O serviço de filtragem de URL permite controlar o acesso a domínios da Web específicos, bloqueando ou permitindo o acesso a eles. Para ativar o serviço de filtragem de URL na rede, é necessário configurar vários componentes do Cloud Next Generation Firewall, incluindo endpoints de firewall, perfis de segurança e grupos de perfis de segurança. Este documento fornece um fluxo de trabalho de alto nível que descreve como configurar esses componentes e ativar o serviço de filtragem de URL.
Para saber mais sobre o serviço de filtragem de URL, consulte Visão geral do serviço de filtragem de URL.
Funções exigidas
As funções do Identity and Access Management (IAM) controlam as ações relacionadas à configuração e ativação do serviço de filtragem de URL. A tabela a seguir descreve quais funções são necessárias para cada etapa:
| Habilidade | Papel necessário |
|---|---|
| Criar um endpoint de firewall e uma associação de endpoint de firewall para uma rede de nuvem privada virtual (VPC) | Qualquer uma das seguintes funções:
|
| Criar um perfil de segurança de filtragem de URL, um perfil de segurança de prevenção de ameaças e um grupo de perfis de segurança | Qualquer uma das seguintes funções:
|
| Criar uma política de firewall hierárquica e as regras dela | Administrador da política de firewall da organização do Compute (roles/compute.orgFirewallPolicyAdmin)
Você precisa dessa função para criar uma política de firewall hierárquica. Conceda a função no recurso em que você quer criar a política. Além disso, você precisa dessa função para criar uma regra em uma política de firewall hierárquica. Conceda a função no recurso que contém a política ou na própria política. A função contém as seguintes permissões necessárias:
|
| Associar uma política de firewall hierárquica a uma organização ou pasta | Qualquer um dos seguintes conjuntos de funções:
|
| Criar uma política de firewall de rede global e as regras dela | Função de administrador de segurança do Compute (roles/compute.securityAdmin)
Você precisa dessa função para criar uma política de firewall de rede global. Conceda a função no projeto em que você quer criar a política. Além disso, você precisa dessa função para criar uma regra em uma política de firewall de rede global. Conceda a função no projeto que contém a política ou na própria política. A função contém as seguintes permissões necessárias:
|
| Associar uma política de firewall de rede global a uma rede VPC | Administrador de rede do Compute (roles/compute.networkAdmin)
Essa função contém as seguintes permissões necessárias:
|
| Criar um pool de AC | Função de gerente de operações de serviço de AC (roles/privateca.caManager)
Se você estiver usando a inspeção de Transport Layer Security (TLS), precisará dessa função para criar um pool de AC. |
| Criar uma política de inspeção de TLS |
Se você estiver usando a inspeção de TLS, precisará de uma das funções anteriores para criar uma política de inspeção de TLS. Essas funções contêm as seguintes permissões necessárias:
|
Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.
Também é possível receber as permissões prescritas com funções personalizadas ou outras funções predefinidas.
Configurar o serviço de filtragem de URL sem inspeção de TLS
Para configurar o serviço de filtragem de URL na rede, execute as tarefas a seguir.
Google CloudCriar um endpoint de firewall.
Um endpoint de firewall é um recurso zonal que precisa ser criado na mesma zona da carga de trabalho que você quer proteger com o serviço de filtragem de URL.
É possível criar um endpoint de firewall com ou sem suporte a frames jumbo.
Para mais informações, consulte Criar um endpoint de firewall.
Associar o endpoint de firewall às redes VPC.
Para ativar o serviço de filtragem de URL, associe o endpoint de firewall às redes VPC. Verifique se você está executando as cargas de trabalho na mesma zona que o endpoint de firewall.
Um endpoint de firewall com suporte a frames jumbo só pode aceitar pacotes de até 8.500 bytes. Como alternativa, um endpoint de firewall sem suporte a frames jumbo só pode aceitar pacotes de até 1.460 bytes. Se você precisar do serviço de filtragem de URL, recomendamos que configure as redes VPC associadas para usar os limites máximos de unidade de transmissão (MTU) de 8.500 bytes e 1.460 bytes. Para mais informações, consulte Tamanho de pacote compatível.
