Termini chiave

Questa pagina fornisce la terminologia chiave applicabile a Cloud Next Generation Firewall. Esamina questi termini per comprendere meglio il funzionamento di Cloud NGFW e i concetti su cui si basa.

Gruppi di indirizzi

I gruppi di indirizzi sono una raccolta logica di intervalli di indirizzi IPv4 o IPv6 in formato CIDR. Puoi utilizzare i gruppi di indirizzi per definire origini o destinazioni coerenti a cui fanno riferimento molte regole firewall. Per saperne di più sui gruppi di indirizzi, consulta Gruppi di indirizzi per le norme firewall.

Formato CIDR

Il formato o la notazione Classless Inter-Domain Routing (CIDR) è un metodo per rappresentare un indirizzo IP e la relativa subnet. È un'alternativa alla scrittura di un'intera subnet mask. È composto da un indirizzo IP, seguito da una barra (/) e da un numero. Il numero indica il numero di bit dell'indirizzo IP che definiscono la parte di rete.

Cloud NGFW

Cloud Next Generation Firewall è un servizio firewall completamente distribuito con funzionalità di protezione avanzate, microsegmentazione e copertura pervasiva per proteggere i tuoi carichi di lavoro Google Cloud da attacchi interni ed esterni. Cloud NGFW è disponibile in tre livelli: Cloud Next Generation Firewall Essentials, Cloud Next Generation Firewall Standard e Cloud Next Generation Firewall Enterprise. Per saperne di più, consulta la panoramica di Cloud NGFW.

Cloud NGFW Essentials

Cloud Next Generation Firewall Essentials è il servizio firewall di base offerto da Google Cloud. Include funzionalità come le policy firewall di rete globali e regionali, i tag regolati da Identity and Access Management (IAM), i gruppi di indirizzi e le regole firewall di Virtual Private Cloud (VPC). Per saperne di più, consulta la panoramica di Cloud NGFW Essentials.

Cloud NGFW Enterprise

Cloud Next Generation Firewall Enterprise offre funzionalità di sicurezza avanzate di livello 7 che proteggono i tuoi workload Google Cloud da minacce e attacchi dannosi. Include un servizio di rilevamento e prevenzione delle intrusioni con intercettazione e decrittografia Transport Layer Security (TLS), che offre il rilevamento e la prevenzione delle minacce da malware, spyware e attacchi command-and-control sulla tua rete.

Cloud NGFW Standard

Cloud NGFW Standard estende le funzionalità di Cloud NGFW Essentials per fornire funzionalità avanzate che consentono di proteggere l'infrastruttura cloud da attacchi dannosi. Include funzionalità come Threat Intelligence per le regole dei criteri firewall, oggetti di nome di dominio completo (FQDN) e oggetti di geolocalizzazione nelle regole dei criteri firewall.

Endpoint firewall

Un endpoint firewall è una risorsa Cloud NGFW che abilita funzionalità di protezione avanzata di livello 7, come il servizio di rilevamento e prevenzione delle intrusioni, nella tua rete. Per saperne di più, consulta Panoramica dell'endpoint firewall.

Regole firewall

Le regole firewall sono i componenti di base della sicurezza della rete. Una regola firewall controlla il traffico in entrata o in uscita da/verso un'istanza di macchina virtuale (VM). Per impostazione predefinita, il traffico in entrata è bloccato. Per saperne di più, consulta Policy firewall.

Logging delle regole firewall VPC

Il logging delle regole firewall di VPC consente di controllare, verificare e analizzare gli effetti delle regole firewall. Ad esempio, puoi determinare se una regola firewall progettata per negare il traffico funziona come previsto. Il logging delle regole firewall VPC è utile anche se devi determinare quante connessioni sono interessate da una determinata regola firewall. Per saperne di più, consulta Logging delle regole firewall VPC.

Policy firewall

I criteri firewall consentono di raggruppare diverse regole firewall in modo da poterle aggiornare tutte insieme, con un controllo efficace mediante ruoli IAM. I criteri firewall sono di tre tipi: criteri firewall gerarchici, criteri firewall di rete globali e criteri firewall di rete regionali. Per saperne di più, consulta Criteri firewall.

Regole delle policy firewall

Quando crei una regola di policy del firewall, specifichi un insieme di componenti che definiscono cosa fa la regola. Questi componenti specificano la direzione del traffico, l'origine, la destinazione e le caratteristiche del livello 4, come il protocollo e la porta di destinazione (se il protocollo utilizza le porte). Questi componenti sono chiamati regole delle policy del firewall. Per saperne di più, consulta Regole delle policy firewall.

Oggetti FQDN

Un nome di dominio completo (FQDN) è il nome completo di una risorsa specifica su internet. Ad esempio, cloud.google.com. Gli oggetti FQDN nelle regole dei criteri firewall filtrano il traffico in entrata o in uscita da o verso un nome di dominio specifico. In base alla direzione del traffico, gli indirizzi IP associati ai nomi di dominio vengono confrontati con l'origine o la destinazione del traffico. Per maggiori informazioni, vedi Oggetti FQDN.

