שירות סינון כתובות ה-URL מאפשר לכם לשלוט בגישה לדומיינים ספציפיים באינטרנט על ידי חסימה או מתן הרשאה. כדי להפעיל את שירות סינון כתובות ה-URL ברשת, צריך להגדיר כמה רכיבים של Cloud Next Generation Firewall, כולל נקודות קצה של חומת האש, פרופילי אבטחה וקבוצות של פרופילי אבטחה. במאמר הזה מוסבר איך להגדיר את הרכיבים האלה ולהפעיל את שירות סינון כתובות ה-URL.
מידע נוסף על שירות סינון כתובות URL זמין במאמר סקירה כללית של שירות סינון כתובות URL.
התפקידים הנדרשים
תפקידים של ניהול זהויות והרשאות גישה (IAM) קובעים את הפעולות שקשורות להגדרה ולהפעלה של שירות סינון כתובות URL. בטבלה הבאה מתוארים התפקידים הנדרשים לכל שלב:
| יכולת | תפקיד נדרש |
|---|---|
| יצירת נקודת קצה של חומת אש ושיוך של נקודת קצה של חומת אש לרשת של ענן וירטואלי פרטי (VPC) | כל אחד מהתפקידים הבאים:
|
| יצירה של פרופיל אבטחה לסינון כתובות URL, פרופיל אבטחה למניעת איומים וקבוצת פרופילי אבטחה | כל אחד מהתפקידים הבאים:
|
| יצירה של מדיניות חומת אש היררכית והכללים שלה | תפקיד אדמין במדיניות חומת האש של הארגון ב-Compute (roles/compute.orgFirewallPolicyAdmin)
צריך את התפקיד הזה כדי ליצור מדיניות היררכית של חומת אש. צריך להעניק את התפקיד במשאב שבו רוצים ליצור את המדיניות. בנוסף, צריך את התפקיד הזה כדי ליצור כלל במדיניות חומת אש היררכית. צריך להקצות את התפקיד במשאב שמכיל את המדיניות או במדיניות עצמה. התפקיד מכיל את ההרשאות הנדרשות הבאות:
|
| שיוך מדיניות חומת אש היררכית לארגון או לתיקייה | אחת מהקבוצות הבאות של תפקידים:
|
| יצירה של מדיניות חומת אש בין רשתות גלובלית והכללים שלה | תפקיד Security Admin ב-Compute (roles/compute.securityAdmin)
כדי ליצור מדיניות גלובלית של חומת אש ברשת, צריך את התפקיד הזה. צריך להעניק את התפקיד בפרויקט שבו רוצים ליצור את המדיניות. בנוסף, צריך את התפקיד הזה כדי ליצור כלל במדיניות גלובלית של חומת אש ברשת. צריך להקצות את התפקיד בפרויקט שמכיל את המדיניות או במדיניות עצמה. התפקיד מכיל את ההרשאות הנדרשות הבאות:
|
| שיוך מדיניות חומת אש בין רשתות גלובלית לרשת VPC | התפקיד Compute Network Admin (roles/compute.networkAdmin)
התפקיד הזה כולל את ההרשאות הנדרשות הבאות:
|
| יצירת מאגר של רשויות אישורים | התפקיד 'מנהל תפעול של שירות CA' (roles/privateca.caManager)
אם אתם משתמשים בבדיקה של Transport Layer Security (TLS), אתם צריכים את התפקיד הזה כדי ליצור מאגר רשויות אישורים. |
| יצירת מדיניות לבדיקת TLS |
אם אתם משתמשים בבדיקת TLS, אתם צריכים אחד מהתפקידים הקודמים כדי ליצור מדיניות בדיקת TLS. התפקידים האלה כוללים את ההרשאות הנדרשות הבאות:
|
כדי לקרוא הסבר על מתן תפקידים, קראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.
יכול להיות שתוכלו לקבל את ההרשאות הנדרשות גם באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש אחרים.
הגדרת שירות סינון כתובות URL ללא בדיקת TLS
כדי להגדיר את שירות סינון כתובות ה-URL ברשת, מבצעים את המשימות הבאות.
