Configurar o serviço de filtragem de URL

Com o serviço de filtragem de URL, você controla o acesso a domínios da Web específicos bloqueando ou permitindo o acesso a eles. Para ativar o serviço de filtragem de URL na rede, configure vários componentes do Cloud Next Generation Firewall, incluindo endpoints de firewall, perfis de segurança e grupos de perfis de segurança. Este documento apresenta um fluxo de trabalho de alto nível que descreve como configurar esses componentes e ativar o serviço de filtragem de URL.

Para saber mais sobre o serviço de filtragem de URL, consulte a visão geral do serviço de filtragem de URL.

Funções exigidas

Os papéis do Identity and Access Management (IAM) controlam as ações relacionadas à configuração e ativação do serviço de filtragem de URL. A tabela a seguir descreve quais papéis são necessários para cada etapa:

Habilidade	Papel necessário
Criar um endpoint de firewall e uma associação de endpoint de firewall para uma rede de nuvem privada virtual (VPC)	Qualquer uma das seguintes funções: Administrador de rede do Compute (`roles/compute.networkAdmin`) Administrador de endpoint de firewall (`roles/networksecurity.firewallEndpointAdmin`) Essas funções contêm a seguinte permissão para criar um endpoint de firewall: `networksecurity.firewallEndpoints.create` Além disso, essas funções contêm as seguintes permissões para criar uma associação de endpoint de firewall: `networksecurity.firewallEndpointAssociations.create` `networksecurity.firewallEndpoints.use` na organização em que o endpoint de firewall é criado
Criar um perfil de segurança de filtragem de URL, um perfil de segurança de prevenção de ameaças e um grupo de perfis de segurança	Papel de administrador do perfil de segurança (`roles/networksecurity.securityProfileAdmin`) Esse papel contém as seguintes permissões necessárias: `networksecurity.securityProfileGroups.create` para criar um grupo de perfis de segurança `networksecurity.securityProfiles.create` para criar um perfil de segurança de filtragem de URL ou um perfil de segurança de prevenção contra ameaças
Criar uma política de firewall hierárquica e as regras dela	Papel Administrador da política de firewall da organização do Compute (`roles/compute.orgFirewallPolicyAdmin`) É necessário ter esse papel para criar uma política de firewall hierárquica. Você precisa conceder o papel no recurso em que quer criar a política. Além disso, você precisa dessa função para criar uma regra em uma política de firewall hierárquica. É preciso conceder o papel no recurso que contém a política ou na própria política. O papel contém as seguintes permissões necessárias: `compute.firewallPolicies.create` para criar uma política de firewall hierárquica `compute.firewallPolicies.update` para criar uma regra de política de firewall hierárquica
Como associar uma política hierárquica de firewall a uma organização ou pasta	Qualquer um dos seguintes conjuntos de papéis: Administrador de recursos da organização do Compute (`roles/compute.orgSecurityResourceAdmin`) no recurso de destino e Usuário da política de firewall da organização do Compute (`roles/compute.orgFirewallPolicyUser`) no recurso de política ou na própria política ou Administrador de recursos da organização do Compute (`roles/compute.orgSecurityResourceAdmin`) no recurso de destino e Administrador da política de firewall da organização do Compute (`roles/compute.orgFirewallPolicyAdmin`) no recurso de política ou na própria política Esses papéis contêm as seguintes permissões necessárias: `compute.firewallPolicies.addAssociation` na política de firewall `compute.organizations.setFirewallPolicy` no recurso de destino
Criar uma política de firewall de rede global e as regras dela	Papel de administrador de segurança do Compute (`roles/compute.securityAdmin`) É necessário ter esse papel para criar uma política global de firewall de rede. Você precisa conceder o papel no projeto em que quer criar a política. Além disso, você precisa dessa função para criar uma regra em uma política de firewall de rede global. Você precisa conceder a função no projeto que contém a política ou na própria política. A função contém as seguintes permissões necessárias: `compute.firewallPolicies.create` para criar uma política de firewall de rede global `compute.firewallPolicies.update` para criar uma regra de política de firewall de rede global
Associar uma política de firewall de rede global a uma rede VPC	Papel Administrador de rede do Compute (`roles/compute.networkAdmin`) Esse papel contém as seguintes permissões necessárias: `compute.firewallPolicies.use` `compute.networks.setFirewallPolicy`
Criar um pool de CA	Papel de gerente de operações do serviço de AC (`roles/privateca.caManager`) Se você estiver usando a inspeção do Transport Layer Security (TLS), precisará desse papel para criar um pool de ACs.
Criar uma política de inspeção de TLS	Papel de administrador de rede do Compute (`roles/compute.networkAdmin`) Papel de administrador de segurança do Compute (`roles/compute.securityAdmin`) Se você estiver usando a inspeção de TLS, precisará de uma das funções anteriores para criar uma política de inspeção de TLS. Esses papéis contêm as seguintes permissões necessárias: `certificatemanager.trustconfigs.list` `certificatemanager.trustconfigs.use` `networksecurity.operations.get` `networksecurity.tlsInspectionPolicies.create` `networksecurity.tlsInspectionPolicies.list` `privateca.caPools.list` `privateca.caPools.use` `privateca.certificateAuthorities.list`

Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

Também é possível receber as permissões prescritas com papéis personalizados ou outros papéis predefinidos.

