L'inspection de la couche application de Cloud Next Generation Firewall offre une protection avancée pour vos Google Cloud ressources. L'inspection de la couche application (également appelée inspection approfondie des paquets ou inspection de couche 7) est un processus de sécurité qui examine le contenu des paquets réseau lorsqu'ils traversent le pare-feu.
Ce document décrit les services et les composants utilisés pour l'inspection de la couche application dans Cloud NGFW.
Services d'inspection de la couche application
Cloud NGFW propose les services d'inspection de la couche application suivants : service de filtrage des URL et service de détection et de prévention des intrusions. Les fonctionnalités d'inspection de la couche application sont disponibles dans le niveau Cloud NGFW Enterprise. Pour en savoir plus, consultez Cloud NGFW Enterprise.
Service de filtrage des URL
Le service de filtrage des URL vous permet de contrôler l'accès aux sites Web en bloquant ou en autorisant des URL spécifiques. Ce service peut utiliser l'indication du nom du serveur (SNI) pour filtrer par domaine. Pour en savoir plus, consultez la présentation du service de filtrage des URL.
Service de détection et de prévention des intrusions
Le service de détection et de prévention des intrusions surveille en permanence le trafic de vos Google Cloud charges de travail afin de détecter toute activité malveillante et de prendre des mesures préventives pour la contrer. Ces activités malveillantes peuvent inclure des menaces telles que des intrusions, des logiciels malveillants, des logiciels espions, ainsi que des attaques de type "commande et contrôle" sur votre réseau. Pour en savoir plus, consultez la présentation du service de détection et de prévention des intrusions.
Composants principaux
Les services d'inspection de la couche application utilisent les composants suivants :
Points de terminaison de pare-feu et associations de points de terminaison de pare-feu : un point de terminaison de pare-feu est une ressource zonale gérée par Google qui effectue une inspection approfondie des paquets sur votre réseau. Une association de point de terminaison de pare-feu associe un point de terminaison de pare-feu à une zone d'un réseau VPC. Vous créez un point de terminaison par zone dans la région où vous souhaitez inspecter le trafic. Pour en savoir plus, consultez la présentation des points de terminaison de pare-feu.
Pour inspecter le contenu du trafic chiffré, créez une règle d'inspection TLS et ajoutez-la à l'association de point de terminaison de pare-feu. Pour en savoir plus, consultez la présentation de l'inspection TLS.
Profils de sécurité : objet contenant la configuration d'un service de sécurité spécifique. Les points de terminaison de pare-feu utilisent des profils de sécurité pour analyser le trafic intercepté. Pour en savoir plus, consultez la présentation des profils de sécurité.
Cloud NGFW est compatible avec les types de profils de sécurité suivants :
url-filtering: définit les règles du service de filtrage des URL.threat-prevention: configure le service de détection et de prévention des intrusions.
Groupe de profils de sécurité : conteneur pour les profils de sécurité. Un groupe de profils de sécurité ne peut contenir qu'un seul profil de sécurité de chaque type. Pour en savoir plus, consultez la présentation des groupes de profils de sécurité.
Action
apply_security_profile_group: action de règle de pare-feu qui redirige le trafic intercepté vers un point de terminaison de pare-feu pour inspection. Pour en savoir plus, consultez la section Action en cas de correspondance.
Pour comprendre comment les composants principaux fonctionnent ensemble, consultez la section Fonctionnement du service de filtrage des URL et Fonctionnement du service de détection et de prévention des intrusions.
Étape suivante
- Présentation du service de filtrage des URL
- Présentation du service de détection et de prévention des intrusions
- Présentation de l'inspection TLS