Para mais informações sobre como criar associações de endpoints de firewall, consulte Criar associações de endpoints de firewall.
Criar um perfil de segurança para filtragem de URL.
Para permitir ou negar o acesso a domínios específicos, crie um perfil de segurança do tipo
url-filteringe use listas de URL para especificar as strings de correspondência.Para mais informações, consulte Criar um perfil de segurança de filtragem de URL.
Opcionalmente, você pode criar um perfil de segurança para verificar o tráfego em busca de ameaças.
Para verificar o tráfego em busca de ameaças de segurança, crie outro perfil de segurança do tipo
threat-prevention. Analise a lista de assinaturas de ameaças, avalie as respostas padrão e personalize as ações para as assinaturas selecionadas de acordo com seus requisitos.Para mais informações, consulte Criar um perfil de segurança de prevenção de ameaças profile. Para saber mais sobre o serviço de detecção e prevenção de invasões, consulte Visão geral do serviço de detecção e prevenção de invasões.
Criar um grupo de perfis de segurança.
Um grupo de perfis de segurança funciona como um contêiner para perfis de segurança. Crie um grupo de perfis de segurança para incluir os perfis de segurança criados nas etapas anteriores.
Para mais informações, consulte Criar um perfil de segurança grupo.
Configurar e aplicar o serviço de filtragem de URL ao tráfego de rede.
Para configurar o serviço de filtragem de URL, crie uma política de firewall de rede global ou uma política de firewall hierárquica com inspeção da camada 7.
Se você criar uma nova política de firewall global ou usar uma já existente, adicione uma regra de política de firewall com a ação
apply_security_profile_groupe especifique o nome do grupo de perfis de segurança criado anteriormente. Verifique se a política de firewall está associada à mesma rede VPC que as cargas de trabalho que exigem inspeção.Para mais informações, consulte Criar uma política de firewall de rede global e Criar uma regra.
Se você criar uma nova política de firewall hierárquica ou usar uma já existente, adicione uma regra de política de firewall com a ação
apply_security_profile_group. Verifique se a política de firewall está associada à mesma rede VPC que as cargas de trabalho que exigem inspeção.Para mais informações, consulte Criar uma regra.
Configurar o serviço de filtragem de URL com inspeção de TLS
Para configurar o serviço de filtragem de URL com inspeção de TLS na rede, execute as tarefas a seguir.
Criar um endpoint de firewall.
É possível criar um endpoint de firewall com ou sem suporte a frames jumbo.
Um endpoint de firewall é um recurso zonal que precisa ser criado na mesma zona da carga de trabalho que você quer proteger com o serviço de filtragem de URL.
Para mais informações, consulte Criar um endpoint de firewall.
Associar o endpoint de firewall às redes VPC.
Para ativar o serviço de filtragem de URL, associe o endpoint de firewall às redes VPC. Verifique se você está executando as cargas de trabalho na mesma zona que o endpoint de firewall.
Um endpoint de firewall com suporte a frames jumbo só pode aceitar pacotes de até 8.500 bytes. Como alternativa, um endpoint de firewall sem suporte a frames jumbo só pode aceitar pacotes de até 1.460 bytes. Se você precisar do serviço de filtragem de URL, recomendamos que configure as redes VPC associadas para usar os limites máximos de unidade de transmissão (MTU) de 8.500 bytes e 1.460 bytes. Para mais informações, consulte Tamanho de pacote compatível.
Para mais informações sobre como criar associações de endpoints de firewall, consulte Criar associações de endpoints de firewall.
Criar um perfil de segurança para filtragem de URL.
Para permitir ou negar o acesso a domínios específicos, crie um perfil de segurança do tipo
url-filteringe use listas de URL para especificar as strings de correspondência.Para mais informações, consulte Criar um perfil de segurança de filtragem de URL.
Opcionalmente, você pode criar um perfil de segurança para verificar o tráfego em busca de ameaças.