Configurar o serviço de filtragem de URL sem inspeção TLS

Para configurar o serviço de filtragem de URL na sua rede, execute as tarefas a seguir.

Crie um endpoint de firewall.

Um endpoint de firewall é um recurso zonal que precisa ser criado na mesma zona da carga de trabalho que você quer proteger com o serviço de filtragem de URL.

É possível criar um endpoint de firewall com ou sem suporte a jumbo frames.

Para mais informações, consulte Criar um endpoint de firewall.
Associe o endpoint de firewall às suas redes VPC.

Para ativar o serviço de filtragem de URL, associe o endpoint de firewall às suas redes VPC. Verifique se as cargas de trabalho estão sendo executadas na mesma zona que o endpoint de firewall.

Um endpoint de firewall com suporte a frame jumbo só pode aceitar pacotes de até 8.500 bytes. Como alternativa, um endpoint de firewall sem suporte a frames jumbo pode aceitar pacotes de até 1.460 bytes. Se você precisar do serviço de filtragem de URL, recomendamos que configure as redes VPC associadas para usar os limites de unidade máxima de transmissão (MTU) de 8.500 bytes e 1.460 bytes. Para mais informações, consulte Tamanho de pacote compatível.

Atenção:um endpoint de firewall não realiza o serviço de filtragem de URL para uma rede VPC se ela estiver configurada com uma MTU maior que o limite do endpoint de firewall.

Para mais informações sobre como criar associações de endpoints de firewall, consulte Criar associações de endpoints de firewall.
Crie um perfil de segurança para filtragem de URL.

Para permitir ou negar o acesso a domínios específicos, crie um perfil de segurança do tipo url-filtering e use listas de URLs para especificar as strings de correspondência.

Para mais informações, consulte Criar um perfil de segurança de filtragem de URL.
Como opção, é possível criar um perfil de segurança para verificar se há ameaças no tráfego.

Para verificar o tráfego em busca de ameaças à segurança, crie outro perfil de segurança do tipo threat-prevention. Analise a lista de assinaturas de ameaças, avalie as respostas padrão e personalize as ações para as assinaturas selecionadas de acordo com seus requisitos.

Para mais informações, consulte Criar um perfil de segurança de prevenção contra ameaças. Para saber mais sobre o serviço de detecção e prevenção de intrusões, consulte Visão geral do serviço de detecção e prevenção de intrusões.
Crie um grupo de perfis de segurança.

Um grupo de perfis de segurança funciona como um contêiner para perfis de segurança. Crie um grupo de perfis de segurança para incluir os perfis criados nas etapas anteriores.

Para mais informações, consulte Criar um grupo de perfis de segurança.
Configure e aplique o serviço de filtragem de URL ao tráfego de rede.

Para configurar o serviço de filtragem de URL, crie uma política global de firewall de rede ou uma política hierárquica de firewall com inspeção da camada 7.
- Se você criar uma política de firewall global ou usar uma já existente, adicione uma regra de política de firewall com a ação apply_security_profile_group e especifique o nome do grupo de perfis de segurança que você criou anteriormente. Verifique se a política de firewall está associada à mesma rede VPC que as cargas de trabalho que exigem inspeção.
  
  Para mais informações, consulte Criar uma política global de firewall de rede e Criar uma regra.
- Se você criar ou usar uma política de firewall hierárquica, adicione uma regra com a ação apply_security_profile_group. Verifique se a política de firewall está associada à mesma rede VPC que as cargas de trabalho que exigem inspeção.
  
  Para mais informações, consulte Criar uma regra.

Configurar o serviço de filtragem de URL com inspeção de TLS

Para configurar o serviço de filtragem de URL com inspeção TLS na sua rede, execute as tarefas a seguir.

Crie um endpoint de firewall.

É possível criar um endpoint de firewall com ou sem suporte a jumbo frames.

Um endpoint de firewall é um recurso zonal que precisa ser criado na mesma zona da carga de trabalho que você quer proteger com o serviço de filtragem de URL.

Para mais informações, consulte Criar um endpoint de firewall.
Associe o endpoint de firewall às suas redes VPC.

Para ativar o serviço de filtragem de URL, associe o endpoint de firewall às suas redes VPC. Verifique se as cargas de trabalho estão sendo executadas na mesma zona que o endpoint de firewall.

Um endpoint de firewall com suporte a frame jumbo só pode aceitar pacotes de até 8.500 bytes. Como alternativa, um endpoint de firewall sem suporte a frames jumbo pode aceitar pacotes de até 1.460 bytes. Se você precisar do serviço de filtragem de URL, recomendamos que configure as redes VPC associadas para usar os limites de unidade máxima de transmissão (MTU) de 8.500 bytes e 1.460 bytes. Para mais informações, consulte Tamanho de pacote compatível.

