Il servizio di filtro URL ti consente di controllare l'accesso a domini web specifici bloccandoli o consentendone l'accesso. Per attivare il servizio di filtro degli URL nella tua rete, devi configurare più componenti di Cloud Next Generation Firewall, inclusi endpoint firewall, profili di sicurezza e gruppi di profili di sicurezza. Questo documento fornisce un workflow di alto livello che descrive come configurare questi componenti e attivare il servizio di filtro degli URL.
Per scoprire di più sul servizio di filtro URL, consulta la panoramica del servizio di filtro URL.
Ruoli obbligatori
I ruoli IAM (Identity and Access Management) regolano le azioni relative alla configurazione e all'attivazione del servizio di filtro degli URL. La tabella seguente descrive i ruoli necessari per ogni passaggio:
| Abilità | Ruolo necessario |
|---|---|
| Crea un endpoint firewall e un'associazione di endpoint firewall per una rete Virtual Private Cloud (VPC) | Uno dei seguenti ruoli:
|
| Crea un profilo di sicurezza con filtro degli URL, un profilo di sicurezza per la prevenzione delle minacce e un gruppo di profili di sicurezza | Uno dei seguenti ruoli:
|
| Crea una policy del firewall gerarchica e le relative regole | Ruolo Compute Organization Firewall Policy Admin (roles/compute.orgFirewallPolicyAdmin)
Devi disporre di questo ruolo per creare una policy del firewall gerarchica. Devi concedere il ruolo sulla risorsa in cui vuoi creare la policy. Inoltre, devi disporre di questo ruolo per creare una regola in una policy del firewall gerarchico. Devi concedere il ruolo alla risorsa contenente il criterio o al criterio stesso. Il ruolo contiene le seguenti autorizzazioni obbligatorie:
|
| Associa un criterio firewall gerarchico a un'organizzazione o a una cartella | Uno dei seguenti set di ruoli:
|
| Crea una policy del firewall di rete globale e le relative regole | Ruolo Compute Security Admin (roles/compute.securityAdmin)
Ti serve questo ruolo per creare una policy del firewall di rete globale. Devi concedere il ruolo nel progetto in cui vuoi creare la policy. Inoltre, devi disporre di questo ruolo per creare una regola in una policy del firewall di rete globale. Devi concedere il ruolo nel progetto contenente la policy o nella policy stessa. Il ruolo contiene le seguenti autorizzazioni obbligatorie:
|
| Associa una policy del firewall di rete globale a una rete VPC | Ruolo Compute Network Admin (roles/compute.networkAdmin)
Questo ruolo contiene le seguenti autorizzazioni richieste:
|
| Crea un pool di CA | Ruolo Responsabile operativo servizio CA (roles/privateca.caManager)
Se utilizzi l'ispezione TLS (Transport Layer Security), devi disporre di questo ruolo per creare un pool di CA. |
| Crea una policy di ispezione TLS |
Se utilizzi l'ispezione TLS, devi disporre di uno dei ruoli precedenti per creare una policy di ispezione TLS. Questi ruoli contengono le seguenti autorizzazioni richieste:
|
Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.
Potresti anche riuscire a ottenere le autorizzazioni prescritte con ruoli personalizzati o altri ruoli predefiniti.
Configura il servizio di filtro URL senza ispezione TLS
Per configurare il servizio di filtro degli URL nella tua rete, esegui le seguenti attività.
Crea un endpoint firewall.
Un endpoint firewall è una risorsa di zona che devi creare nella stessa zona del carico di lavoro che vuoi proteggere con il servizio di filtro URL.
Puoi creare un endpoint firewall con o senza supporto dei frame jumbo.
Per saperne di più, consulta Crea un endpoint firewall.
Associa l'endpoint firewall alle tue reti VPC.
Per abilitare il servizio di filtro degli URL, associa l'endpoint firewall alle tue reti VPC. Assicurati di eseguire i tuoi workload nella stessa zona dell'endpoint firewall.
Un endpoint del firewall con supporto dei frame jumbo può accettare pacchetti fino a 8500 byte. In alternativa, un endpoint del firewall senza supporto dei frame jumbo può accettare pacchetti solo fino a 1460 byte. Se hai bisogno di un servizio di filtro degli URL, ti consigliamo di configurare le reti VPC associate in modo che utilizzino i limiti dell'unità massima di trasmissione (MTU) di 8500 byte e 1460 byte. Per ulteriori informazioni, vedi Dimensioni dei pacchetti supportate.
