הגדרת שירות גילוי חדירות ומניעתן

כדי להפעיל שירות לגילוי ולמניעת חדירות ברשת, צריך להגדיר כמה רכיבים של Cloud Next Generation Firewall. במאמר הזה מוסבר איך להגדיר את הרכיבים האלה ולהפעיל זיהוי ומניעה של איומים.

הגדרת שירות למניעת חדירות וזיהוי חדירות ללא בדיקת TLS

כדי להגדיר ברשת שירות לגילוי ולמניעת חדירות, צריך לבצע את המשימות הבאות.

.

  1. יוצרים פרופיל אבטחה מסוג Threat prevention. מגדירים את ההחרגות של איומים או חומרת איומים לפי הצורך ברשת. אפשר ליצור פרופיל אחד או יותר. במאמר יצירת פרופיל אבטחה למניעת איומים מוסבר איך ליצור פרופילים כאלה.

  2. יוצרים קבוצה של פרופילי אבטחה עם פרופיל האבטחה שנוצר בשלב הקודם. איך יוצרים קבוצת פרופילי אבטחה

  3. יוצרים נקודת קצה של חומת אש באותו אזור שבו נמצאות עומסי העבודה שרוצים להפעיל בהם מניעת איומים.

    אפשר ליצור נקודת קצה של חומת אש עם תמיכה ב-jumbo frame או בלי תמיכה כזו.

    במאמר יצירת נקודת קצה של חומת אש מוסבר איך ליצור נקודת קצה של חומת אש.

  4. משייכים את נקודת הקצה של חומת האש לרשת VPC אחת או יותר שבהן רוצים להפעיל זיהוי ומניעה של איומים. מוודאים שעומסי העבודה פועלים באותו אזור כמו נקודת הקצה של חומת האש.

    נקודת קצה של חומת אש עם תמיכה ב-jumbo frame יכולה לקבל חבילות של עד 8,500 בייט. לחלופין, נקודת קצה של חומת אש ללא תמיכה ב-jumbo frame יכולה לקבל מנות עד 1,460 בייט. אם אתם צריכים שירות לזיהוי פריצות ולמניעתן, מומלץ להגדיר את רשתות ה-VPC המשויכות כך שישתמשו במגבלות יחידת השידור המקסימלית (MTU) של 8,500 בייט ו-1,460 בייט. מידע נוסף זמין במאמר בנושא גודל מנות נתונים נתמך.

    מידע נוסף על שיוך נקודת קצה של חומת אש לרשת VPC זמין במאמר בנושא יצירת שיוכים של נקודות קצה של חומת אש.

  5. אתם יכולים להשתמש במדיניות גלובלית של חומת אש ברשת או במדיניות היררכית של חומת אש כדי להגדיר שירות לזיהוי ולמניעה של חדירות.

    • במדיניות חדשה או קיימת של חומת אש גלובלית, מוסיפים כלל של מדיניות חומת אש עם בדיקה מופעלת בשכבה 7 (apply_security_profile_group פעולה) ומציינים את השם של קבוצת פרופילי האבטחה שיצרתם בשלב הקודם. מוודאים שמדיניות חומת האש משויכת לאותה רשת VPC כמו עומסי העבודה שנדרשת לגביהם בדיקה. מידע נוסף על מדיניות גלובלית של חומת אש ברשת ועל הפרמטרים שנדרשים ליצירת כלל מדיניות חומת אש עם הגנה מפני איומים מופיע במאמרים יצירת מדיניות גלובלית של חומת אש ברשת ויצירת כלל.

    • אפשר גם להשתמש במדיניות חומת אש היררכית כדי להוסיף כלל של מדיניות חומת אש עם קבוצת פרופילים של אבטחה שהוגדרה. מידע נוסף על הפרמטרים שנדרשים ליצירת כללים היררכיים של מדיניות חומת אש עם הגנה מפני איומים זמין במאמר בנושא יצירת כלל.

הגדרת שירות לזיהוי ולמניעת חדירות עם בדיקת TLS

כדי להגדיר שירות לזיהוי ולמניעת חדירות עם בדיקת Transport Layer Security ‏ (TLS) ברשת, צריך לבצע את המשימות הבאות.

Google Cloud

  1. יוצרים פרופיל אבטחה מסוג Threat prevention. מגדירים את ההחרגות של איומים או חומרת איומים לפי הצורך ברשת. אפשר ליצור פרופיל אחד או יותר. במאמר יצירת פרופיל אבטחה למניעת איומים מוסבר איך ליצור פרופילים כאלה.

