Configurar o serviço de filtragem de URL

O serviço de filtragem de URL permite controlar o acesso a domínios da Web específicos, bloqueando ou permitindo o acesso a eles. Para ativar o serviço de filtragem de URL na rede, é necessário configurar vários componentes do Cloud Next Generation Firewall, incluindo endpoints de firewall, perfis de segurança e grupos de perfis de segurança. Este documento fornece um fluxo de trabalho de alto nível que descreve como configurar esses componentes e ativar o serviço de filtragem de URL.

Para saber mais sobre o serviço de filtragem de URL, consulte Visão geral do serviço de filtragem de URL.

Funções exigidas

As funções do Identity and Access Management (IAM) controlam as ações relacionadas à configuração e ativação do serviço de filtragem de URL. A tabela a seguir descreve quais funções são necessárias para cada etapa:

Habilidade Papel necessário
Criar um endpoint de firewall e uma associação de endpoint de firewall para uma rede de nuvem privada virtual (VPC) Qualquer uma das seguintes funções: Essas funções contêm a seguinte permissão para criar um endpoint de firewall:
  • networksecurity.firewallEndpoints.create
Além disso, essas funções contêm as seguintes permissões para criar uma associação de endpoint de firewall:
  • networksecurity.firewallEndpointAssociations.create
  • networksecurity.firewallEndpoints.use na organização em que o endpoint de firewall existe
Criar um perfil de segurança de filtragem de URL, um perfil de segurança de prevenção de ameaças e um grupo de perfis de segurança Qualquer uma das seguintes funções:
  • Administrador de rede do Compute (roles/compute.networkAdmin)
  • Administrador de perfil de segurança (roles/networksecurity.securityProfileAdmin) concedido no nível da organização para perfis de segurança de filtragem de URL da organização e no nível do projeto ou da organização para perfis de segurança de filtragem de URL do projeto
Essas funções contêm as seguintes permissões necessárias:
  • networksecurity.securityProfileGroups.create para criar um grupo de perfis de segurança
  • networksecurity.securityProfiles.create para criar um perfil de segurança de filtragem de URL ou um perfil de segurança de prevenção de ameaças
Criar uma política de firewall hierárquica e as regras dela Administrador da política de firewall da organização do Compute (roles/compute.orgFirewallPolicyAdmin)

Você precisa dessa função para criar uma política de firewall hierárquica. Conceda a função no recurso em que você quer criar a política.

Além disso, você precisa dessa função para criar uma regra em uma política de firewall hierárquica. Conceda a função no recurso que contém a política ou na própria política.

A função contém as seguintes permissões necessárias:
  • compute.firewallPolicies.create para criar uma política de firewall hierárquica
  • compute.firewallPolicies.update para criar uma regra de política de firewall hierárquica
Associar uma política de firewall hierárquica a uma organização ou pasta Qualquer um dos seguintes conjuntos de funções: Essas funções contêm as seguintes permissões necessárias:
  • compute.firewallPolicies.addAssociation na política de firewall
  • compute.organizations.setFirewallPolicy no recurso de destino
Criar uma política de firewall de rede global e as regras dela Função de administrador de segurança do Compute (roles/compute.securityAdmin)

Você precisa dessa função para criar uma política de firewall de rede global. Conceda a função no projeto em que você quer criar a política.

Além disso, você precisa dessa função para criar uma regra em uma política de firewall de rede global. Conceda a função no projeto que contém a política ou na própria política.

A função contém as seguintes permissões necessárias:
  • compute.firewallPolicies.create para criar uma política de firewall de rede global
  • compute.firewallPolicies.update para criar uma regra de política de firewall de rede global
Associar uma política de firewall de rede global a uma rede VPC Administrador de rede do Compute (roles/compute.networkAdmin)

Essa função contém as seguintes permissões necessárias:

  • compute.firewallPolicies.use
  • compute.networks.setFirewallPolicy
Criar um pool de AC Função de gerente de operações de serviço de AC (roles/privateca.caManager)

Se você estiver usando a inspeção de Transport Layer Security (TLS), precisará dessa função para criar um pool de AC.

Criar uma política de inspeção de TLS

Se você estiver usando a inspeção de TLS, precisará de uma das funções anteriores para criar uma política de inspeção de TLS.

Essas funções contêm as seguintes permissões necessárias:
  • certificatemanager.trustconfigs.list
  • certificatemanager.trustconfigs.use
  • networksecurity.operations.get
  • networksecurity.tlsInspectionPolicies.create
  • networksecurity.tlsInspectionPolicies.list
  • privateca.caPools.list
  • privateca.caPools.use
  • privateca.certificateAuthorities.list

Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

Também é possível receber as permissões prescritas com funções personalizadas ou outras funções predefinidas.

