Le service de filtrage d'URL vous permet de contrôler l'accès à des domaines Web spécifiques en les bloquant ou en les autorisant. Pour activer le service de filtrage d'URL sur votre réseau, vous devez configurer plusieurs composants Cloud Next Generation Firewall, y compris des points de terminaison de pare-feu, des profils de sécurité et des groupes de profils de sécurité. Ce document fournit un workflow de haut niveau décrivant comment configurer ces composants et activer le service de filtrage d'URL.
Pour en savoir plus sur le service de filtrage des URL, consultez Présentation du service de filtrage des URL.
Rôles requis
Les rôles Identity and Access Management (IAM) régissent les actions liées à la configuration et à l'activation du service de filtrage d'URL. Le tableau suivant décrit les rôles nécessaires pour chaque étape :
| Aptitude | Rôle nécessaire |
|---|---|
| Créer un point de terminaison de pare-feu et une association de point de terminaison de pare-feu pour un réseau cloud privé virtuel (VPC) | L'un des rôles suivants : Administrateur de réseaux Compute ( roles/compute.networkAdmin)Administrateur de points de terminaison de pare-feu ( roles/networksecurity.firewallEndpointAdmin)Ces rôles contiennent l'autorisation suivante pour créer un point de terminaison de pare-feu : networksecurity.firewallEndpoints.createDe plus, ces rôles contiennent les autorisations suivantes pour créer une association de point de terminaison de pare-feu : networksecurity.firewallEndpointAssociations.createnetworksecurity.firewallEndpoints.use sur l'organisation dans laquelle le point de terminaison de pare-feu est créé |
| Créez un profil de sécurité de filtrage d'URL, un profil de sécurité de prévention des menaces et un groupe de profils de sécurité. | Rôle d'administrateur de profil de sécurité (roles/networksecurity.securityProfileAdmin)Ce rôle contient les autorisations requises suivantes : networksecurity.securityProfileGroups.create pour créer un groupe de profils de sécuriténetworksecurity.securityProfiles.create pour créer un profil de sécurité de filtrage d'URL ou un profil de sécurité de protection contre les menaces |
| Créer une stratégie de pare-feu hiérarchique et ses règles | Rôle d'administrateur des stratégies de pare-feu de l'organisation Compute (roles/compute.orgFirewallPolicyAdmin)Ce rôle est nécessaire pour créer une stratégie de pare-feu hiérarchique. Vous devez accorder le rôle sur la ressource pour laquelle vous souhaitez créer la stratégie. De plus, vous avez besoin de ce rôle pour créer une règle dans une stratégie de pare-feu hiérarchique. Vous devez attribuer le rôle sur la ressource contenant la stratégie ou sur la stratégie elle-même. Le rôle contient les autorisations requises suivantes : compute.firewallPolicies.create pour créer une stratégie de pare-feu hiérarchiquecompute.firewallPolicies.update pour créer une règle de stratégie de pare-feu hiérarchique |
| Associer une stratégie de pare-feu hiérarchique à une organisation ou à un dossier | L'un des ensembles de rôles suivants : Rôle Administrateur de ressources de l'organisation Compute ( roles/compute.orgSecurityResourceAdmin) sur la ressource cible etRôle Utilisateur de stratégie de pare-feu de l'organisation Compute ( roles/compute.orgFirewallPolicyUser) sur la ressource de stratégie ou sur la stratégie elle-mêmeou Rôle Administrateur de ressources de l'organisation Compute ( roles/compute.orgSecurityResourceAdmin) sur la ressource cible etRôle Administrateur de stratégie de pare-feu de l'organisation Compute ( roles/compute.orgFirewallPolicyAdmin) sur la ressource de stratégie ou sur la stratégie elle-mêmeCes rôles contiennent les autorisations requises suivantes : compute.firewallPolicies.addAssociation sur la stratégie de pare-feucompute.organizations.setFirewallPolicy sur la ressource cible |