.יוצרים נקודת קצה של חומת אש.
נקודת קצה של חומת אש היא משאב של תחום מוגדר שצריך ליצור באותו תחום (zone) שבו נמצאת עומס העבודה שרוצים להגן עליו באמצעות שירות סינון כתובות URL.
אפשר ליצור נקודת קצה של חומת אש עם תמיכה ב-jumbo frame או בלי תמיכה כזו.
מידע נוסף זמין במאמר יצירת נקודת קצה של חומת אש.
משייכים את נקודת הקצה של חומת האש לרשתות ה-VPC.
כדי להפעיל את שירות סינון כתובות ה-URL, צריך לשייך את נקודת הקצה של חומת האש לרשתות ה-VPC. מוודאים שהעומסים מופעלים באותו אזור כמו נקודת הקצה של חומת האש.
נקודת קצה של חומת אש עם תמיכה ב-jumbo frame יכולה לקבל חבילות של עד 8,500 בייט בלבד. לחלופין, נקודת קצה של חומת אש ללא תמיכה ב-jumbo frame יכולה לקבל מנות עד 1,460 בייט. אם אתם צריכים שירות סינון כתובות URL, מומלץ להגדיר את רשתות ה-VPC המשויכות כך שישתמשו במגבלות יחידת השידור המקסימלית (MTU) של 8,500 בייט ו-1,460 בייט. מידע נוסף זמין במאמר בנושא גודל מנות נתונים נתמך.
מידע נוסף על יצירת שיוכים של נקודות קצה לחומת אש זמין במאמר יצירת שיוכים של נקודות קצה לחומת אש.
יוצרים פרופיל אבטחה לסינון כתובות URL.
כדי לאפשר או לחסום גישה לדומיינים ספציפיים, יוצרים פרופיל אבטחה מסוג
url-filteringומשתמשים ברשימות של כתובות URL כדי לציין את מחרוזות ההתאמה.מידע נוסף זמין במאמר יצירת פרופיל אבטחה לסינון כתובות URL.
אפשר גם ליצור פרופיל אבטחה כדי לסרוק את התנועה לאיתור איומים.
כדי לסרוק את התנועה לאיתור איומי אבטחה, יוצרים עוד פרופיל אבטחה מסוג
threat-prevention. בודקים את רשימת חתימות האיומים, מעריכים את תגובות ברירת המחדל ומתאימים אישית את הפעולות לחתימות שנבחרו בהתאם לדרישות.מידע נוסף זמין במאמר בנושא יצירת פרופיל אבטחה למניעת איומים. מידע נוסף על שירות גילוי חדירות ומניעתן זמין במאמר סקירה כללית של שירות גילוי חדירות ומניעתן.
יוצרים קבוצה של פרופילי אבטחה.
קבוצת פרופילים של אבטחה משמשת כמאגר לפרופילים של אבטחה. יוצרים קבוצת פרופילי אבטחה כדי לכלול בה את פרופילי האבטחה שיצרתם בשלבים הקודמים.
מידע נוסף זמין במאמר בנושא יצירת קבוצה של פרופילי אבטחה.
מגדירים את שירות סינון כתובות ה-URL ומחילים אותו על תעבורת הרשת.
כדי להגדיר את שירות סינון כתובות ה-URL, צריך ליצור מדיניות גלובלית של חומת אש ברשת או מדיניות היררכית של חומת אש עם בדיקה בשכבה 7.
אם יוצרים מדיניות חדשה של חומת אש גלובלית או משתמשים במדיניות קיימת, מוסיפים כלל מדיניות של חומת אש עם הפעולה
apply_security_profile_groupומציינים את השם של קבוצת פרופילי האבטחה שיצרתם קודם. מוודאים שמדיניות חומת האש משויכת לאותה רשת VPC כמו עומסי העבודה שדורשים בדיקה.מידע נוסף זמין במאמרים בנושא יצירת מדיניות גלובלית של חומת אש לרשת ויצירת כלל.
