Concetti di Cloud NGFW

Puoi utilizzare Cloud Next Generation Firewall per proteggere i tuoi carichi di lavoro da minacce esterne provenienti da internet e da minacce interne all'interno della tua rete.

Questo documento definisce i concetti e i termini principali che spiegano come funziona Cloud NGFW e come valuta le regole.

Regole delle policy del firewall

In Cloud NGFW, una regola della policy del firewall è l'unità fondamentale della configurazione di sicurezza. Definisce i criteri per consentire, negare o ispezionare il traffico. Per saperne di più, consulta Regole delle policy del firewall.

Policy firewall

Una policy del firewall è un container che raggruppa più regole firewall. Per saperne di più, consulta Policy firewall .

Cloud NGFW supporta i seguenti tipi di policy, a seconda della loro posizione nella gerarchia delle risorse:

Quando crei una policy del firewall gerarchica o una policy del firewall di rete, Google Cloud aggiunge alcune regole predefinite alla policy.

Associazione di policy del firewall

Prima di poter utilizzare le regole in una policy del firewall, devi associare la policy a una risorsa. Il metodo di associazione dipende dal tipo di policy:

  • Policy firewall gerarchiche: associa le policy gerarchiche a un' Google Cloud organizzazione o a una cartella.
  • Policy del firewall di rete globali: associa le policy del firewall di rete globali a una o più reti VPC nello stesso progetto della policy del firewall.
  • Policy del firewall di rete regionali: associa le policy del firewall di rete regionali a una singola regione di una o più reti VPC nello stesso progetto della policy del firewall.

Dopo aver associato una policy del firewall a una risorsa, le regole della policy vengono applicate al traffico corrispondente.

Come funziona Cloud NGFW

Cloud NGFW valuta le regole delle policy del firewall, le regole firewall VPC e le azioni implicite. Per saperne di più, consulta Ordine di valutazione per policy e regole firewall.

Regole firewall VPC

Le regole firewall VPC consentono di gestire il traffico a livello di rete (livello 3 e livello 4) per una singola rete VPC.

Le regole firewall VPC offrono meno funzionalità rispetto alle regole delle policy del firewall. Come best practice, utilizza le policy firewall anziché le regole firewall VPC. Per saperne di più, consulta Regole firewall VPC.

Componenti principali di una regola della policy del firewall

Per configurare una regola della policy del firewall, definisci i seguenti componenti:

  • Direzione: specifica la direzione del flusso di traffico dal punto di vista della risorsa di destinazione.

    • In entrata: specifica se la regola della policy del firewall si applica al traffico in entrata. Per saperne di più, consulta Regole in entrata.
    • In uscita: specifica se la regola si applica al traffico in uscita. Per saperne di più, consulta Regole in uscita.
  • Priorità: un numero intero univoco che determina l'ordine di valutazione delle regole all'interno di una policy. I numeri interi più bassi indicano le priorità più alte. Per saperne di più, consulta Priorità.

  • Criteri: condizioni di corrispondenza per un pacchetto di rete, come protocolli, indirizzi IP e numeri di porta.

  • Tipo di destinazione: il tipo di Google Cloud risorsa protetta dalla regola firewall. Puoi configurare le regole delle policy del firewall in modo che si applichino alle istanze di macchine virtuali (VM) (impostazione predefinita) o ai proxy Envoy gestiti utilizzati dai bilanciatori del carico delle applicazioni interni e dai bilanciatori del carico di rete con proxy interno (anteprima).

  • Destinazione: applica la regola a destinazioni specifiche.

  • Origine: obbligatoria per le regole in entrata e facoltativa per le regole in uscita. Per saperne di più, consulta Origini.

  • Destinazione: obbligatoria per le regole in uscita e facoltativa per le regole in entrata. Per saperne di più, consulta Destinazioni.

  • Protocollo e porte: il protocollo di comunicazione e le porte di destinazione. Per saperne di più, consulta Protocolli e porte.

  • Azione: l'azione che Cloud NGFW esegue quando un pacchetto di rete corrisponde ai criteri della regola. Per saperne di più, consulta Azione in caso di corrispondenza.

Per esplorare tutti i componenti delle regole per una rete VPC standard, consulta Componenti delle regole delle policy del firewall.

Livelli di Cloud NGFW

Google Cloud organizza le funzionalità di Cloud NGFW in più livelli per soddisfare diversi requisiti di sicurezza e prezzi. Per saperne di più, consulta Livelli di Cloud NGFW.

Ispezione a livello di rete

Per la protezione di base, Cloud NGFW ispeziona il traffico di rete a livello 3 e 4 del modello Open Systems Interconnection (OSI).

Tutti i livelli di Cloud NGFW utilizzano il filtro con stato distribuito di livello 3 e 4. Il firewall monitora gli stati delle connessioni attive e valuta i pacchetti rispetto a una tabella di monitoraggio delle connessioni.

Ispezione a livello di applicazione

Per una protezione avanzata, Cloud NGFW può ispezionare il traffico a livello di applicazione (livello 7) del modello OSI. Questa ispezione consente al firewall di prendere decisioni in base ai dati a livello di applicazione, anziché solo agli indirizzi IP e alle porte. Esempi di ispezione a livello di applicazione includono servizi come il servizio di filtro degli URL e il servizio di rilevamento e prevenzione delle intrusioni. Le funzionalità di ispezione a livello di applicazione sono disponibili solo nel livello Cloud Next Generation Firewall Enterprise. Per saperne di più, consulta Panoramica dell'ispezione a livello di applicazione.

Passaggi successivi