Per saperne di più sulla creazione di associazioni di endpoint firewall, consulta Crea associazioni di endpoint firewall.
Crea un profilo di sicurezza per il filtro degli URL.
Per consentire o negare l'accesso a domini specifici, crea un profilo di sicurezza di tipo
url-filteringe utilizza gli elenchi di URL per specificare le stringhe di corrispondenza.Per saperne di più, vedi Creare un profilo di sicurezza con filtro degli URL.
(Facoltativo) Puoi creare un profilo di sicurezza per analizzare il traffico alla ricerca di minacce.
Per eseguire la scansione del traffico alla ricerca di minacce alla sicurezza, crea un altro profilo di sicurezza di tipo
threat-prevention. Esamina l'elenco delle firme delle minacce, valuta le risposte predefinite e personalizza le azioni per le firme selezionate in base ai tuoi requisiti.Per saperne di più, vedi Creare un profilo di sicurezza per la prevenzione delle minacce. Per scoprire di più sul servizio di rilevamento e prevenzione delle intrusioni, consulta la panoramica del servizio di rilevamento e prevenzione delle intrusioni.
Crea un gruppo di profili di sicurezza.
Un gruppo di profili di sicurezza funge da contenitore per i profili di sicurezza. Crea un gruppo di profili di sicurezza per includere i profili di sicurezza che hai creato nei passaggi precedenti.
Per saperne di più, vedi Creare un gruppo di profili di sicurezza.
Configura e applica il servizio di filtro URL al traffico di rete.
Per configurare il servizio di filtro degli URL, crea una policy del firewall di rete globale o una policy del firewall gerarchica con l'ispezione di livello 7.
Se crei una nuova policy del firewall globale o ne utilizzi una esistente, aggiungi una regola della policy del firewall con l'azione
apply_security_profile_groupe specifica il nome del gruppo di profili di sicurezza che hai creato in precedenza. Assicurati che la policy del firewall sia associata alla stessa rete VPC dei workload che richiedono l'ispezione.Per saperne di più, vedi Creare una policy del firewall di rete globale e Creare una regola.
Se crei una nuova policy del firewall gerarchica o ne utilizzi una esistente, aggiungi una regola della policy del firewall con l'azione
apply_security_profile_group. Assicurati che la policy del firewall sia associata alla stessa rete VPC dei workload che richiedono l'ispezione.Per saperne di più, consulta Creare una regola.
Configura il servizio di filtro degli URL con l'ispezione TLS
Per configurare il servizio di filtro degli URL con l'ispezione TLS nella tua rete, esegui le seguenti attività.
Crea un endpoint firewall.
Puoi creare un endpoint firewall con o senza supporto dei frame jumbo.
Un endpoint firewall è una risorsa di zona che devi creare nella stessa zona del carico di lavoro che vuoi proteggere con il servizio di filtro URL.
Per saperne di più, consulta Crea un endpoint firewall.
Associa l'endpoint firewall alle tue reti VPC.
Per abilitare il servizio di filtro degli URL, associa l'endpoint firewall alle tue reti VPC. Assicurati di eseguire i tuoi workload nella stessa zona dell'endpoint firewall.
Un endpoint del firewall con supporto dei frame jumbo può accettare pacchetti fino a 8500 byte. In alternativa, un endpoint del firewall senza supporto dei frame jumbo può accettare pacchetti solo fino a 1460 byte. Se hai bisogno di un servizio di filtro degli URL, ti consigliamo di configurare le reti VPC associate in modo che utilizzino i limiti dell'unità massima di trasmissione (MTU) di 8500 byte e 1460 byte. Per ulteriori informazioni, vedi Dimensioni dei pacchetti supportate.
Per saperne di più sulla creazione di associazioni di endpoint firewall, consulta Crea associazioni di endpoint firewall.
Crea un profilo di sicurezza per il filtro degli URL.
Per consentire o negare l'accesso a domini specifici, crea un profilo di sicurezza di tipo
url-filteringe utilizza gli elenchi di URL per specificare le stringhe di corrispondenza.Per saperne di più, vedi Creare un profilo di sicurezza con filtro degli URL.
(Facoltativo) Puoi creare un profilo di sicurezza per analizzare il traffico alla ricerca di minacce.