אם יוצרים מדיניות חדשה של חומת אש היררכית או משתמשים במדיניות קיימת, מוסיפים כלל מדיניות של חומת אש עם הפעולה
apply_security_profile_group. מוודאים שמדיניות חומת האש משויכת לאותה רשת VPC כמו עומסי העבודה שנדרש לבדוק.מידע נוסף זמין במאמר בנושא יצירת כלל.
הגדרת שירות סינון כתובות URL עם בדיקת TLS
כדי להגדיר את שירות סינון כתובות ה-URL באמצעות בדיקת TLS ברשת, מבצעים את המשימות הבאות.
יוצרים נקודת קצה של חומת אש.
אפשר ליצור נקודת קצה של חומת אש עם תמיכה ב-jumbo frame או בלי תמיכה כזו.
נקודת קצה של חומת אש היא משאב של תחום מוגדר שצריך ליצור באותו תחום (zone) שבו נמצאת עומס העבודה שרוצים להגן עליו באמצעות שירות סינון כתובות URL.
מידע נוסף זמין במאמר יצירת נקודת קצה של חומת אש.
משייכים את נקודת הקצה של חומת האש לרשתות ה-VPC.
כדי להפעיל את שירות סינון כתובות ה-URL, צריך לשייך את נקודת הקצה של חומת האש לרשתות ה-VPC. מוודאים שהעומסים מופעלים באותו אזור כמו נקודת הקצה של חומת האש.
נקודת קצה של חומת אש עם תמיכה ב-jumbo frame יכולה לקבל חבילות של עד 8,500 בייט בלבד. לחלופין, נקודת קצה של חומת אש ללא תמיכה ב-jumbo frame יכולה לקבל מנות עד 1,460 בייט. אם אתם צריכים שירות סינון כתובות URL, מומלץ להגדיר את רשתות ה-VPC המשויכות כך שישתמשו במגבלות יחידת השידור המקסימלית (MTU) של 8,500 בייט ו-1,460 בייט. מידע נוסף זמין במאמר בנושא גודל מנות נתונים נתמך.
מידע נוסף על יצירת שיוכים של נקודות קצה לחומת אש זמין במאמר יצירת שיוכים של נקודות קצה לחומת אש.
יוצרים פרופיל אבטחה לסינון כתובות URL.
כדי לאפשר או לחסום גישה לדומיינים ספציפיים, יוצרים פרופיל אבטחה מסוג
url-filteringומשתמשים ברשימות של כתובות URL כדי לציין את מחרוזות ההתאמה.מידע נוסף זמין במאמר יצירת פרופיל אבטחה לסינון כתובות URL.
אפשר גם ליצור פרופיל אבטחה כדי לסרוק את התנועה לאיתור איומים.
כדי לסרוק את התנועה לאיתור איומי אבטחה, יוצרים עוד פרופיל אבטחה מסוג
threat-prevention. בודקים את רשימת חתימות האיומים, מעריכים את תגובות ברירת המחדל ומתאימים אישית את הפעולות לחתימות שנבחרו בהתאם לדרישות.מידע נוסף זמין במאמר בנושא יצירת פרופיל אבטחה למניעת איומים. מידע נוסף על שירות גילוי חדירות ומניעתן זמין במאמר סקירה כללית של שירות גילוי חדירות ומניעתן.
יוצרים קבוצה של פרופילי אבטחה.
קבוצת פרופילים של אבטחה משמשת כמאגר לפרופילים של אבטחה. יוצרים קבוצת פרופילי אבטחה כדי לכלול בה את פרופילי האבטחה שיצרתם בשלבים הקודמים.
מידע נוסף זמין במאמר בנושא יצירת קבוצה של פרופילי אבטחה.
יצירה והגדרה של משאבים לבדיקת תנועה מוצפנת.
יוצרים מאגר של רשויות אישורים (CA).
מאגר CA הוא אוסף של רשויות אישורים עם מדיניות משותפת להנפקת אישורים ומדיניות IAM משותפת. צריך ליצור מאגר אזורי של רשויות אישורים לפני שמגדירים בדיקת TLS.
מידע נוסף זמין במאמר בנושא יצירת מאגר של רשויות אישורים.