Para verificar o tráfego em busca de ameaças de segurança, crie outro perfil de segurança do tipo
threat-prevention. Analise a lista de assinaturas de ameaças, avalie as respostas padrão e personalize as ações para as assinaturas selecionadas de acordo com seus requisitos.Para mais informações, consulte Criar um perfil de segurança de prevenção de ameaças profile. Para saber mais sobre o serviço de detecção e prevenção de invasões, consulte Visão geral do serviço de detecção e prevenção de invasões.
Criar um grupo de perfis de segurança.
Um grupo de perfis de segurança funciona como um contêiner para perfis de segurança. Crie um grupo de perfis de segurança para incluir os perfis de segurança criados nas etapas anteriores.
Para mais informações, consulte Criar um perfil de segurança grupo.
Criar e configurar recursos para inspecionar o tráfego criptografado.
Criar um pool de autoridade certificadora (AC).
Um pool de ACs é uma coleção de ACs com uma política de emissão de certificados e uma política do IAM comuns. Um pool de ACs regional precisa existir antes que você possa configurar a inspeção de TLS.
Para mais informações, consulte Criar um pool de AC.
Criar uma AC raiz.
Para usar a inspeção de TLS, é necessário ter pelo menos uma AC raiz. A AC raiz assina uma AC intermediária, que assina todos os certificados de folha para os clientes. Para mais informações, consulte a documentação de referência do comando
gcloud privateca roots create.Conceder as permissões necessárias ao agente de serviço de segurança de rede (P4SA).
O Cloud NGFW exige um P4SA para gerar ACs intermediárias para inspeção de TLS. O agente de serviço precisa das permissões necessárias para solicitar certificados para o pool de AC.
Para mais informações, consulte Criar uma conta de serviço.
Criar uma política de inspeção de TLS regional.
Uma política de inspeção de TLS especifica como interceptar o tráfego criptografado. Uma política de inspeção de TLS regional pode conter as configurações da inspeção de TLS.
Para mais informações, consulte Criar uma política de inspeção de TLS.
Associar o endpoint de firewall à política de inspeção de TLS.
Configurar e aplicar o serviço de filtragem de URL ao tráfego de rede.
Para configurar o serviço de filtragem de URL, crie uma política de firewall de rede global ou uma política de firewall hierárquica com inspeção da camada 7.
Se você criar uma nova política de firewall global ou usar uma já existente, adicione uma regra de política de firewall com a ação
apply_security_profile_groupe especifique o nome do grupo de perfis de segurança criado anteriormente. Verifique se a política de firewall está associada à mesma rede VPC que as cargas de trabalho que exigem inspeção.Para mais informações, consulte Criar uma política de firewall de rede global e Criar uma regra.
Se você criar uma nova política de firewall hierárquica ou usar uma já existente, adicione uma regra de política de firewall com a ação
apply_security_profile_groupconfigurada. Verifique se a política de firewall está associada à mesma rede VPC que as cargas de trabalho que exigem inspeção.Para mais informações, consulte Criar uma regra.
Exemplo de modelo de implantação
O diagrama a seguir mostra um exemplo da implantação do serviço de filtragem de URL com vários endpoints de firewall, configurados para duas redes VPC na mesma região, mas em duas zonas diferentes.
A implantação de exemplo tem a seguinte configuração:
Dois grupos de perfis de segurança:
Security profile group 1com o perfil de segurançaSecurity profile 1.Security profile group 2com o perfil de segurançaSecurity profile 2.
A VPC do cliente 1 (
VPC 1) tem uma política de firewall com o grupo de perfis de segurança definido comoSecurity profile group 1.A VPC do cliente 2 (
VPC 2) tem uma política de firewall com o grupo de perfis de segurança definido comoSecurity profile group 2.O endpoint de firewall
Firewall endpoint 1executa a filtragem de URL para cargas de trabalho em execução emVPC 1eVPC 2na zonaus-west1-a.O endpoint de firewall
Firewall endpoint 2executa a filtragem de URL com a inspeção de TLS ativada para cargas de trabalho em execução emVPC 1eVPC 2na zonaus-west1-b.
A seguir
- Informações gerais sobre o perfil de segurança
- Informações gerais sobre o grupo de perfis de segurança
- Informações gerais sobre o endpoint de firewall