Die Anwendungs-Layer-Prüfung der Cloud Next Generation Firewall bietet erweiterten Schutz für Ihre Google Cloud -Ressourcen. Die Prüfung der Anwendungsschicht (auch als Deep Packet Inspection oder Layer 7-Prüfung bezeichnet) ist ein Sicherheitsverfahren, bei dem der Inhalt von Netzwerkpaketen untersucht wird, während sie die Firewall durchlaufen.
In diesem Dokument werden die Dienste und Komponenten beschrieben, die für die Überprüfung der Anwendungsschicht in Cloud NGFW verwendet werden.
Prüfdienste für die Anwendungsebene
Cloud NGFW bietet die folgenden Dienste zur Prüfung der Anwendungsschicht: URL-Filterdienst und Dienst zur Einbruchserkennung und -vermeidung. Funktionen zur Prüfung der Anwendungsschicht sind in der Cloud NGFW Enterprise-Stufe verfügbar. Weitere Informationen finden Sie unter Cloud NGFW Enterprise.
URL-Filterdienst
Mit dem URL-Filterdienst können Sie den Zugriff auf Websites steuern, indem Sie bestimmte URLs blockieren oder zulassen. Dieser Dienst kann Server Name Indication (SNI) verwenden, um nach Domain zu filtern. Weitere Informationen finden Sie in der Übersicht über den URL-Filterdienst.
Dienst zur Einbruchserkennung und -vermeidung
Der Dienst zur Einbruchserkennung und ‑vermeidung überwacht kontinuierlich den Traffic Ihrer Google Cloud Arbeitslast auf schädliche Aktivitäten und ergreift präventive Maßnahmen zu deren Vermeidung. Zu den schädlichen Aktivitäten gehören Bedrohungen wie Einbrüche, Malware, Spyware und Command-and-Control-Angriffe in Ihrem Netzwerk. Weitere Informationen finden Sie unter Übersicht über den Dienst zur Einbruchserkennung und ‑abwehr.
Kernkomponenten
Für die Überprüfung der Anwendungsschicht werden die folgenden Komponenten verwendet:
Firewall-Endpunkte und Firewall-Endpunktverknüpfungen: Ein Firewall-Endpunkt ist eine von Google verwaltete zonale Ressource, die eine Deep Packet Inspection in Ihrem Netzwerk durchführt. Eine Firewall-Endpunktverknüpfung verknüpft einen Firewall-Endpunkt mit einer Zone eines VPC-Netzwerk. Sie erstellen einen Endpunkt pro Zone in der Region, in der Sie den Traffic prüfen möchten. Weitere Informationen finden Sie unter Firewall-Endpunkte.
Wenn Sie den Inhalt von verschlüsseltem Traffic prüfen möchten, erstellen Sie eine TLS-Prüfungsrichtlinie und fügen Sie sie der Firewall-Endpunktverknüpfung hinzu. Weitere Informationen finden Sie unter TLS-Prüfung.
Sicherheitsprofile: Ein Objekt, das die Konfiguration für einen bestimmten Sicherheitsdienst enthält. Firewall-Endpunkte verwenden Sicherheitsprofile, um abgefangenen Traffic zu scannen. Weitere Informationen finden Sie unter Sicherheitsprofile – Übersicht.
Cloud NGFW unterstützt die folgenden Arten von Sicherheitsprofilen:
url-filtering: Definiert Regeln für den URL-Filterdienst.threat-prevention: Konfiguriert den Dienst zur Einbruchserkennung und ‑vermeidung.
Sicherheitsprofilgruppe: Ein Container für Sicherheitsprofile. Eine Sicherheitsprofilgruppe kann nur ein Sicherheitsprofil jedes Typs enthalten. Weitere Informationen finden Sie unter Sicherheitsprofilgruppe – Übersicht.
apply_security_profile_group-Aktion: Eine Firewallregelaktion, die den abgefangenen Traffic zur Prüfung an einen Firewallendpunkt weiterleitet. Weitere Informationen finden Sie unter Aktion bei Übereinstimmung.
Informationen zum Zusammenspiel der Kernkomponenten finden Sie unter Funktionsweise des URL-Filterdienstes und Funktionsweise des Dienstes zur Einbruchserkennung und Abwehr von Angriffen.
Ressourcen auf Organisations- und Projektebene
Sie können Komponenten für die Überprüfung der Anwendungsschicht auf Organisations- oder Projektebene erstellen und konfigurieren. Ressourcen auf Organisationsebene werden über hierarchische Firewallrichtlinien auf die gesamte Organisation angewendet. Ressourcen auf Projektebene gelten nur für Projekte mit globalen Netzwerk-Firewallrichtlinien.
- Verwenden Sie Ressourcen auf Organisationsebene, um obligatorische, organisationsweite Sicherheitsrichtlinien zu erzwingen.
- Wenn Sie Regeln für eine bestimmte Anwendung verwalten möchten, verwenden Sie Ressourcen auf Projektebene.
In der folgenden Tabelle werden die Eigenschaften von Ressourcen auf Organisations- und Projektebene verglichen:
| Funktion | Ressourcen auf Organisationsebene | Ressourcen auf Projektebene |
|---|---|---|
| Berechtigungen | Erfordert IAM-Rollen auf Organisationsebene für die Konfiguration. | Erfordert die Konfiguration von IAM-Rollen auf Projektebene. |
| Hierarchische Richtlinien | Kann von hierarchischen Firewallrichtlinien referenziert werden. | Kann nicht von hierarchischen Firewallrichtlinien referenziert werden. |
| Umfang | Sicherheitsprofilgruppen auf Organisationsebene werden automatisch auf alle Firewall-Endpunkte in der Organisation angewendet. | Sicherheitsprofilgruppen auf Projektebene gelten nur für Firewall-Endpunkte innerhalb des jeweiligen Projekts. Sie können sie nicht projektübergreifend anwenden. |
| Abrechnung | Die Abrechnung der Firewall-Endpunkt-Uptime erfolgt über ein von Ihnen angegebenes Abrechnungsprojekt. | Die Abrechnung der Firewall-Endpunkt-Uptime erfolgt direkt über das Projekt, zu dem die Ressource gehört. |
Beschränkungen
Sicherheitsprofilgruppen auf Projektebene gelten nur für Firewall-Endpunkte im selben Projekt. Sie können nicht projektübergreifend angewendet werden.
Sie können ein Projekt, das Ressourcen auf Projektebene enthält, nicht in eine andere Organisation migrieren.
Sie können ein VPC-Netzwerk nur einem Firewall-Endpunkt pro Zone zuordnen. Für jede Zone müssen Sie entweder einen Endpunkt auf Projektebene oder auf Organisationsebene verwenden.
Wenn Sie ein VPC-Netzwerk mit einem Firewall-Endpunkt auf Projektebene in einem anderen Projekt verknüpfen, müssen sich beide Projekte in derselben Organisation befinden.