A inspeção da camada de aplicativos do Cloud Next Generation Firewall oferece proteção avançada para seus Google Cloud recursos. A inspeção da camada de aplicativos (também conhecida como inspeção de pacotes detalhada ou inspeção da camada 7) é um processo de segurança que examina o conteúdo dos pacotes de rede à medida que eles passam pelo firewall.
Este documento descreve os serviços e componentes usados para inspeção da camada de aplicativos no Cloud NGFW.
Serviços de inspeção da camada de aplicativos
O Cloud NGFW oferece os seguintes serviços de inspeção da camada de aplicativos: serviço de filtragem de URL e serviço de detecção e prevenção de intrusões. Os recursos de inspeção da camada de aplicativos estão disponíveis no nível Enterprise do Cloud NGFW. Para mais informações, consulte Cloud NGFW Enterprise.
Serviço de filtragem de URL
O serviço de filtragem de URL permite controlar o acesso a sites bloqueando ou permitindo URLs específicos. Esse serviço pode usar a Indicação de nome do servidor (SNI, na sigla em inglês) para filtrar por domínio. Para mais informações, consulte Visão geral do serviço de filtragem de URL.
Serviço de detecção e prevenção de intrusões
O serviço de detecção e prevenção de intrusões monitora continuamente o tráfego da carga de trabalho em busca de atividades mal-intencionadas e toma medidas preventivas para evitá-las. Google Cloud Entre essas ameaças, estão invasões, malware, spyware e ataques de comando e controle na sua rede. Para mais informações, consulte Visão geral do serviço de detecção e prevenção de intrusões.
Principais componentes
Os serviços de inspeção da camada de aplicativos usam os seguintes componentes:
Endpoints de firewall e associações de endpoints de firewall: o endpoint de firewall é um recurso zonal gerenciado pelo Google que realiza inspeção de pacotes detalhada na sua rede. Uma associação de endpoint de firewall vincula um endpoint de firewall a uma zona de uma rede VPC. Crie um endpoint por zona na região em que você quer inspecionar o tráfego. Para mais informações, consulte Visão geral do endpoint de firewall.
Para inspecionar o conteúdo do tráfego criptografado, crie uma política de inspeção de TLS e adicione-a à associação de endpoint de firewall. Para mais informações, consulte Visão geral da inspeção de TLS.
Perfis de segurança: um objeto que contém a configuração de um serviço de segurança específico. Os endpoints de firewall usam perfis de segurança para verificar o tráfego interceptado. Para mais informações, consulte Visão geral dos perfis de segurança.
O Cloud NGFW oferece suporte aos seguintes tipos de perfis de segurança:
url-filtering: define regras para o serviço de filtragem de URL.threat-prevention: configura o serviço de detecção e prevenção de intrusões.
Grupo de perfis de segurança: um contêiner para perfis de segurança. Um grupo de perfis de segurança só pode conter um perfil de segurança de cada tipo. Para mais informações, consulte Visão geral do grupo de perfis de segurança.
Ação
apply_security_profile_group: uma ação de regra de firewall que redireciona o tráfego interceptado para um endpoint de firewall para inspeção. Para mais informações, consulte Ação na correspondência.
Para entender como os componentes principais funcionam juntos, consulte Como o serviço de filtragem de URL funciona e Como o serviço de detecção e prevenção de intrusões funciona.
A seguir
- Visão geral do serviço de filtragem de URL
- Visão geral do serviço de detecção e prevenção de intrusões
- Visão geral da inspeção de TLS