Per abilitare il servizio di rilevamento e prevenzione delle intrusioni nella tua rete, devi configurare più componenti di Cloud Next Generation Firewall. Questo documento fornisce un flusso di lavoro di alto livello che descrive come configurare questi componenti e attivare il rilevamento e la prevenzione delle minacce.
Configura il servizio di rilevamento e prevenzione delle intrusioni senza ispezione TLS
Per configurare il servizio di rilevamento e prevenzione delle intrusioni nella tua rete, esegui le seguenti attività.
richiesti.Crea un profilo di sicurezza di tipo
Threat prevention. Configura le sostituzioni di minacce o gravità in base ai requisiti della tua rete. Puoi creare uno o più profili. Per scoprire come creare profili di sicurezza per la prevenzione delle minacce, consulta Creare un profilo di sicurezza per la prevenzione delle minacce.Crea un gruppo di profili di sicurezza con il profilo di sicurezza creato nel passaggio precedente. Per scoprire come creare un gruppo di profili di sicurezza, consulta Creare un gruppo di profili di sicurezza.
Crea un endpoint firewall nella stessa zona dei tuoi carichi di lavoro in cui vuoi abilitare la prevenzione delle minacce.
Puoi creare un endpoint firewall con o senza supporto dei frame jumbo.
Per scoprire come creare un endpoint firewall, consulta Crea un endpoint firewall.
Associa l'endpoint firewall a una o più reti VPC in cui vuoi abilitare il rilevamento e la prevenzione delle minacce. Assicurati di eseguire i workload nella stessa zona dell'endpoint firewall.
Un endpoint firewall con supporto per frame jumbo può accettare pacchetti solo fino a 8500 byte. In alternativa, un endpoint del firewall senza supporto dei frame jumbo può accettare pacchetti fino a 1460 byte.
Poiché un endpoint non esegue il servizio di rilevamento e prevenzione delle intrusioni per i pacchetti più grandi, ti consigliamo di configurare le reti VPC associate in modo che utilizzino i limiti dell'unità massima di trasmissione (MTU) di 8500 byte e 1460 byte. Per ulteriori informazioni, vedi Dimensioni dei pacchetti supportate.
Per scoprire come associare un endpoint firewall a una rete VPC, consulta Creare associazioni di endpoint firewall.
Puoi utilizzare le policy globali del firewall di rete o le policy firewall gerarchiche per configurare il servizio di rilevamento e prevenzione delle intrusioni.
In una policy del firewall globale nuova o esistente, aggiungi una regola della policy del firewall con l'ispezione di livello 7 attivata (azione
apply_security_profile_group) e specifica il nome del gruppo di profili di sicurezza che hai creato nel passaggio precedente. Assicurati che la policy firewall sia associata alla stessa rete VPC dei carichi di lavoro che richiedono l'ispezione. Per saperne di più sulla policy del firewall di rete globale e sui parametri necessari per creare una regola della policy firewall con la prevenzione delle minacce abilitata, consulta Crea una policy del firewall di rete globale e Crea regole della policy del firewall di rete globale.Puoi anche utilizzare una policy firewall gerarchica per aggiungere una regola della policy firewall con un gruppo di profili di sicurezza configurato. Per saperne di più sui parametri necessari per creare regole dei criteri firewall gerarchici con la prevenzione delle minacce abilitata, consulta Creare regole firewall.
Configura il servizio di rilevamento e prevenzione delle intrusioni con l'ispezione TLS
Per configurare il servizio di rilevamento e prevenzione delle intrusioni con l'ispezione Transport Layer Security (TLS) nella tua rete, esegui le seguenti attività.
Crea un profilo di sicurezza di tipo
Threat prevention. Configura le sostituzioni di minacce o gravità in base ai requisiti della tua rete. Puoi creare uno o più profili. Per scoprire come creare profili di sicurezza per la prevenzione delle minacce, consulta Creare un profilo di sicurezza per la prevenzione delle minacce.Crea un gruppo di profili di sicurezza con il profilo di sicurezza creato nel passaggio precedente. Per scoprire come creare un gruppo di profili di sicurezza, consulta Creare un gruppo di profili di sicurezza.