Oggetti di geolocalizzazione

Utilizza gli oggetti di geolocalizzazione nelle regole delle policy firewall per filtrare il traffico IPv4 esterno e IPv6 esterno in base a regioni o località geografiche specifiche. Puoi utilizzare gli oggetti di geolocalizzazione insieme ad altri filtri di origine o destinazione. Per informazioni, vedi Oggetti di geolocalizzazione.

Criteri firewall di rete globali

I criteri firewall di rete globali consentono di raggruppare le regole in un oggetto policy applicabile a tutte le regioni (globale). Dopo aver associato una policy firewall di rete globale a una rete VPC, le regole della policy possono essere applicate alle risorse nella rete VPC. Per le specifiche e i dettagli della policy del firewall di rete globale, consulta Policy del firewall di rete globali.

Criteri firewall gerarchici

Le policy firewall gerarchiche consentono di raggruppare le regole in un oggetto policy che può essere applicato a molte reti VPC in uno o più progetti. Puoi associare le policy del firewall gerarchiche a un'intera organizzazione o a singole cartelle. Per le specifiche e i dettagli delle policy del firewall gerarchiche, vedi Policy del firewall gerarchiche.

Identity and Access Management

IAM diGoogle Cloudconsente di concedere un accesso granulare a risorse Google Cloud specifiche e impedisce l'accesso ad altre risorse. IAM consente di adottare il principio di sicurezza del privilegio minimo, secondo cui nessuno dovrebbe disporre di più autorizzazioni di quelle di cui ha effettivamente bisogno. Per saperne di più, consulta la panoramica di IAM.

Regole implicite

Ogni rete VPC ha due regole firewall IPv4 implicite. Se IPv6 è abilitato in una rete VPC, la rete ha anche due regole firewall IPv6 implicite. Queste regole non vengono mostrate nella consoleGoogle Cloud .

Le regole firewall IPv4 implicite sono presenti in tutte le reti VPC, indipendentemente da come vengono create o se sono reti VPC in modalità automatica o personalizzata. La rete predefinita ha le stesse regole implicite. Per saperne di più, consulta Regole implicite.

Servizio di rilevamento e prevenzione delle intrusioni

Il servizio di rilevamento e prevenzione delle intrusioni di Cloud NGFW monitora costantemente il traffico dei tuoi Google Cloud workload per rilevare eventuali attività dannose e adotta misure preventive per evitarle. L'attività dannosa può includere minacce come intrusioni, malware, spyware e attacchi command-and-control alla tua rete. Per saperne di più, Panoramica del servizio di rilevamento e prevenzione delle intrusioni.

Policy del firewall di rete

I criteri firewall di rete, noti anche come criteri firewall, consentono di raggruppare diverse regole firewall in modo da poterle aggiornare tutte insieme, con un controllo efficace mediante ruoli IAM. Queste policy contengono regole che possono negare o consentire esplicitamente le connessioni, come le regole firewall VPC. Ciò include i criteri firewall di rete globali e regionali. Per saperne di più, consulta Policy firewall.

Tag di rete

Un tag di rete è una stringa di caratteri aggiunta a un campo di tag in una risorsa come le istanze VM di Compute Engine o i modelli di istanza. Un tag non è una risorsa separata, quindi non puoi crearlo separatamente. Tutte le risorse con questa stringa vengono considerate come se avessero quel tag. I tag ti consentono di applicare regole firewall VPC e route a istanze VM specifiche.

Mirroring pacchetto

Mirroring pacchetto, un servizio out-of-band, clona il traffico di rete in base ai criteri di filtro specificati nelle regole di mirroring della policy firewall. Questo traffico sottoposto a mirroring viene quindi inviato ai deployment dell'appliance virtuale di terze parti per l'ispezione approfondita dei pacchetti. Utilizzi il mirroring pacchetto per analizzare il traffico di rete dei tuoi carichi di lavoro su larga scala. Per saperne di più, consulta Panoramica dell'integrazione out-of-band.

Ereditarietà delle policy

Per impostazione predefinita, le policy dell'organizzazione vengono ereditate dai discendenti delle risorse su cui applichi la policy. Ad esempio, se applichi una policy a una cartella, Google Cloud applica la policy a tutti i progetti contenuti nella cartella. Per scoprire di più su questo comportamento e su come modificarlo, consulta Regole di valutazione della gerarchia.

Priorità

La priorità di una regola in una policy del firewall è un numero intero compreso tra 0 e 2.147.483.647 inclusi. I numeri interi più bassi indicano le priorità più alte. Per saperne di più, consulta la sezione Priorità.