| Créer une stratégie de pare-feu de réseau au niveau mondial et ses règles | Rôle Administrateur de sécurité Compute (roles/compute.securityAdmin)Ce rôle est nécessaire pour créer une règle de pare-feu réseau globale. Vous devez attribuer le rôle au projet dans lequel vous souhaitez créer la règle. Vous avez également besoin de ce rôle pour créer une règle dans une stratégie de pare-feu de réseau au niveau mondial. Vous devez accorder le rôle sur le projet contenant la stratégie ou sur la stratégie elle-même. Le rôle contient les autorisations requises suivantes : compute.firewallPolicies.create pour créer une stratégie de pare-feu réseau au niveau mondialcompute.firewallPolicies.update pour créer une règle de stratégie de pare-feu réseau au niveau mondial |
| Associer une stratégie de pare-feu réseau mondiale à un réseau VPC | Rôle Administrateur de réseaux Compute (roles/compute.networkAdmin)Ce rôle contient les autorisations requises suivantes : compute.firewallPolicies.usecompute.networks.setFirewallPolicy |
| Créer un pool d'autorités de certification | Rôle "Gestionnaire des opérations du service CA" (roles/privateca.caManager)Si vous utilisez l'inspection TLS (Transport Layer Security), vous avez besoin de ce rôle pour créer un pool d'autorités de certification. |
| Créer une règle d'inspection TLS |
Rôle Administrateur de réseaux Compute (roles/compute.networkAdmin)Rôle Administrateur de sécurité Compute ( roles/compute.securityAdmin)Si vous utilisez l'inspection TLS, vous devez disposer de l'un des rôles précédents pour créer une règle d'inspection TLS. Ces rôles contiennent les autorisations requises suivantes : certificatemanager.trustconfigs.listcertificatemanager.trustconfigs.usenetworksecurity.operations.getnetworksecurity.tlsInspectionPolicies.createnetworksecurity.tlsInspectionPolicies.listprivateca.caPools.listprivateca.caPools.useprivateca.certificateAuthorities.list |
Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.
Vous pouvez également obtenir les autorisations requises avec des rôles personnalisés ou d'autres rôles prédéfinis.
Configurer le service de filtrage des URL sans inspection TLS
Pour configurer le service de filtrage d'URL sur votre réseau, procédez comme suit.
Créez un point de terminaison de pare-feu.
Un point de terminaison de pare-feu est une ressource zonale que vous devez créer dans la même zone que la charge de travail que vous souhaitez protéger avec le service de filtrage d'URL.
Vous pouvez créer un point de terminaison de pare-feu avec ou sans prise en charge des trames géantes.
Pour en savoir plus, consultez Créer un point de terminaison de pare-feu.
Associez le point de terminaison de pare-feu à vos réseaux VPC.
Pour activer le service de filtrage d'URL, associez le point de terminaison de pare-feu à vos réseaux VPC. Assurez-vous que vous exécutez vos charges de travail dans la même zone que le point de terminaison de pare-feu.
Un point de terminaison de pare-feu compatible avec les trames géantes ne peut accepter que les paquets de 8 500 octets maximum. Un point de terminaison de pare-feu sans prise en charge des trames géantes ne peut accepter que les paquets jusqu'à 1 460 octets. Si vous avez besoin d'un service de filtrage d'URL, nous vous recommandons de configurer les réseaux VPC associés pour qu'ils utilisent les limites d'unité de transmission maximale (MTU) de 8 500 et 1 460 octets. Pour en savoir plus, consultez Taille de paquet acceptée.
Pour en savoir plus sur la création d'associations de points de terminaison de pare-feu, consultez Créer des associations de points de terminaison de pare-feu.
Créez un profil de sécurité pour le filtrage des URL.
Pour autoriser ou refuser l'accès à des domaines spécifiques, créez un profil de sécurité de type
url-filteringet utilisez des listes d'URL pour spécifier vos chaînes de correspondance.Pour en savoir plus, consultez Créer un profil de sécurité de filtrage d'URL.
Vous pouvez également créer un profil de sécurité pour analyser le trafic et détecter les menaces.
Pour analyser le trafic et détecter les menaces de sécurité, créez un autre profil de sécurité de type
threat-prevention. Passez en revue la liste des signatures de menace, évaluez les réponses par défaut et personnalisez les actions pour les signatures sélectionnées en fonction de vos besoins.Pour en savoir plus, consultez Créer un profil de sécurité pour la prévention des menaces. Pour en savoir plus sur le service de détection et de prévention des intrusions, consultez la présentation du service de détection et de prévention des intrusions.