  2. יוצרים קבוצה של פרופילי אבטחה עם פרופיל האבטחה שנוצר בשלב הקודם. איך יוצרים קבוצת פרופילי אבטחה

  3. יוצרים מאגר רשויות אישורים והגדרת אמון, ומוסיפים אותם למדיניות בדיקת ה-TLS. איך מגדירים בדיקת TLS ב-Cloud NGFW

  4. יוצרים נקודת קצה של חומת אש באותו אזור שבו נמצאות עומסי העבודה שרוצים להפעיל בהם מניעת איומים.

    אפשר ליצור נקודת קצה של חומת אש עם תמיכה ב-jumbo frame או בלי תמיכה כזו.

    במאמר יצירת נקודת קצה של חומת אש מוסבר איך ליצור נקודת קצה של חומת אש.

  5. משייכים את נקודת הקצה של חומת האש לרשת VPC אחת או יותר שבהן רוצים להפעיל זיהוי ומניעה של איומים. מוסיפים את מדיניות הבדיקה של TLS שיצרתם בשלב הקודם לשיוך של נקודת הקצה של חומת האש. צריך לוודא שאתם מריצים את עומסי העבודה באותו אזור שבו נמצאת נקודת הקצה של חומת האש.

    נקודת קצה של חומת אש עם תמיכה ב-jumbo frame יכולה לקבל חבילות של עד 8,500 בייט. לחלופין, נקודת קצה של חומת אש ללא תמיכה ב-jumbo frame יכולה לקבל מנות עד 1,460 בייט. אם אתם צריכים שירות לזיהוי פריצות ולמניעתן, מומלץ להגדיר את רשתות ה-VPC המשויכות כך שישתמשו במגבלות יחידת השידור המקסימלית (MTU) של 8,500 בייט ו-1,460 בייט. מידע נוסף זמין במאמר בנושא גודל מנות נתונים נתמך.

    במאמר יצירת שיוכים של נקודות קצה של חומת אש מוסבר איך לשייך נקודת קצה של חומת אש לרשת VPC ולהפעיל בדיקת TLS.

  6. אתם יכולים להשתמש במדיניות גלובלית של חומת אש ברשת או במדיניות היררכית של חומת אש כדי להגדיר שירות לזיהוי ולמניעה של חדירות.

    • במדיניות חדשה או קיימת של חומת אש גלובלית, מוסיפים כלל של מדיניות חומת אש עם בדיקה מופעלת בשכבה 7 (apply_security_profile_group פעולה) ומציינים את השם של קבוצת פרופילי האבטחה שיצרתם בשלב הקודם. כדי להפעיל בדיקת TLS, מציינים את הדגל --tls-inspect. מוודאים שמדיניות חומת האש משויכת לאותה רשת VPC כמו עומסי העבודה שנדרשת לגביהם בדיקה. מידע נוסף על מדיניות גלובלית של חומת אש ברשת ועל הפרמטרים שנדרשים ליצירת כלל מדיניות חומת אש עם הגנה מפני איומים מופיע במאמרים יצירת מדיניות גלובלית של חומת אש ברשת ויצירת כלל.

    • אפשר גם להשתמש במדיניות חומת אש היררכית כדי להוסיף כלל של מדיניות חומת אש עם קבוצת פרופילים של אבטחה שהוגדרה. מידע נוסף על הפרמטרים שנדרשים ליצירת כללים היררכיים של מדיניות חומת אש עם הגנה מפני איומים זמין במאמר בנושא יצירת כלל.

דוגמה למודל פריסה

איור 1 מציג פריסה לדוגמה עם שירות לזיהוי פריצות ומניעתן שהוגדר עבור שתי רשתות VPC באותו אזור אבל בשני אזורים שונים.

פריסת שירות גילוי ומניעת חדירות באזור.
איור 1. פריסת שירות גילוי חדירות ומניעתן באזור מסוים (לחצו להגדלה).

ההגדרה של מניעת האיומים בדוגמה לפריסה היא:

  1. שתי קבוצות של פרופילי אבטחה:

    1. Security profile group 1 עם פרופיל אבטחה Security profile 1.

    2. Security profile group 2 עם פרופיל אבטחה Security profile 2.

  2. ל-VPC 1 של הלקוח (VPC 1) יש מדיניות חומת אש עם קבוצת פרופילים של אבטחה שהוגדרה ל-Security profile group 1.

  3. ל-VPC 2 של הלקוח (VPC 2) יש מדיניות חומת אש עם קבוצת פרופילים של אבטחה שהוגדרה ל-Security profile group 2.

  4. נקודת הקצה של חומת האש Firewall endpoint 1 מבצעת זיהוי ומניעה של איומים לעומסי עבודה שפועלים ב-VPC 1 וב-VPC 2 באזור us-west1-a.

  5. נקודת הקצה (endpoint) של חומת האש Firewall endpoint 2 מבצעת זיהוי ומניעה של איומים עם בדיקת TLS מופעלת לעומסי עבודה שפועלים ב-VPC 1 וב-VPC 2 באזור us-west1-b.

המאמרים הבאים