Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Panoramica del servizio di rilevamento e prevenzione delle intrusioni

Il servizio di rilevamento e prevenzione delle intrusioni di Cloud Next Generation Firewall monitora continuamente il traffico dei tuoi Google Cloud workload per rilevare attività dannose e intraprende azioni preventive per evitarle. Le attività dannose possono includere minacce come intrusioni, malware, spyware e attacchi command-and-control alla tua rete.

Il servizio di rilevamento delle intrusioni e prevenzione di Cloud NGFW funziona creando endpoint firewall zonali gestiti da Google che utilizzano la tecnologia di intercettazione dei pacchetti per ispezionare in modo trasparente i workload alla ricerca delle firme delle minacce configurate e proteggerli dalle minacce. Queste funzionalità di prevenzione delle minacce si basano sulle tecnologie di prevenzione delle minacce di Palo Alto Networks.

Cloud NGFW supporta le seguenti categorie di firme delle minacce:

Antispyware
Protezione dalle vulnerabilità
Antivirus

Per saperne di più sulle categorie di minacce, consulta Firme delle minacce predefinite.

Il servizio di rilevamento e prevenzione delle intrusioni è offerto come parte delle funzionalità di Cloud Next Generation Firewall Enterprise. Per saperne di più, consulta Cloud NGFW Enterprise e Prezzi di Cloud NGFW.

Questo documento fornisce una panoramica generale dei vari componenti del servizio di rilevamento e prevenzione delle intrusioni di Cloud NGFW e di come questi componenti forniscono funzionalità di protezione avanzate per i tuoi Google Cloud workload nelle reti Virtual Private Cloud (VPC).

Come funziona il servizio di rilevamento e prevenzione delle intrusioni

Il servizio di rilevamento e prevenzione delle intrusioni elabora il traffico nella seguente sequenza:

Le regole delle policy del firewall vengono applicate al traffico da e verso le istanze di macchine virtuali (VM) o i cluster Google Kubernetes Engine (GKE) nella rete.
Il traffico corrispondente viene intercettato e i pacchetti vengono inviati all'endpoint firewall per l'ispezione di livello 7.
L'endpoint firewall esegue la scansione dei pacchetti alla ricerca delle firme delle minacce configurate.
Se viene rilevata una minaccia, l'azione configurata nel profilo di sicurezza viene eseguita sul pacchetto.

La Figura 1 descrive un modello di deployment semplificato del servizio di rilevamento e prevenzione delle intrusioni.

Modello di deployment di esempio del servizio di rilevamento e prevenzione delle intrusioni. — **Figura 1.** Modello di deployment di esempio del servizio di rilevamento e prevenzione delle intrusioni (fai clic per ingrandire).

Il resto della sezione spiega i componenti e le configurazioni necessari per configurare il servizio di rilevamento e prevenzione delle intrusioni.

Profili di sicurezza e gruppi di profili di sicurezza

Cloud NGFW fa riferimento ai profili di sicurezza e ai gruppi di profili di sicurezza per implementare l'ispezione approfondita dei pacchetti per il servizio di rilevamento delle intrusioni e prevenzione.

I profili di sicurezza sono strutture di policy generiche che puoi configurare a livello di organizzazione o a livello di progetto (anteprima). Vengono utilizzati nel servizio di rilevamento e prevenzione delle intrusioni per sostituire scenari specifici di prevenzione delle minacce. Per configurare il servizio di rilevamento e prevenzione delle intrusioni, definisci un profilo di sicurezza di tipo threat-prevention. Per saperne di più sui profili di sicurezza, consulta Panoramica dei profili di sicurezza.
I gruppi di profili di sicurezza possono essere configurati a livello di organizzazione o di progetto. Possono contenere un massimo di un profilo di sicurezza per tipo threat-prevention per gruppo.