Crea un pool di CA e una configurazione di attendibilità e aggiungili alla policy di ispezione TLS. Per scoprire come abilitare l'ispezione TLS in Cloud NGFW, consulta Configura l'ispezione TLS.
Crea un endpoint firewall nella stessa zona dei tuoi carichi di lavoro in cui vuoi abilitare la prevenzione delle minacce.
Puoi creare un endpoint firewall con o senza supporto dei frame jumbo.
Per scoprire come creare un endpoint firewall, consulta Crea un endpoint firewall.
Associa l'endpoint firewall a una o più reti VPC in cui vuoi abilitare il rilevamento e la prevenzione delle minacce. Aggiungi il criterio di ispezione TLS che hai creato nel passaggio precedente all'associazione dell'endpoint firewall. Assicurati di eseguire i workload nella stessa zona dell'endpoint firewall.
Un endpoint firewall con supporto per frame jumbo può accettare pacchetti solo fino a 8500 byte. In alternativa, un endpoint del firewall senza supporto dei frame jumbo può accettare pacchetti fino a 1460 byte.
Poiché un endpoint non esegue il servizio di rilevamento e prevenzione delle intrusioni per i pacchetti più grandi, ti consigliamo di configurare le reti VPC associate in modo che utilizzino i limiti dell'unità massima di trasmissione (MTU) di 8500 byte e 1460 byte. Per ulteriori informazioni, vedi Dimensioni dei pacchetti supportate.
Per scoprire come associare un endpoint firewall a una rete VPC e abilitare l'ispezione TLS, consulta Creare associazioni di endpoint firewall.
Puoi utilizzare le policy globali del firewall di rete o le policy firewall gerarchiche per configurare il servizio di rilevamento e prevenzione delle intrusioni.
In una policy del firewall globale nuova o esistente, aggiungi una regola della policy del firewall con l'ispezione di livello 7 attivata (azione
apply_security_profile_group) e specifica il nome del gruppo di profili di sicurezza che hai creato nel passaggio precedente. Per abilitare l'ispezione TLS, specifica il flag--tls-inspect. Assicurati che la policy firewall sia associata alla stessa rete VPC dei carichi di lavoro che richiedono l'ispezione. Per saperne di più sulla policy del firewall di rete globale e sui parametri necessari per creare una regola della policy firewall con la prevenzione delle minacce abilitata, consulta Crea una policy del firewall di rete globale e Crea regole della policy del firewall di rete globale.Puoi anche utilizzare una policy firewall gerarchica per aggiungere una regola della policy firewall con un gruppo di profili di sicurezza configurato. Per saperne di più sui parametri necessari per creare regole dei criteri firewall gerarchici con la prevenzione delle minacce abilitata, consulta Creare regole firewall.
Modello di deployment di esempio
La figura 1 mostra un esempio di deployment con il servizio di rilevamento e prevenzione delle intrusioni configurato per due reti VPC nella stessa regione, ma in due zone diverse.
La distribuzione di esempio ha la seguente configurazione di prevenzione delle minacce:
Due gruppi di profili di sicurezza:
Security profile group 1con profilo di sicurezzaSecurity profile 1.Security profile group 2con profilo di sicurezzaSecurity profile 2.
Il VPC del cliente 1 (
VPC 1) ha una policy firewall con il gruppo di profili di sicurezza impostato suSecurity profile group 1.Il VPC 2 del cliente (
VPC 2) ha una policy del firewall con il gruppo di profili di sicurezza impostato suSecurity profile group 2.L'endpoint firewall
Firewall endpoint 1esegue il rilevamento e la prevenzione delle minacce per i workload in esecuzione suVPC 1eVPC 2nella zonaus-west1-a.L'endpoint firewall
Firewall endpoint 2esegue il rilevamento e la prevenzione delle minacce con l'ispezione TLS abilitata per i carichi di lavoro in esecuzione suVPC 1eVPC 2nella zonaus-west1-b.
Passaggi successivi
- Panoramica del profilo di sicurezza
- Panoramica dei gruppi di profili di sicurezza
- Panoramica dell'endpoint firewall