -m 2
Sostituisci
EXTERNAL_IPcon l'IP esterno della VMvm-server-ips.Il messaggio di risposta previsto è il seguente:
<!doctype html><html><body><h1>Hello World!</h1></body></html>Per verificare che una richiesta dannosa sia bloccata, esegui questo comando:
curl -m 2 EXTERNAL_IP:80/cgi-bin/../../../../bin/cat%20/etc/passwd/
Sostituisci
EXTERNAL_IPcon l'IP esterno della VMvm-server-ips.È previsto un messaggio
Connection timed outperché l'endpoint firewall rileva la minaccia nella richiesta e blocca il pacchetto.Per chiudere l'SSH nel browser, inserisci
exit.
Visualizza i log delle minacce
Nella console Google Cloud, vai alla pagina Minacce.
Se necessario, seleziona il tuo progetto Google Cloud.
Nella sezione Minaccia puoi vedere la voce dei log per la minaccia rilevata sulla tua rete
vpc-ips.
Esegui la pulizia
Per evitare che al tuo account Google Cloud vengano addebitati costi relativi alle risorse utilizzate in questo tutorial, elimina il progetto che contiene le risorse oppure mantieni il progetto ed elimina le singole risorse.
In questa sezione, eliminerai le risorse create in questo tutorial.
Elimina l'associazione degli endpoint firewall
Console
Nella console Google Cloud, vai alla pagina Reti VPC.
Fai clic sulla rete
vpc-ipsper visualizzare la pagina dei dettagli della rete VPC.Seleziona la scheda Endpoint firewall. La scheda mostra un elenco di associazioni di endpoint firewall configurate.
Seleziona la casella di controllo accanto a
endpoint-ips, quindi fai clic su Elimina.Fai di nuovo clic su Elimina per confermare.
gcloud
Per eliminare l'associazione dell'endpoint firewall, esegui questo comando: yes,
gcloud network-security firewall-endpoint-association
delete endpoint-ips
--zone asia-southeast1-a
Elimina l'endpoint firewall
Console
Nella console Google Cloud, vai alla pagina Endpoint firewall.
Seleziona
endpoint-ipse poi fai clic su Elimina.Fai di nuovo clic su Elimina per confermare.
gcloud
Per eliminare l'endpoint firewall, esegui questi comandi:
gcloud network-security firewall-endpoints delete endpoint-ips \
--organization ORGANIZATION_ID \
--zone asia-southeast1-a
Sostituisci quanto segue:
ORGANIZATION_ID: l'organizzazione in cui viene creato l'endpoint.
Elimina il criterio dell'endpoint del firewall di rete globale
Console
Nella console Google Cloud, vai alla pagina Criteri firewall.
Nel menu del selettore dei progetti, seleziona il progetto che contiene il criterio.
Fai clic su
fw-policy-ips.Fai clic sulla scheda Associazioni.
Seleziona tutte le associazioni.
Fai clic su Rimuovi associazioni.
Dopo aver rimosso tutte le associazioni, fai clic su Elimina.
gcloud
Per rimuovere l'associazione tra criterio firewall e rete VPC, esegui questo comando:
gcloud compute network-firewall-policies associations delete \ --name fw-pol-association-ips \ --firewall-policy fw-policy-ips \ --global-firewall-policy
Elimina il criterio firewall.
gcloud compute network-firewall-policies delete fw-policy-ips --global
Quando richiesto, premi Y per confermare, quindi premi Invio.
Elimina il gruppo di profili di sicurezza
Console
Nella console Google Cloud, vai alla pagina Profili di sicurezza.
Seleziona la scheda Gruppi di profili di sicurezza.
Seleziona
sec-profile-group-ipse poi fai clic su Elimina.Fai di nuovo clic su Elimina per confermare.
gcloud
Per eliminare il gruppo di profili di sicurezza, esegui questo comando:
gcloud network-security security-profile-groups \
delete sec-profile-group-ips \
--organization ORGANIZATION_ID \
--location global
Sostituisci quanto segue:
ORGANIZATION_ID: l'organizzazione in cui viene creato il gruppo di profili di sicurezza.
Eliminare il profilo di sicurezza
Console
Nella console Google Cloud, vai alla pagina Profili di sicurezza.
Seleziona la scheda Profili di sicurezza. La scheda mostra un elenco dei profili di sicurezza configurati.
Seleziona
sec-profile-ipse poi fai clic su Elimina.Fai di nuovo clic su Elimina per confermare.
gcloud
Per eliminare il profilo di sicurezza, esegui questo comando:
gcloud network-security security-profiles threat-prevention \
delete sec-profile-ips \
--organization ORGANIZATION_ID \
--location global
Sostituisci quanto segue:
ORGANIZATION_ID: l'organizzazione in cui viene creato il profilo di sicurezza.
Elimina le VM
Console
Nella console Google Cloud, vai alla pagina Istanze VM.
Seleziona le caselle di controllo delle VM
vm-client-ipsevm-server-ips.Fai clic su Elimina.
Nella finestra di dialogo Eliminare 2 istanze?, fai clic su Elimina.
gcloud
Per eliminare la VM
vm-client-ips, esegui questo comando:gcloud compute instances delete vm-client-ips \ --zone us-central1-a
Quando richiesto, premi Y per confermare, quindi premi Invio.
Per eliminare la VM
vm-server-ips, esegui questo comando:gcloud compute instances delete vm-server-ips \ --zone asia-southeast1-a
Quando richiesto, premi Y per confermare, quindi premi Invio.
Elimina la rete VPC e le rispettive subnet
Console
Nella console Google Cloud, vai alla pagina Reti VPC.
Nella colonna Nome, fai clic su
vpc-ips.Fai clic su Elimina rete VPC.
Nella finestra di dialogo Elimina una rete, fai clic su Elimina.
Quando elimini un VPC, vengono eliminate anche le relative subnet.
gcloud
Per eliminare la subnet
subnet-ips-clientdella rete VPCvpc-ips, esegui questo comando:gcloud compute networks subnets delete subnet-ips-client \ --region us-central1Quando richiesto, premi Y per confermare, quindi premi Invio.
Per eliminare la subnet
subnet-ips-serverdella rete VPCvpc-ips, esegui questo comando:gcloud compute networks subnets delete subnet-ips-server \ --region=asia-southeast1Quando richiesto, premi Y per confermare, quindi premi Invio.
Per eliminare la rete VPC
vpc-ips, esegui questo comando:gcloud compute networks delete vpc-ips
Passaggi successivi
- Per informazioni concettuali sul servizio di prevenzione delle intrusioni, consulta la panoramica del servizio di prevenzione delle intrusioni.
- Per informazioni concettuali sui criteri firewall, consulta Criteri firewall.
- Per informazioni concettuali sulle regole dei criteri firewall, consulta Regole dei criteri firewall.
- Per determinare i costi, consulta i prezzi di Cloud NGFW.