Configurar o serviço de filtragem de URL sem inspeção de TLS

Para configurar o serviço de filtragem de URL na rede, execute as tarefas a seguir.

Google Cloud
  1. Criar um endpoint de firewall.

    Um endpoint de firewall é um recurso zonal que precisa ser criado na mesma zona da carga de trabalho que você quer proteger com o serviço de filtragem de URL.

    É possível criar um endpoint de firewall com ou sem suporte a frames jumbo.

    Para mais informações, consulte Criar um endpoint de firewall.

  2. Associar o endpoint de firewall às redes VPC.

    Para ativar o serviço de filtragem de URL, associe o endpoint de firewall às redes VPC. Verifique se você está executando as cargas de trabalho na mesma zona que o endpoint de firewall.

    Um endpoint de firewall com suporte a frames jumbo só pode aceitar pacotes de até 8.500 bytes. Como alternativa, um endpoint de firewall sem suporte a frames jumbo só pode aceitar pacotes de até 1.460 bytes. Se você precisar do serviço de filtragem de URL, recomendamos que configure as redes VPC associadas para usar os limites máximos de unidade de transmissão (MTU) de 8.500 bytes e 1.460 bytes. Para mais informações, consulte Tamanho de pacote compatível.

    Para mais informações sobre como criar associações de endpoints de firewall, consulte Criar associações de endpoints de firewall.

  3. Criar um perfil de segurança para filtragem de URL.

    Para permitir ou negar o acesso a domínios específicos, crie um perfil de segurança do tipo url-filtering e use listas de URL para especificar as strings de correspondência.

    Para mais informações, consulte Criar um perfil de segurança de filtragem de URL.

  4. Opcionalmente, você pode criar um perfil de segurança para verificar o tráfego em busca de ameaças.

    Para verificar o tráfego em busca de ameaças de segurança, crie outro perfil de segurança do tipo threat-prevention. Analise a lista de assinaturas de ameaças, avalie as respostas padrão e personalize as ações para as assinaturas selecionadas de acordo com seus requisitos.

    Para mais informações, consulte Criar um perfil de segurança de prevenção de ameaças profile. Para saber mais sobre o serviço de detecção e prevenção de invasões, consulte Visão geral do serviço de detecção e prevenção de invasões.

  5. Criar um grupo de perfis de segurança.

    Um grupo de perfis de segurança funciona como um contêiner para perfis de segurança. Crie um grupo de perfis de segurança para incluir os perfis de segurança criados nas etapas anteriores.

    Para mais informações, consulte Criar um perfil de segurança grupo.

  6. Configurar e aplicar o serviço de filtragem de URL ao tráfego de rede.

    Para configurar o serviço de filtragem de URL, crie uma política de firewall de rede global ou uma política de firewall hierárquica com inspeção da camada 7.

    • Se você criar uma nova política de firewall global ou usar uma já existente, adicione uma regra de política de firewall com a ação apply_security_profile_group e especifique o nome do grupo de perfis de segurança criado anteriormente. Verifique se a política de firewall está associada à mesma rede VPC que as cargas de trabalho que exigem inspeção.

      Para mais informações, consulte Criar uma política de firewall de rede global e Criar uma regra.

    • Se você criar uma nova política de firewall hierárquica ou usar uma já existente, adicione uma regra de política de firewall com a ação apply_security_profile_group. Verifique se a política de firewall está associada à mesma rede VPC que as cargas de trabalho que exigem inspeção.

      Para mais informações, consulte Criar uma regra.

Configurar o serviço de filtragem de URL com inspeção de TLS

Para configurar o serviço de filtragem de URL com inspeção de TLS na rede, execute as tarefas a seguir.

  1. Criar um endpoint de firewall.

    É possível criar um endpoint de firewall com ou sem suporte a frames jumbo.

    Um endpoint de firewall é um recurso zonal que precisa ser criado na mesma zona da carga de trabalho que você quer proteger com o serviço de filtragem de URL.

    Para mais informações, consulte Criar um endpoint de firewall.

  2. Associar o endpoint de firewall às redes VPC.

    Para ativar o serviço de filtragem de URL, associe o endpoint de firewall às redes VPC. Verifique se você está executando as cargas de trabalho na mesma zona que o endpoint de firewall.

    Um endpoint de firewall com suporte a frames jumbo só pode aceitar pacotes de até 8.500 bytes. Como alternativa, um endpoint de firewall sem suporte a frames jumbo só pode aceitar pacotes de até 1.460 bytes. Se você precisar do serviço de filtragem de URL, recomendamos que configure as redes VPC associadas para usar os limites máximos de unidade de transmissão (MTU) de 8.500 bytes e 1.460 bytes. Para mais informações, consulte Tamanho de pacote compatível.

    Para mais informações sobre como criar associações de endpoints de firewall, consulte Criar associações de endpoints de firewall.

