Il servizio di rilevamento e prevenzione delle intrusioni di Cloud Next Generation Firewall monitora continuamente il Google Cloud traffico dei workload per rilevare eventuali attività dannose e intraprende azioni preventive per evitarle. L'attività dannosa può includere minacce come intrusioni, malware, spyware e attacchi command-and-control alla rete.
Il servizio di rilevamento delle intrusioni e prevenzione di Cloud NGFW funziona creando endpoint firewall zonali gestiti da Google che utilizzano la tecnologia di intercettazione dei pacchetti per ispezionare in modo trasparente i workload alla ricerca delle firme delle minacce configurate e proteggerli dalle minacce. Queste funzionalità di prevenzione delle minacce si basano sulle tecnologie di prevenzione delle minacce di Palo Alto Networks.
Cloud NGFW supporta le seguenti categorie di firme delle minacce:
- Anti-spyware
- Protezione dalle vulnerabilità
- Antivirus
Per saperne di più sulle categorie di minacce, consulta Firme delle minacce predefinite.
Il servizio di rilevamento e prevenzione delle intrusioni fa parte delle funzionalità di Cloud Next Generation Firewall Enterprise. Per saperne di più, consulta Cloud NGFW Enterprise e Prezzi di Cloud NGFW.
Questo documento fornisce una panoramica di alto livello dei vari componenti del servizio di rilevamento e prevenzione delle intrusioni di Cloud NGFW e di come questi componenti forniscono funzionalità di protezione avanzate per i Google Cloud workload nelle reti Virtual Private Cloud (VPC).
Come funziona il servizio di rilevamento e prevenzione delle intrusioni
Il servizio di rilevamento e prevenzione delle intrusioni elabora il traffico nella seguente sequenza:
Le regole delle policy del firewall vengono applicate al traffico da e verso le istanze di macchine virtuali (VM) o i cluster Google Kubernetes Engine (GKE) nella rete.
Il traffico corrispondente viene intercettato e i pacchetti vengono inviati all'endpoint firewall per l'ispezione di livello 7.
L'endpoint firewall esegue la scansione dei pacchetti alla ricerca delle firme delle minacce configurate.
Se viene rilevata una minaccia, l'azione configurata nel profilo di sicurezza viene eseguita sul pacchetto.
La Figura 1 descrive un modello di deployment semplificato del servizio di rilevamento e prevenzione delle intrusioni.
Il resto della sezione spiega i componenti e le configurazioni necessari per configurare il servizio di rilevamento e prevenzione delle intrusioni.
Profili di sicurezza e gruppi di profili di sicurezza
Cloud NGFW fa riferimento ai profili di sicurezza e ai gruppi di profili di sicurezza per implementare l'ispezione approfondita dei pacchetti per il servizio di rilevamento delle intrusioni e prevenzione.
I profili di sicurezza sono strutture di policy generiche che puoi configurare a livello di organizzazione o di progetto. Vengono utilizzati nel servizio di rilevamento e prevenzione delle intrusioni per sostituire scenari specifici di prevenzione delle minacce. Per configurare il servizio di rilevamento e prevenzione delle intrusioni, definisci un profilo di sicurezza di tipo
threat-prevention. Per saperne di più sui profili di sicurezza, consulta Panoramica dei profili di sicurezza.I gruppi di profili di sicurezza possono essere configurati a livello di organizzazione o di progetto. Possono contenere un massimo di un profilo di sicurezza per tipo
threat-preventionper gruppo.Per configurare il servizio di rilevamento delle intrusioni e prevenzione, le regole delle policy del firewall fanno riferimento a questi gruppi di profili di sicurezza per attivare il rilevamento e la prevenzione delle minacce per il traffico di rete. Per saperne di più sui gruppi di profili di sicurezza, consulta Panoramica dei gruppi di profili di sicurezza.
Endpoint firewall
Un endpoint firewall è una risorsa di zona che puoi configurare a livello di organizzazione o di progetto. Può ispezionare il traffico nella stessa zona.
Per il servizio di rilevamento e prevenzione delle intrusioni, l'endpoint firewall esegue la scansione del traffico intercettato alla ricerca di eventuali minacce. Se viene rilevata una minaccia, sul pacchetto viene eseguita un'azione associata alla minaccia. Questa azione può essere un'azione predefinita o un'azione (se configurata) nel profilo di sicurezza threat-prevention.
Per saperne di più sugli endpoint firewall e su come configurarli, consulta Panoramica degli endpoint firewall.
Policy firewall
Le policy firewall si applicano direttamente a tutto il traffico in entrata e in uscita dalla VM. Puoi utilizzare le policy firewall gerarchiche e le policy firewall di rete globali per configurare le regole delle policy firewall con l'ispezione di livello 7.
Regole delle policy del firewall
Le regole delle policy del firewall ti consentono di controllare il tipo di traffico da intercettare e ispezionare. Per configurare il servizio di rilevamento e prevenzione delle intrusioni, crea una regola della policy firewall per eseguire le seguenti operazioni:
Identifica il tipo di traffico da ispezionare utilizzando più componenti delle regole delle policy del firewall di livello 3 e 4.
Per il traffico corrispondente, specifica il nome del gruppo di profili di sicurezza per l'azione
apply_security_profile_group.
Per il flusso di lavoro completo del servizio di rilevamento e prevenzione delle intrusioni, consulta Configurare il servizio di rilevamento e prevenzione delle intrusioni.
Puoi anche utilizzare i tag sicuri nelle regole firewall per configurare il servizio di rilevamento e prevenzione delle intrusioni. Puoi basarti su qualsiasi segmentazione che hai configurato utilizzando i tag nella rete e migliorare la logica di ispezione del traffico per includere il servizio di rilevamento e prevenzione delle intrusioni.
Ispezionare il traffico criptato
Cloud NGFW supporta l'intercettazione e la decriptazione TLS (Transport Layer Security) per ispezionare il traffico criptato selezionato alla ricerca di minacce. TLS ti consente di ispezionare le connessioni in entrata e in uscita, incluso il traffico da e verso internet e il traffico interno Google Cloud.
Per saperne di più sull'ispezione TLS in Cloud NGFW, consulta Panoramica dell'ispezione TLS.
Per scoprire come attivare l'ispezione TLS in Cloud NGFW, consulta Configurare l'ispezione TLS.
Firme delle minacce
Le funzionalità di rilevamento e prevenzione delle minacce di Cloud NGFW si basano sulle tecnologie di prevenzione delle minacce di Palo Alto Networks. Cloud NGFW supporta un set predefinito di firme delle minacce con livelli di gravità predefiniti per proteggere la rete. Puoi anche sostituire le azioni predefinite associate a queste firme delle minacce utilizzando i profili di sicurezza.
Per saperne di più sulle firme delle minacce, consulta Panoramica delle firme delle minacce.
Per visualizzare le minacce rilevate nella rete, consulta Visualizzare le minacce.
Limitazioni
Gli endpoint firewall ignorano le intestazioni X-Forwarded-For (XFF). Di conseguenza, queste intestazioni non sono incluse nel logging delle regole firewall VPC.
Gli endpoint firewall possono supportare solo pacchetti IP di dimensioni limitate. Per saperne di più, consulta Dimensioni dei pacchetti supportate.
La visibilità intranodo per Google Kubernetes Engine (GKE) non è supportata. Per saperne di più, consulta Configurare la visibilità intranodo.