יוצרים רשות אישורים (CA) עליונה.
כדי להשתמש בבדיקת TLS, צריך להיות לכם לפחות אישור CA אחד של רשות אישורי בסיס. ה-CA הבסיסי חותם על CA ביניים, שחותם על כל האישורים הסופיים של הלקוחות. מידע נוסף מופיע במאמרי העזרה בנושא הפקודה
gcloud privateca roots create.נותנים את ההרשאות הנדרשות לסוכן שירות אבטחת הרשת (P4SA).
Cloud NGFW דורש P4SA כדי ליצור רשויות אישורים (CA) ביניים לבדיקת TLS. לסוכן השירות צריכות להיות ההרשאות הנדרשות כדי לבקש אישורים למאגר רשויות האישורים.
מידע נוסף מופיע במאמר יצירת חשבון שירות.
יוצרים מדיניות אזורית לבדיקת TLS.
מדיניות בדיקת TLS מציינת איך ליירט תעבורה מוצפנת. מדיניות אזורית לבדיקת TLS יכולה להכיל את ההגדרות לבדיקת TLS.
מידע נוסף זמין במאמר בנושא יצירת מדיניות לבדיקת TLS.
משייכים את נקודת הקצה של חומת האש למדיניות הבדיקה של TLS.
מגדירים את שירות סינון כתובות ה-URL ומחילים אותו על תעבורת הרשת.
כדי להגדיר את שירות סינון כתובות ה-URL, צריך ליצור מדיניות גלובלית של חומת אש ברשת או מדיניות היררכית של חומת אש עם בדיקה בשכבה 7.
אם יוצרים מדיניות חדשה של חומת אש גלובלית או משתמשים במדיניות קיימת, מוסיפים כלל מדיניות של חומת אש עם הפעולה
apply_security_profile_groupומציינים את השם של קבוצת פרופילי האבטחה שיצרתם קודם. מוודאים שמדיניות חומת האש משויכת לאותה רשת VPC כמו עומסי העבודה שדורשים בדיקה.מידע נוסף זמין במאמרים בנושא יצירת מדיניות גלובלית של חומת אש ברשת ויצירת כלל.
אם יוצרים מדיניות חדשה של חומת אש היררכית או משתמשים במדיניות קיימת, צריך להוסיף כלל למדיניות חומת האש עם הפעולה
apply_security_profile_groupשהוגדרה. מוודאים שמדיניות חומת האש משויכת לאותה רשת VPC כמו עומסי העבודה שדורשים בדיקה.מידע נוסף זמין במאמר בנושא יצירת כלל.
דוגמה למודל פריסה
בתרשים הבא מוצגת דוגמה לפריסה של שירות סינון כתובות URL עם כמה נקודות קצה של חומת אש, שהוגדרו לשתי רשתות VPC באותו אזור אבל בשני אזורים שונים.
לפריסה לדוגמה יש את ההגדרות הבאות:
שתי קבוצות של פרופילי אבטחה:
Security profile group 1עם פרופיל אבטחהSecurity profile 1.Security profile group 2עם פרופיל אבטחהSecurity profile 2.
ל-VPC 1 של הלקוח (
VPC 1) יש מדיניות חומת אש עם קבוצת פרופילי האבטחה שמוגדרת ל-Security profile group 1.ל-VPC 2 של הלקוח (
VPC 2) יש מדיניות חומת אש עם קבוצת פרופילי האבטחה שהוגדרה ל-Security profile group 2.נקודת הקצה של חומת האש
Firewall endpoint 1מבצעת סינון של כתובות URL עבור עומסי עבודה שפועלים ב-VPC 1וב-VPC 2באזורus-west1-a.נקודת הקצה של חומת האש
Firewall endpoint 2מבצעת סינון של כתובות URL עם בדיקת TLS מופעלת לעומסי עבודה שפועלים ב-VPC 1וב-VPC 2באזורus-west1-b.
המאמרים הבאים
- סקירה כללית של פרופיל האבטחה
- סקירה כללית של קבוצת פרופילים של אבטחה
- סקירה כללית של נקודות קצה של חומת אש