Créez un groupe de profils de sécurité.
Un groupe de profils de sécurité fait office de conteneur pour les profils de sécurité. Créez un groupe de profils de sécurité pour inclure les profils de sécurité que vous avez créés lors des étapes précédentes.
Pour en savoir plus, consultez Créer un groupe de profils de sécurité.
Configurez et appliquez le service de filtrage d'URL à votre trafic réseau.
Pour configurer le service de filtrage d'URL, créez une stratégie de pare-feu réseau au niveau mondial ou une stratégie de pare-feu hiérarchique avec inspection de couche 7.
Si vous créez une stratégie de pare-feu mondiale ou si vous en utilisez une existante, ajoutez une règle de stratégie de pare-feu avec l'action
apply_security_profile_groupet spécifiez le nom du groupe de profils de sécurité que vous avez créé précédemment. Assurez-vous que la stratégie de pare-feu est associée au même réseau VPC que les charges de travail qui nécessitent une inspection.Pour en savoir plus, consultez Créer une stratégie de pare-feu de réseau au niveau mondial et Créer une règle.
Si vous créez une stratégie de pare-feu hiérarchique ou si vous en utilisez une existante, ajoutez une règle de stratégie de pare-feu avec l'action
apply_security_profile_group. Assurez-vous que la stratégie de pare-feu est associée au même réseau VPC que les charges de travail qui nécessitent une inspection.Pour en savoir plus, consultez Créer une règle.
Configurer le service de filtrage d'URL avec l'inspection TLS
Pour configurer le service de filtrage d'URL avec l'inspection TLS sur votre réseau, procédez comme suit.
Créez un point de terminaison de pare-feu.
Vous pouvez créer un point de terminaison de pare-feu avec ou sans prise en charge des trames géantes.
Un point de terminaison de pare-feu est une ressource zonale que vous devez créer dans la même zone que la charge de travail que vous souhaitez protéger avec le service de filtrage d'URL.
Pour en savoir plus, consultez Créer un point de terminaison de pare-feu.
Associez le point de terminaison de pare-feu à vos réseaux VPC.
Pour activer le service de filtrage d'URL, associez le point de terminaison de pare-feu à vos réseaux VPC. Assurez-vous que vous exécutez vos charges de travail dans la même zone que le point de terminaison de pare-feu.
Un point de terminaison de pare-feu compatible avec les trames géantes ne peut accepter que les paquets de 8 500 octets maximum. Un point de terminaison de pare-feu sans prise en charge des trames géantes ne peut accepter que les paquets jusqu'à 1 460 octets. Si vous avez besoin d'un service de filtrage d'URL, nous vous recommandons de configurer les réseaux VPC associés pour qu'ils utilisent les limites d'unité de transmission maximale (MTU) de 8 500 et 1 460 octets. Pour en savoir plus, consultez Taille de paquet acceptée.
Pour en savoir plus sur la création d'associations de points de terminaison de pare-feu, consultez Créer des associations de points de terminaison de pare-feu.
Créez un profil de sécurité pour le filtrage des URL.
Pour autoriser ou refuser l'accès à des domaines spécifiques, créez un profil de sécurité de type
url-filteringet utilisez des listes d'URL pour spécifier vos chaînes de correspondance.Pour en savoir plus, consultez Créer un profil de sécurité de filtrage d'URL.
Vous pouvez également créer un profil de sécurité pour analyser le trafic et détecter les menaces.
Pour analyser le trafic et détecter les menaces de sécurité, créez un autre profil de sécurité de type
threat-prevention. Passez en revue la liste des signatures de menace, évaluez les réponses par défaut et personnalisez les actions pour les signatures sélectionnées en fonction de vos besoins.Pour en savoir plus, consultez Créer un profil de sécurité pour la prévention des menaces. Pour en savoir plus sur le service de détection et de prévention des intrusions, consultez la présentation du service de détection et de prévention des intrusions.
Créez un groupe de profils de sécurité.