Atenção:um endpoint de firewall não realiza o serviço de filtragem de URL para uma rede VPC se ela estiver configurada com uma MTU maior que o limite do endpoint de firewall.

Para mais informações sobre como criar associações de endpoints de firewall, consulte Criar associações de endpoints de firewall.
Crie um perfil de segurança para filtragem de URL.

Para permitir ou negar o acesso a domínios específicos, crie um perfil de segurança do tipo url-filtering e use listas de URLs para especificar as strings de correspondência.

Para mais informações, consulte Criar um perfil de segurança de filtragem de URL.
Como opção, é possível criar um perfil de segurança para verificar se há ameaças no tráfego.

Para verificar o tráfego em busca de ameaças à segurança, crie outro perfil de segurança do tipo threat-prevention. Analise a lista de assinaturas de ameaças, avalie as respostas padrão e personalize as ações para as assinaturas selecionadas de acordo com seus requisitos.

Para mais informações, consulte Criar um perfil de segurança de prevenção contra ameaças. Para saber mais sobre o serviço de detecção e prevenção de intrusões, consulte Visão geral do serviço de detecção e prevenção de intrusões.
Crie um grupo de perfis de segurança.

Um grupo de perfis de segurança funciona como um contêiner para perfis de segurança. Crie um grupo de perfis de segurança para incluir os perfis criados nas etapas anteriores.

Para mais informações, consulte Criar um grupo de perfis de segurança.
Crie e configure recursos para inspecionar o tráfego criptografado.
1. Crie um pool de autoridade certificadora (CA).
  
  Um pool de ACs é uma coleção de ACs com uma política de emissão de certificados e uma política do IAM comuns. Um pool de CAs regional precisa existir antes de você configurar a inspeção de TLS.
  
  Para mais informações, consulte Criar um pool de AC.
2. Crie uma CA raiz.
  
  Para usar a inspeção TLS, você precisa ter pelo menos uma CA raiz. A CA raiz assina uma CA intermediária, que assina todos os certificados folha dos clientes. Para mais informações, consulte a documentação de referência do comando gcloud privateca roots create.
3. Conceda as permissões necessárias ao agente de serviço de segurança de rede (P4SA).
  
  O Cloud NGFW exige uma P4SA para gerar CAs intermediárias para inspeção de TLS. O agente de serviço precisa das permissões necessárias para solicitar certificados para o pool de CA.
  
  Para mais informações, consulte Criar uma conta de serviço.
Crie uma política regional de inspeção de TLS.

Uma política de inspeção TLS especifica como interceptar o tráfego criptografado. Uma política regional de inspeção de TLS pode conter as configurações para a inspeção de TLS.

Para mais informações, consulte Criar uma política de inspeção TLS.
Associe o endpoint de firewall à política de inspeção de TLS.
Configure e aplique o serviço de filtragem de URL ao tráfego de rede.

Para configurar o serviço de filtragem de URL, crie uma política global de firewall de rede ou uma política hierárquica de firewall com inspeção da camada 7.
- Se você criar uma política de firewall global ou usar uma já existente, adicione uma regra de política de firewall com a ação apply_security_profile_group e especifique o nome do grupo de perfis de segurança que você criou anteriormente. Verifique se a política de firewall está associada à mesma rede VPC que as cargas de trabalho que exigem inspeção.
  
  Para mais informações, consulte Criar uma política de firewall de rede global e Criar uma regra.
- Se você criar ou usar uma política de firewall hierárquica, adicione uma regra com a ação apply_security_profile_group configurada. Verifique se a política de firewall está associada à mesma rede VPC que as cargas de trabalho que exigem inspeção.
  
  Para mais informações, consulte Criar uma regra.

Exemplo de modelo de implantação

O diagrama a seguir mostra um exemplo da implantação do serviço de filtragem de URL com vários endpoints de firewall, configurados para duas redes VPC na mesma região, mas em duas zonas diferentes.

Implante o serviço de filtragem de URL em uma região. — Implante o serviço de filtragem de URL em uma região (clique para ampliar).

A implantação de exemplo tem a seguinte configuração:

Dois grupos de perfis de segurança:
1. Security profile group 1 com o perfil de segurança Security profile 1.
2. Security profile group 2 com o perfil de segurança Security profile 2.
A VPC 1 do cliente (VPC 1) tem uma política de firewall com o grupo de perfis de segurança definido como Security profile group 1.
A VPC 2 do cliente (VPC 2) tem uma política de firewall com o grupo de perfis de segurança definido como Security profile group 2.
O endpoint de firewall Firewall endpoint 1 realiza a filtragem de URL para cargas de trabalho em execução no VPC 1 e VPC 2 na zona us-west1-a.
O endpoint de firewall Firewall endpoint 2 realiza a filtragem de URL com a inspeção de TLS ativada para cargas de trabalho em execução no VPC 1 e VPC 2 na zona us-west1-b.