Per configurare il servizio di rilevamento delle intrusioni e prevenzione, le regole delle policy del firewall fanno riferimento a questi gruppi di profili di sicurezza per abilitare il rilevamento e la prevenzione delle minacce per il traffico di rete. Per saperne di più sui gruppi di profili di sicurezza, consulta Panoramica dei gruppi di profili di sicurezza.

Endpoint firewall

Un endpoint firewall è una risorsa di zona che puoi configurare a livello di organizzazione o a livello di progetto (anteprima). Può ispezionare il traffico nella stessa zona.

Per il servizio di rilevamento e prevenzione delle intrusioni, l'endpoint firewall esegue la scansione del traffico intercettato alla ricerca di eventuali minacce. Se viene rilevata una minaccia, sul pacchetto viene eseguita un'azione associata alla minaccia. Questa azione può essere un'azione predefinita o un'azione (se configurata) nel profilo di sicurezza threat-prevention.

Per saperne di più sugli endpoint firewall e su come configurarli, consulta Panoramica degli endpoint firewall.

Policy firewall

Le policy firewall si applicano direttamente a tutto il traffico in entrata e in uscita dalla VM. Puoi utilizzare le policy del firewall gerarchiche e le policy del firewall di rete globali per configurare le regole delle policy del firewall con l'ispezione di livello 7.

Regole delle policy del firewall

Le regole delle policy del firewall ti consentono di controllare il tipo di traffico da intercettare e ispezionare. Per configurare il servizio di rilevamento e prevenzione delle intrusioni, crea una regola della policy del firewall per eseguire le seguenti operazioni:

Identifica il tipo di traffico da ispezionare utilizzando più componenti delle regole delle policy del firewall di livello 3 e 4.
Per il traffico corrispondente, specifica il nome del gruppo di profili di sicurezza per l'azione apply_security_profile_group.

Per il flusso di lavoro completo del servizio di rilevamento e prevenzione delle intrusioni, consulta Configurare il servizio di rilevamento e prevenzione delle intrusioni.

Puoi anche utilizzare i tag sicuri nelle regole firewall per configurare il servizio di rilevamento e prevenzione delle intrusioni. Puoi basarti su qualsiasi segmentazione che hai configurato utilizzando i tag nella tua rete e migliorare la logica di ispezione del traffico per includere il servizio di rilevamento e prevenzione delle intrusioni.

Ispezionare il traffico criptato

Cloud NGFW supporta l'intercettazione e la decriptazione TLS (Transport Layer Security) per ispezionare il traffico criptato selezionato alla ricerca di minacce. TLS ti consente di ispezionare le connessioni in entrata e in uscita, incluso il traffico da e verso internet e il traffico interno Google Cloud.

Per saperne di più sull'ispezione TLS in Cloud NGFW, consulta Panoramica dell'ispezione TLS.

Per scoprire come attivare l'ispezione TLS in Cloud NGFW, consulta Configurare l'ispezione TLS.

Firme delle minacce

Le funzionalità di rilevamento e prevenzione delle minacce di Cloud NGFW si basano sulle tecnologie di prevenzione delle minacce di Palo Alto Networks. Cloud NGFW supporta un set predefinito di firme delle minacce con livelli di gravità predefiniti per proteggere la tua rete. Puoi anche sostituire le azioni predefinite associate a queste firme delle minacce utilizzando i profili di sicurezza.

Per saperne di più sulle firme delle minacce, consulta Panoramica delle firme delle minacce.

Per visualizzare le minacce rilevate nella tua rete, consulta Visualizzare le minacce.

Limitazioni

Gli endpoint firewall ignorano le intestazioni X-Forwarded-For (XFF). Di conseguenza, queste intestazioni non sono incluse nel logging delle regole firewall VPC.
Gli endpoint firewall possono supportare solo pacchetti IP di dimensioni limitate. Per saperne di più, consulta Dimensioni dei pacchetti supportate.
La visibilità intranodo per Google Kubernetes Engine (GKE) non è supportata. Per saperne di più, consulta Configurare la visibilità intranodo.

Passaggi successivi

Configurare il servizio di rilevamento e prevenzione delle intrusioni