  3. Criar um perfil de segurança para filtragem de URL.

    Para permitir ou negar o acesso a domínios específicos, crie um perfil de segurança do tipo url-filtering e use listas de URL para especificar as strings de correspondência.

    Para mais informações, consulte Criar um perfil de segurança de filtragem de URL.

  4. Opcionalmente, você pode criar um perfil de segurança para verificar o tráfego em busca de ameaças.

    Para verificar o tráfego em busca de ameaças de segurança, crie outro perfil de segurança do tipo threat-prevention. Analise a lista de assinaturas de ameaças, avalie as respostas padrão e personalize as ações para as assinaturas selecionadas de acordo com seus requisitos.

    Para mais informações, consulte Criar um perfil de segurança de prevenção de ameaças profile. Para saber mais sobre o serviço de detecção e prevenção de invasões, consulte Visão geral do serviço de detecção e prevenção de invasões.

  5. Criar um grupo de perfis de segurança.

    Um grupo de perfis de segurança funciona como um contêiner para perfis de segurança. Crie um grupo de perfis de segurança para incluir os perfis de segurança criados nas etapas anteriores.

    Para mais informações, consulte Criar um perfil de segurança grupo.

  6. Criar e configurar recursos para inspecionar o tráfego criptografado.

    1. Criar um pool de autoridade certificadora (AC).

      Um pool de ACs é uma coleção de ACs com uma política de emissão de certificados e uma política do IAM comuns. Um pool de ACs regional precisa existir antes que você possa configurar a inspeção de TLS.

      Para mais informações, consulte Criar um pool de AC.

    2. Criar uma AC raiz.

      Para usar a inspeção de TLS, é necessário ter pelo menos uma AC raiz. A AC raiz assina uma AC intermediária, que assina todos os certificados de folha para os clientes. Para mais informações, consulte a documentação de referência do comando gcloud privateca roots create.

    3. Conceder as permissões necessárias ao agente de serviço de segurança de rede (P4SA).

      O Cloud NGFW exige um P4SA para gerar ACs intermediárias para inspeção de TLS. O agente de serviço precisa das permissões necessárias para solicitar certificados para o pool de AC.

      Para mais informações, consulte Criar uma conta de serviço.

  7. Criar uma política de inspeção de TLS regional.

    Uma política de inspeção de TLS especifica como interceptar o tráfego criptografado. Uma política de inspeção de TLS regional pode conter as configurações da inspeção de TLS.

    Para mais informações, consulte Criar uma política de inspeção de TLS.

  8. Associar o endpoint de firewall à política de inspeção de TLS.

  9. Configurar e aplicar o serviço de filtragem de URL ao tráfego de rede.

    Para configurar o serviço de filtragem de URL, crie uma política de firewall de rede global ou uma política de firewall hierárquica com inspeção da camada 7.

    • Se você criar uma nova política de firewall global ou usar uma já existente, adicione uma regra de política de firewall com a ação apply_security_profile_group e especifique o nome do grupo de perfis de segurança criado anteriormente. Verifique se a política de firewall está associada à mesma rede VPC que as cargas de trabalho que exigem inspeção.

      Para mais informações, consulte Criar uma política de firewall de rede global e Criar uma regra.

    • Se você criar uma nova política de firewall hierárquica ou usar uma já existente, adicione uma regra de política de firewall com a ação apply_security_profile_group configurada. Verifique se a política de firewall está associada à mesma rede VPC que as cargas de trabalho que exigem inspeção.

      Para mais informações, consulte Criar uma regra.

Exemplo de modelo de implantação

O diagrama a seguir mostra um exemplo da implantação do serviço de filtragem de URL com vários endpoints de firewall, configurados para duas redes VPC na mesma região, mas em duas zonas diferentes.

Implante o serviço de filtragem de URL em uma região.
Implantar o serviço de filtragem de URL em uma região (clique para ampliar).

A implantação de exemplo tem a seguinte configuração:

  1. Dois grupos de perfis de segurança:

    1. Security profile group 1 com o perfil de segurança Security profile 1.

    2. Security profile group 2 com o perfil de segurança Security profile 2.

  2. A VPC do cliente 1 (VPC 1) tem uma política de firewall com o grupo de perfis de segurança definido como Security profile group 1.

  3. A VPC do cliente 2 (VPC 2) tem uma política de firewall com o grupo de perfis de segurança definido como Security profile group 2.

  4. O endpoint de firewall Firewall endpoint 1 executa a filtragem de URL para cargas de trabalho em execução em VPC 1 e VPC 2 na zona us-west1-a.

  5. O endpoint de firewall Firewall endpoint 2 executa a filtragem de URL com a inspeção de TLS ativada para cargas de trabalho em execução em VPC 1 e VPC 2 na zona us-west1-b.

A seguir