Configura il servizio di filtraggio degli URL

Il servizio di filtraggio degli URL ti consente di controllare l'accesso a domini web specifici bloccandoli o consentendone l'accesso. Per attivare il servizio di filtro degli URL nella tua rete, devi configurare più componenti di Cloud Next Generation Firewall, inclusi endpoint firewall, profili di sicurezza e gruppi di profili di sicurezza. Questo documento fornisce un flusso di lavoro di alto livello che descrive come configurare questi componenti e attivare il servizio di filtro URL.

Per scoprire di più sul servizio di filtro URL, consulta la panoramica del servizio di filtro URL.

Ruoli obbligatori

I ruoli IAM (Identity and Access Management) regolano le azioni relative alla configurazione e all'attivazione del servizio di filtro degli URL. La tabella seguente descrive i ruoli necessari per ogni passaggio:

Funzionalità	Ruolo necessario
Crea un endpoint firewall e un'associazione di endpoint firewall per una rete Virtual Private Cloud (VPC)	Uno dei seguenti ruoli: Ruolo Compute Network Admin (`roles/compute.networkAdmin`) Ruolo Firewall Endpoint Admin (`roles/networksecurity.firewallEndpointAdmin`) Questi ruoli contengono la seguente autorizzazione per creare un endpoint firewall: `networksecurity.firewallEndpoints.create` Inoltre, questi ruoli contengono le seguenti autorizzazioni per creare un'associazione di endpoint firewall: `networksecurity.firewallEndpointAssociations.create` `networksecurity.firewallEndpoints.use` nell'organizzazione in cui viene creato l'endpoint firewall
Crea un profilo di sicurezza con filtro degli URL, un profilo di sicurezza per la prevenzione delle minacce e un gruppo di profili di sicurezza	Ruolo Amministratore profilo di sicurezza (`roles/networksecurity.securityProfileAdmin`) Questo ruolo contiene le seguenti autorizzazioni richieste: `networksecurity.securityProfileGroups.create` per creare un gruppo di profili di sicurezza `networksecurity.securityProfiles.create` per creare un profilo di sicurezza con filtro URL o un profilo di sicurezza per la prevenzione delle minacce
Crea una policy firewall gerarchica e le relative regole	Ruolo Compute Organization Firewall Policy Admin (`roles/compute.orgFirewallPolicyAdmin`) Devi disporre di questo ruolo per creare una policy del firewall gerarchica. Devi concedere il ruolo sulla risorsa in cui vuoi creare la policy. Inoltre, questo ruolo è necessario per creare una regola in una policy firewall gerarchica. Devi concedere il ruolo alla risorsa contenente il criterio o al criterio stesso. Il ruolo contiene le seguenti autorizzazioni richieste: `compute.firewallPolicies.create` per creare un criterio firewall gerarchico `compute.firewallPolicies.update` per creare una regola di criterio firewall gerarchico
Associa un criterio firewall gerarchico a un'organizzazione o a una cartella	Uno dei seguenti insiemi di ruoli: Ruolo Amministratore risorse organizzazione Compute (`roles/compute.orgSecurityResourceAdmin`) sulla risorsa di destinazione e Ruolo Utente policy firewall organizzazione Compute (`roles/compute.orgFirewallPolicyUser`) sulla risorsa policy o sulla policy stessa o Ruolo Amministratore risorse organizzazione Compute (`roles/compute.orgSecurityResourceAdmin`) sulla risorsa di destinazione e Ruolo Amministratore policy firewall organizzazione Compute (`roles/compute.orgFirewallPolicyAdmin`) sulla risorsa policy o sulla policy stessa Questi ruoli contengono le seguenti autorizzazioni richieste: `compute.firewallPolicies.addAssociation` sulla policy firewall `compute.organizations.setFirewallPolicy` sulla risorsa di destinazione
Crea una policy del firewall di rete globale e le relative regole	Ruolo Compute Security Admin (`roles/compute.securityAdmin`) Ti serve questo ruolo per creare una policy firewall di rete globale. Devi concedere il ruolo nel progetto in cui vuoi creare la policy. Inoltre, devi disporre di questo ruolo per creare una regola in una policy firewall di rete globale. Devi concedere il ruolo nel progetto contenente la policy o nella policy stessa. Il ruolo contiene le seguenti autorizzazioni richieste: `compute.firewallPolicies.create` per creare una policy del firewall di rete globale `compute.firewallPolicies.update` per creare una regola della policy del firewall di rete globale
Associa una policy firewall di rete globale a una rete VPC	Ruolo Compute Network Admin (`roles/compute.networkAdmin`) Questo ruolo contiene le seguenti autorizzazioni obbligatorie: `compute.firewallPolicies.use` `compute.networks.setFirewallPolicy`
Crea un pool di CA	Ruolo CA Service Operation Manager (`roles/privateca.caManager`) Se utilizzi l'ispezione Transport Layer Security (TLS), devi disporre di questo ruolo per creare un pool di CA.
Crea una policy di ispezione TLS	Ruolo Compute Network Admin (`roles/compute.networkAdmin`) Ruolo Compute Security Admin (`roles/compute.securityAdmin`) Se utilizzi l'ispezione TLS, devi disporre di uno dei ruoli precedenti per creare una policy di ispezione TLS. Questi ruoli contengono le seguenti autorizzazioni obbligatorie: `certificatemanager.trustconfigs.list` `certificatemanager.trustconfigs.use` `networksecurity.operations.get` `networksecurity.tlsInspectionPolicies.create` `networksecurity.tlsInspectionPolicies.list` `privateca.caPools.list` `privateca.caPools.use` `privateca.certificateAuthorities.list`

Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

Potresti anche riuscire a ottenere le autorizzazioni prescritte con ruoli personalizzati o altri ruoli predefiniti.

Configura il servizio di filtro URL senza ispezione TLS

Per configurare il servizio di filtro degli URL nella tua rete, esegui le seguenti attività.

Crea un endpoint firewall.

Un endpoint firewall è una risorsa zonale che devi creare nella stessa zona del carico di lavoro che vuoi proteggere con il servizio di filtro URL.

Puoi creare un endpoint firewall con o senza supporto dei frame jumbo.

Per saperne di più, consulta Crea un endpoint firewall.
Associa l'endpoint firewall alle tue reti VPC.

Per abilitare il servizio di filtro degli URL, associa l'endpoint firewall alle tue reti VPC. Assicurati di eseguire i workload nella stessa zona dell'endpoint firewall.

Un endpoint firewall con supporto per frame jumbo può accettare pacchetti solo fino a 8500 byte. In alternativa, un endpoint del firewall senza supporto dei frame jumbo può accettare pacchetti fino a 1460 byte. Se hai bisogno del servizio di filtro degli URL, ti consigliamo di configurare le reti VPC associate in modo che utilizzino i limiti dell'unità massima di trasmissione (MTU) di 8500 byte e 1460 byte. Per ulteriori informazioni, vedi Dimensioni dei pacchetti supportate.

Attenzione:un endpoint firewall non esegue il servizio di filtro degli URL per una rete VPC se la rete è configurata con un MTU superiore al limite dell'endpoint firewall.

Per saperne di più sulla creazione di associazioni di endpoint firewall, consulta Crea associazioni di endpoint firewall.
Crea un profilo di sicurezza per il filtro degli URL.

Per consentire o negare l'accesso a domini specifici, crea un profilo di sicurezza di tipo url-filtering e utilizza gli elenchi di URL per specificare le stringhe di corrispondenza.

Per saperne di più, vedi Creare un profilo di sicurezza con filtro degli URL.
(Facoltativo) Puoi creare un profilo di sicurezza per analizzare il traffico alla ricerca di minacce.

Per eseguire la scansione del traffico alla ricerca di minacce alla sicurezza, crea un altro profilo di sicurezza di tipo threat-prevention. Esamina l'elenco delle firme delle minacce, valuta le risposte predefinite e personalizza le azioni per le firme selezionate in base ai tuoi requisiti.

