Panoramica dell'ispezione del livello di applicazione

L'ispezione del livello applicazione di Cloud Next Generation Firewall fornisce una protezione avanzata per le tue risorse Google Cloud . L'ispezione del livello applicazione (nota anche come ispezione approfondita dei pacchetti o ispezione di livello 7) è un processo di sicurezza che esamina il contenuto dei pacchetti di rete mentre passano attraverso il firewall.

Questo documento descrive i servizi e i componenti utilizzati per l'ispezione a livello di applicazione in Cloud NGFW.

Servizi di ispezione del livello di applicazione

Cloud NGFW offre i seguenti servizi di ispezione del livello applicazione: servizio di filtro URL e servizio di rilevamento e prevenzione delle intrusioni. Le funzionalità di ispezione del livello applicazione sono disponibili nell'offerta Cloud NGFW Enterprise. Per saperne di più, vedi Cloud NGFW Enterprise.

Servizio di filtro degli URL

Il servizio di filtro URL ti consente di controllare l'accesso ai siti web bloccando o consentendo URL specifici. Questo servizio può utilizzare l'indicazione del nome del server (SNI) per filtrare in base al dominio. Per saperne di più, consulta la panoramica del servizio di filtro URL.

Servizio di rilevamento e prevenzione delle intrusioni

Il servizio di rilevamento e prevenzione delle intrusioni monitora continuamente il traffico del tuo carico di lavoro per rilevare attività dannose e adotta misure preventive per evitarle. Google Cloud L'attività dannosa può includere minacce come intrusioni, malware, spyware e attacchi command-and-control sulla tua rete. Per saperne di più, consulta la panoramica del servizio di rilevamento e prevenzione delle intrusioni.

Componenti principali

I servizi di ispezione del livello applicazione utilizzano i seguenti componenti:

  • Endpoint firewall e Associazioni di endpoint firewall: l'endpoint firewall è una risorsa di zona gestita da Google che esegue l'ispezione approfondita dei pacchetti nella tua rete. L'associazione di un endpoint firewall collega un endpoint firewall a una zona di una rete VPC. Crea un endpoint per zona nella regione in cui vuoi esaminare il traffico. Per saperne di più, consulta Panoramica dell'endpoint firewall.

    Per esaminare i contenuti del traffico criptato, crea una policy di ispezione TLS e aggiungila all'associazione di endpoint firewall. Per saperne di più, consulta Panoramica dell'ispezione TLS.

  • Profili di sicurezza: un oggetto che contiene la configurazione per un servizio di sicurezza specifico. Gli endpoint firewall utilizzano i profili di sicurezza per analizzare il traffico intercettato. Per saperne di più, consulta Panoramica dei profili di sicurezza.

    Cloud NGFW supporta i seguenti tipi di profili di sicurezza:

    • url-filtering: definisce le regole per il servizio di filtro degli URL.
    • threat-prevention: configura il servizio di rilevamento e prevenzione delle intrusioni.
  • Gruppo di profili di sicurezza: un contenitore per i profili di sicurezza. Un gruppo di profili di sicurezza può contenere un solo profilo di sicurezza di ogni tipo. Per ulteriori informazioni, vedi Panoramica dei gruppi di profili di sicurezza.

  • Azione apply_security_profile_group: un'azione della regola firewall che reindirizza il traffico intercettato a un endpoint firewall per l'ispezione. Per maggiori informazioni, vedi Azione in caso di corrispondenza.

Per capire come funzionano insieme i componenti principali, vedi Come funziona il servizio di filtro URL e Come funziona il servizio di rilevamento delle intrusioni e prevenzione.

Risorse a livello di organizzazione e a livello di progetto

Puoi creare e configurare componenti di ispezione del livello applicazione a livello di organizzazione o di progetto. Le risorse a livello di organizzazione vengono applicate a tutta l'organizzazione tramite criteri firewall gerarchici. Le risorse a livello di progetto si applicano solo tra progetti con policy del firewall di rete globali.

  • Per applicare policy di sicurezza obbligatorie a livello di organizzazione, utilizza le risorse a livello di organizzazione.
  • Per gestire le regole per un'applicazione specifica, utilizza le risorse a livello di progetto.

La seguente tabella mette a confronto le caratteristiche delle risorse a livello di organizzazione e di progetto:

Funzionalità Risorse a livello di organizzazione Risorse a livello di progetto
Autorizzazioni Richiedi la configurazione dei ruoli IAM a livello di organizzazione. Richiedi la configurazione dei ruoli IAM a livello di progetto.
Criteri gerarchici Possono essere referenziati da criteri firewall gerarchici. Non può essere fatto riferimento da criteri firewall gerarchici.
Ambito I gruppi di profili di sicurezza a livello di organizzazione vengono applicati automaticamente a tutti gli endpoint firewall dell'organizzazione. I gruppi di profili di sicurezza a livello di progetto si applicano solo agli endpoint firewall all'interno del progetto specifico. Non puoi applicarli a più progetti.
Fatturazione Le fatture relative all'uptime dell'endpoint firewall vengono addebitate a un progetto di fatturazione designato che fornisci. Il tempo di attività dell'endpoint firewall viene fatturato direttamente al progetto proprietario della risorsa.

Limitazioni

  • I gruppi di profili di sicurezza a livello di progetto si applicano solo agli endpoint firewall nello stesso progetto. Non puoi applicarli a più progetti.

  • Non puoi eseguire la migrazione di un progetto che contiene risorse a livello di progetto in un'altra organizzazione.

  • Puoi associare una rete VPC a un solo endpoint firewall per zona. Per ogni zona, devi utilizzare un endpoint a livello di progetto o di organizzazione.

  • Se associ una rete VPC a un endpoint firewall a livello di progetto in un progetto diverso, entrambi i progetti devono appartenere alla stessa organizzazione.

Passaggi successivi