Per eseguire la scansione del traffico alla ricerca di minacce alla sicurezza, crea un altro profilo di sicurezza di tipo
threat-prevention. Esamina l'elenco delle firme delle minacce, valuta le risposte predefinite e personalizza le azioni per le firme selezionate in base ai tuoi requisiti.Per saperne di più, vedi Creare un profilo di sicurezza per la prevenzione delle minacce. Per scoprire di più sul servizio di rilevamento e prevenzione delle intrusioni, consulta la panoramica del servizio di rilevamento e prevenzione delle intrusioni.
Crea un gruppo di profili di sicurezza.
Un gruppo di profili di sicurezza funge da contenitore per i profili di sicurezza. Crea un gruppo di profili di sicurezza per includere i profili di sicurezza che hai creato nei passaggi precedenti.
Per saperne di più, vedi Creare un gruppo di profili di sicurezza.
Crea e configura le risorse per ispezionare il traffico criptato.
Crea un pool di autorità di certificazione (CA).
Un pool di CA è una raccolta di CA con una policy di emissione dei certificati comune e una policy IAM. Prima di poter configurare l'ispezione TLS, deve esistere un pool di CA regionale.
Per saperne di più, consulta Crea un pool di CA.
Crea una CA radice.
Per utilizzare l'ispezione TLS, devi avere almeno un'autorità di certificazione radice. La CA radice firma una CA intermedia, che a sua volta firma tutti i certificati foglia per i client. Per saperne di più, consulta la documentazione di riferimento per il comando
gcloud privateca roots create.Concedi le autorizzazioni necessarie al service agent di Network Security (P4SA).
Cloud NGFW richiede un P4SA per generare CA intermedie per l'ispezione TLS. Il service agent ha bisogno delle autorizzazioni necessarie per richiedere i certificati per il pool di CA.
Per saperne di più, vedi Creare un service account.
Crea una policy di ispezione TLS regionale.
Una policy di ispezione TLS specifica come intercettare il traffico criptato. Una policy di ispezione TLS regionale può contenere le configurazioni per l'ispezione TLS.
Per saperne di più, vedi Creare una policy di ispezione TLS.
Associa l'endpoint firewall al criterio di ispezione TLS.
Configura e applica il servizio di filtro URL al traffico di rete.
Per configurare il servizio di filtro degli URL, crea una policy del firewall di rete globale o una policy del firewall gerarchica con l'ispezione di livello 7.
Se crei una nuova policy del firewall globale o ne utilizzi una esistente, aggiungi una regola della policy del firewall con l'azione
apply_security_profile_groupe specifica il nome del gruppo di profili di sicurezza che hai creato in precedenza. Assicurati che la policy del firewall sia associata alla stessa rete VPC dei workload che richiedono l'ispezione.Per saperne di più, consulta Crea una policy del firewall di rete globale e Crea una regola.
Se crei una nuova policy del firewall gerarchica o ne utilizzi una esistente, aggiungi una regola della policy del firewall con l'azione
apply_security_profile_groupconfigurata. Assicurati che la policy del firewall sia associata alla stessa rete VPC dei workload che richiedono l'ispezione.Per saperne di più, consulta Creare una regola.
Modello di deployment di esempio
Il seguente diagramma mostra un esempio di deployment del servizio di filtro URL con più endpoint firewall, configurati per due reti VPC nella stessa regione, ma in due zone diverse.
Il deployment di esempio ha la seguente configurazione:
Due gruppi di profili di sicurezza:
Security profile group 1con profilo di sicurezzaSecurity profile 1.Security profile group 2con profilo di sicurezzaSecurity profile 2.
Il VPC 1 del cliente (
VPC 1) ha una policy del firewall con il gruppo di profili di sicurezza impostato suSecurity profile group 1.Il VPC 2 del cliente (
VPC 2) ha una policy firewall con il gruppo di profili di sicurezza impostato suSecurity profile group 2.L'endpoint firewall
Firewall endpoint 1esegue il filtraggio degli URL per i carichi di lavoro in esecuzione suVPC 1eVPC 2nella zonaus-west1-a.L'endpoint firewall
Firewall endpoint 2esegue il filtro degli URL con l'ispezione TLS abilitata per i carichi di lavoro in esecuzione suVPC 1eVPC 2nella zonaus-west1-b.
Passaggi successivi
- Panoramica del profilo di sicurezza
- Panoramica del gruppo di profili di sicurezza
- Panoramica dell'endpoint firewall