Per saperne di più, vedi Creare un profilo di sicurezza per la prevenzione delle minacce. Per scoprire di più sul servizio di rilevamento e prevenzione delle intrusioni, consulta la panoramica del servizio di rilevamento e prevenzione delle intrusioni.
Crea un gruppo di profili di sicurezza.

Un gruppo di profili di sicurezza funge da contenitore per i profili di sicurezza. Crea un gruppo di profili di sicurezza per includere i profili di sicurezza che hai creato nei passaggi precedenti.

Per saperne di più, vedi Creare un gruppo di profili di sicurezza.
Configura e applica il servizio di filtro URL al traffico di rete.

Per configurare il servizio di filtro degli URL, crea una policy del firewall di rete globale o una policy del firewall gerarchica con l'ispezione di livello 7.
- Se crei una nuova policy firewall globale o ne utilizzi una esistente, aggiungi una regola della policy firewall con l'azione apply_security_profile_group e specifica il nome del gruppo di profili di sicurezza che hai creato in precedenza. Assicurati che la policy firewall sia associata alla stessa rete VPC dei workload che richiedono l'ispezione.
  
  Per saperne di più, consulta Crea una policy del firewall di rete globale e Crea una regola.
- Se crei una nuova policy firewall gerarchica o ne utilizzi una esistente, aggiungi una regola della policy firewall con l'azione apply_security_profile_group. Assicurati che la policy del firewall sia associata alla stessa rete VPC dei workload che richiedono l'ispezione.
  
  Per saperne di più, consulta Creare una regola.

Configura il servizio di filtro degli URL con l'ispezione TLS

Per configurare il servizio di filtro degli URL con l'ispezione TLS nella tua rete, esegui le seguenti attività.

Crea un endpoint firewall.

Puoi creare un endpoint firewall con o senza supporto dei frame jumbo.

Un endpoint firewall è una risorsa zonale che devi creare nella stessa zona del carico di lavoro che vuoi proteggere con il servizio di filtro URL.

Per saperne di più, consulta Crea un endpoint firewall.
Associa l'endpoint firewall alle tue reti VPC.

Per abilitare il servizio di filtro degli URL, associa l'endpoint firewall alle tue reti VPC. Assicurati di eseguire i workload nella stessa zona dell'endpoint firewall.

Un endpoint firewall con supporto per frame jumbo può accettare pacchetti solo fino a 8500 byte. In alternativa, un endpoint del firewall senza supporto dei frame jumbo può accettare pacchetti fino a 1460 byte. Se hai bisogno del servizio di filtro degli URL, ti consigliamo di configurare le reti VPC associate in modo che utilizzino i limiti dell'unità massima di trasmissione (MTU) di 8500 byte e 1460 byte. Per ulteriori informazioni, vedi Dimensioni dei pacchetti supportate.

Attenzione:un endpoint firewall non esegue il servizio di filtro degli URL per una rete VPC se la rete è configurata con un MTU superiore al limite dell'endpoint firewall.

Per saperne di più sulla creazione di associazioni di endpoint firewall, consulta Crea associazioni di endpoint firewall.
Crea un profilo di sicurezza per il filtro degli URL.

Per consentire o negare l'accesso a domini specifici, crea un profilo di sicurezza di tipo url-filtering e utilizza gli elenchi di URL per specificare le stringhe di corrispondenza.

Per saperne di più, vedi Creare un profilo di sicurezza con filtro degli URL.
(Facoltativo) Puoi creare un profilo di sicurezza per analizzare il traffico alla ricerca di minacce.

Per eseguire la scansione del traffico alla ricerca di minacce alla sicurezza, crea un altro profilo di sicurezza di tipo threat-prevention. Esamina l'elenco delle firme delle minacce, valuta le risposte predefinite e personalizza le azioni per le firme selezionate in base ai tuoi requisiti.

Per saperne di più, vedi Creare un profilo di sicurezza per la prevenzione delle minacce. Per scoprire di più sul servizio di rilevamento e prevenzione delle intrusioni, consulta la panoramica del servizio di rilevamento e prevenzione delle intrusioni.
Crea un gruppo di profili di sicurezza.