Un groupe de profils de sécurité fait office de conteneur pour les profils de sécurité. Créez un groupe de profils de sécurité pour inclure les profils de sécurité que vous avez créés lors des étapes précédentes.
Pour en savoir plus, consultez Créer un groupe de profils de sécurité.
Créez et configurez des ressources pour inspecter le trafic chiffré.
Créez un pool d'autorités de certification.
Un pool d'autorités de certification est une collection d'autorités de certification disposant d'une règle d'émission de certificats et d'une stratégie IAM communes. Un pool d'autorités de certification régional doit exister pour que vous puissiez configurer l'inspection TLS.
Pour en savoir plus, consultez Créer un pool d'autorités de certification.
Créez une autorité de certification racine.
Pour utiliser l'inspection TLS, vous devez disposer d'au moins une autorité de certification racine. L'autorité de certification racine signe une autorité de certification intermédiaire, qui signe ensuite tous les certificats de feuille pour les clients. Pour en savoir plus, consultez la documentation de référence sur la commande
gcloud privateca roots create.Accordez les autorisations nécessaires à l'agent de service de sécurité réseau (P4SA).
Cloud NGFW nécessite un compte de service avec accès aux ressources protégées pour générer des CA intermédiaires pour l'inspection TLS. L'agent de service a besoin des autorisations requises pour demander des certificats pour le pool d'autorités de certification.
Pour en savoir plus, consultez Créer un compte de service.
Créez une règle d'inspection TLS régionale.
Une règle d'inspection TLS spécifie comment intercepter le trafic chiffré. Une règle d'inspection TLS régionale peut contenir les configurations de l'inspection TLS.
Pour en savoir plus, consultez Créer une règle d'inspection TLS.
Associez le point de terminaison de pare-feu à la règle d'inspection TLS.
Configurez et appliquez le service de filtrage d'URL à votre trafic réseau.
Pour configurer le service de filtrage d'URL, créez une stratégie de pare-feu réseau au niveau mondial ou une stratégie de pare-feu hiérarchique avec inspection de couche 7.
Si vous créez une stratégie de pare-feu mondiale ou si vous en utilisez une existante, ajoutez une règle de stratégie de pare-feu avec l'action
apply_security_profile_groupet spécifiez le nom du groupe de profils de sécurité que vous avez créé précédemment. Assurez-vous que la stratégie de pare-feu est associée au même réseau VPC que les charges de travail qui nécessitent une inspection.Pour en savoir plus, consultez Créer une stratégie de pare-feu réseau mondiale et Créer une règle.
Si vous créez une stratégie de pare-feu hiérarchique ou si vous en utilisez une existante, ajoutez une règle de stratégie de pare-feu avec l'action
apply_security_profile_groupconfigurée. Assurez-vous que la stratégie de pare-feu est associée au même réseau VPC que les charges de travail qui nécessitent une inspection.Pour en savoir plus, consultez Créer une règle.
Exemple de modèle de déploiement
Le schéma suivant montre un exemple de déploiement du service de filtrage d'URL avec plusieurs points de terminaison de pare-feu, configurés pour deux réseaux VPC dans la même région, mais dans deux zones différentes.
L'exemple de déploiement présente la configuration suivante :
Deux groupes de profils de sécurité :
Security profile group 1avec le profil de sécuritéSecurity profile 1.Security profile group 2avec le profil de sécuritéSecurity profile 2.
Le VPC client 1 (
VPC 1) dispose d'une stratégie de pare-feu avec son groupe de profils de sécurité défini surSecurity profile group 1.Le VPC client 2 (
VPC 2) dispose d'une stratégie de pare-feu avec le groupe de profils de sécurité défini surSecurity profile group 2.Le point de terminaison de pare-feu
Firewall endpoint 1effectue le filtrage des URL pour les charges de travail exécutées surVPC 1etVPC 2dans la zoneus-west1-a.Le point de terminaison de pare-feu
Firewall endpoint 2effectue le filtrage d'URL avec l'inspection TLS activée pour les charges de travail exécutées surVPC 1etVPC 2dans la zoneus-west1-b.
Étape suivante
- Présentation du profil de sécurité
- Présentation des groupes de profils de sécurité
- Présentation des points de terminaison de pare-feu