Criteri firewall di rete regionali

Le policy firewall di rete regionali consentono di raggruppare le regole in un oggetto policy applicabile a una regione specifica. Dopo aver associato una policy firewall di rete regionale a una rete VPC, le regole della policy possono essere applicate alle risorse all'interno di quella regione della rete VPC. Per specifiche e dettagli delle policy firewall regionali, vedi Policy firewall di rete regionali.

Profili protetti

I profili sicuri o di sicurezza ti aiutano a definire i criteri di ispezione del livello 7 per le tue risorseGoogle Cloud . Si tratta di strutture di policy generiche utilizzate dagli endpoint firewall per analizzare il traffico intercettato al fine di fornire servizi a livello di applicazione, come il rilevamento e la prevenzione delle intrusioni. Per ulteriori informazioni, consulta Panoramica del profilo di sicurezza.

Gruppi di profili di sicurezza

Un gruppo di profili di sicurezza è un contenitore per i profili di sicurezza. Una regola della policy firewall fa riferimento a un gruppo di profili di sicurezza per attivare l'ispezione di livello 7, come il servizio di rilevamento e prevenzione delle intrusioni, sulla tua rete. Per saperne di più, consulta la Panoramica dei gruppi di profili di sicurezza.

Server Name Indication

L'indicazione del nome del server (SNI) è un'estensione del protocollo TLS per le reti di computer. SNI consente a più siti HTTPS di condividere un certificato IP e TLS, il che è più efficiente ed economico perché non sono necessari certificati individuali per ogni sito web sullo stesso server.

Tag

La Google Cloud gerarchia delle risorse è un modo per organizzare le risorse in una struttura ad albero. Questa gerarchia ti aiuta a gestire le risorse su larga scala, ma modella solo alcune dimensioni aziendali, tra cui struttura organizzativa, regioni, tipi di carico di lavoro e centri di costo. La gerarchia non offre la flessibilità necessaria per combinare più dimensioni aziendali.

I tag forniscono un modo per creare annotazioni per le risorse e, in alcuni casi, consentire o negare in modo condizionale le policy a seconda che una risorsa abbia un tag specifico. Puoi utilizzare i tag e l'applicazione condizionale dei criteri per avere un controllo granulare in tutta la gerarchia delle risorse.

I tag sono diversi dai tag di rete. Per saperne di più sulle differenze tra tag e tag di rete, consulta Confronto tra tag e tag di rete.

Threat intelligence

Le regole delle policy firewall ti consentono di proteggere la rete consentendo o bloccando il traffico in base ai dati di Threat Intelligence. I dati di Threat Intelligence includono elenchi di indirizzi IP basati sui nodi di uscita Tor, indirizzi IP dannosi noti, motori di ricerca e intervalli di indirizzi IP cloud pubblico. Per informazioni, vedi Threat Intelligence per le regole delle policy firewall.

Firma della minaccia

Il rilevamento delle minacce basato su firme è uno dei meccanismi più comunemente utilizzati per identificare comportamenti dannosi ed è quindi ampiamente utilizzato per prevenire attacchi basati sulla rete. Le funzionalità di rilevamento delle minacce di Cloud NGFW si basano sulle tecnologie di prevenzione delle minacce di Palo Alto Networks. Per saperne di più, consulta la Panoramica delle firme delle minacce.

Ispezione Transport Layer Security

Cloud NGFW offre un servizio di intercettazione e decriptazione TLS che può ispezionare il traffico criptato e non criptato per rilevare attacchi e interruzioni di rete. Le connessioni TLS vengono ispezionate sia in entrata che in uscita, incluso il traffico da e verso internet e il traffico all'interno di Google Cloud.

Cloud NGFW decripta il traffico TLS per consentire all'endpoint firewall di eseguire l'ispezione di livello 7, ad esempio il servizio di rilevamento e prevenzione delle intrusioni, nella tua rete. Dopo l'ispezione, Cloud NGFW cripta nuovamente il traffico prima di inviarlo alla destinazione. Per saperne di più, consulta la panoramica dell'ispezione TLS.

Tag per il firewall

I tag sono anche chiamati tag protetti. I tag consentono di definire le origini e le destinazioni nelle policy firewall di rete globali e regionali. I tag sono diversi dai tag di rete. I tag di rete sono semplici stringhe, non chiavi e valori, e non offrono alcun tipo di controllo dell'accesso dell'accesso. Per saperne di più sulle differenze tra tag e tag di rete e sui prodotti che supportano ciascuno, consulta Confronto tra tag e tag di rete.

Regole firewall VPC

Le regole firewall VPC consentono o negano le connessioni da o verso le istanze VM nella tua rete VPC. Le regole firewall VPC abilitate vengono sempre applicate, il che contribuisce a proteggere le istanze a prescindere dalla configurazione e dal sistema operativo, anche se non sono state avviate. Queste regole si applicano a un determinato progetto e a una determinata rete. Per maggiori informazioni, consulta Regole firewall VPC.

Passaggi successivi