Un gruppo di profili di sicurezza funge da contenitore per i profili di sicurezza. Crea un gruppo di profili di sicurezza per includere i profili di sicurezza che hai creato nei passaggi precedenti.

Per saperne di più, vedi Creare un gruppo di profili di sicurezza.
Crea e configura le risorse per ispezionare il traffico criptato.
1. Crea un pool di autorità di certificazione (CA).
  
  Un pool di CA è una raccolta di CA con una policy di emissione dei certificati comune e una policy IAM. Prima di poter configurare l'ispezione TLS, deve esistere un pool di CA regionale.
  
  Per saperne di più, consulta Creare un pool di CA.
2. Crea una CA radice.
  
  Per utilizzare l'ispezione TLS, devi avere almeno un'autorità di certificazione radice. La CA radice firma una CA intermedia, che a sua volta firma tutti i certificati foglia per i client. Per saperne di più, consulta la documentazione di riferimento per il comando gcloud privateca roots create.
3. Concedi le autorizzazioni necessarie al service agent Network Security (P4SA).
  
  Cloud NGFW richiede un P4SA per generare CA intermedie per l'ispezione TLS. Il service agent ha bisogno delle autorizzazioni necessarie per richiedere i certificati per il pool di CA.
  
  Per saperne di più, vedi Creare un service account.
Crea una policy di ispezione TLS regionale.

Una policy di ispezione TLS specifica come intercettare il traffico criptato. Una policy di ispezione TLS regionale può contenere le configurazioni per l'ispezione TLS.

Per saperne di più, consulta Creare una policy di ispezione TLS.
Associa l'endpoint firewall al criterio di ispezione TLS.
Configura e applica il servizio di filtro URL al traffico di rete.

Per configurare il servizio di filtro degli URL, crea una policy del firewall di rete globale o una policy del firewall gerarchica con l'ispezione di livello 7.
- Se crei una nuova policy firewall globale o ne utilizzi una esistente, aggiungi una regola della policy firewall con l'azione apply_security_profile_group e specifica il nome del gruppo di profili di sicurezza che hai creato in precedenza. Assicurati che la policy firewall sia associata alla stessa rete VPC dei workload che richiedono l'ispezione.
  
  Per saperne di più, consulta Crea una policy del firewall di rete globale e Crea una regola.
- Se crei una nuova policy del firewall gerarchica o ne utilizzi una esistente, aggiungi una regola della policy del firewall con l'azione apply_security_profile_group configurata. Assicurati che la policy firewall sia associata alla stessa rete VPC dei workload che richiedono l'ispezione.
  
  Per saperne di più, consulta Creare una regola.

Modello di deployment di esempio

Il seguente diagramma mostra un esempio di deployment del servizio di filtro URL con più endpoint firewall, configurati per due reti VPC nella stessa regione, ma in due zone diverse.

Esegui il deployment del servizio di filtro URL in una regione. — Esegui il deployment del servizio di filtro degli URL in una regione (fai clic per ingrandire).

Il deployment di esempio ha la seguente configurazione:

Due gruppi di profili di sicurezza:
1. Security profile group 1 con profilo di sicurezza Security profile 1.
2. Security profile group 2 con profilo di sicurezza Security profile 2.
Il VPC 1 del cliente (VPC 1) ha una policy del firewall con il gruppo di profili di sicurezza impostato su Security profile group 1.
Il VPC 2 del cliente (VPC 2) ha una policy firewall con il gruppo di profili di sicurezza impostato su Security profile group 2.
L'endpoint firewall Firewall endpoint 1 esegue il filtro URL per i carichi di lavoro in esecuzione su VPC 1 eVPC 2 nella zona us-west1-a.
L'endpoint firewall Firewall endpoint 2 esegue il filtro degli URL con l'ispezione TLS abilitata per i carichi di lavoro in esecuzione su VPC 1 e VPC 2 nella zona us-west1-b.