Puoi utilizzare Cloud Next Generation Firewall per proteggere i tuoi carichi di lavoro da minacce esterne provenienti da internet e da minacce interne all'interno della tua rete.
Questo documento definisce i concetti e i termini principali che spiegano come funziona Cloud NGFW e come valuta le regole.
Regole delle policy del firewall
In Cloud NGFW, una regola della policy del firewall è l'unità fondamentale della configurazione di sicurezza. Definisce i criteri per consentire, negare o ispezionare il traffico. Per saperne di più, consulta Regole delle policy del firewall.
Policy firewall
Una policy del firewall è un container che raggruppa più regole firewall. Per saperne di più, consulta Policy firewall .
Cloud NGFW supporta i seguenti tipi di policy, a seconda della loro posizione nella gerarchia delle risorse:
- Policy firewall gerarchiche: queste policy contengono regole definite a livello di organizzazione o cartella per più reti Virtual Private Cloud (VPC) in uno o più progetti.
- Policy firewall di rete globali: queste policy contengono regole per tutte le regioni di una rete VPC specifica.
- Policy firewall di rete regionali: queste policy contengono regole per una regione specifica di una rete VPC.
- Policy firewall di sistema regionali : queste policy contengono regole gestite da Google per una regione specifica di una rete VPC. Non puoi modificare una regola in una policy del firewall di sistema regionale.
Quando crei una policy del firewall gerarchica o una policy del firewall di rete, Google Cloud aggiunge alcune regole predefinite alla policy.
Associazione di policy del firewall
Prima di poter utilizzare le regole in una policy del firewall, devi associare la policy a una risorsa. Il metodo di associazione dipende dal tipo di policy:
- Policy firewall gerarchiche: associa le policy gerarchiche a un' Google Cloud organizzazione o a una cartella.
- Policy del firewall di rete globali: associa le policy del firewall di rete globali a una o più reti VPC nello stesso progetto della policy del firewall.
- Policy del firewall di rete regionali: associa le policy del firewall di rete regionali a una singola regione di una o più reti VPC nello stesso progetto della policy del firewall.
Dopo aver associato una policy del firewall a una risorsa, le regole della policy vengono applicate al traffico corrispondente.
Come funziona Cloud NGFW
Cloud NGFW valuta le regole delle policy del firewall, le regole firewall VPC e le azioni implicite. Per saperne di più, consulta Ordine di valutazione per policy e regole firewall.
Regole firewall VPC
Le regole firewall VPC consentono di gestire il traffico a livello di rete (livello 3 e livello 4) per una singola rete VPC.
Le regole firewall VPC offrono meno funzionalità rispetto alle regole delle policy del firewall. Come best practice, utilizza le policy firewall anziché le regole firewall VPC. Per saperne di più, consulta Regole firewall VPC.
Componenti principali di una regola della policy del firewall
Per configurare una regola della policy del firewall, definisci i seguenti componenti:
Direzione: specifica la direzione del flusso di traffico dal punto di vista della risorsa di destinazione.
- In entrata: specifica se la regola della policy del firewall si applica al traffico in entrata. Per saperne di più, consulta Regole in entrata.
- In uscita: specifica se la regola si applica al traffico in uscita. Per saperne di più, consulta Regole in uscita.
Priorità: un numero intero univoco che determina l'ordine di valutazione delle regole all'interno di una policy. I numeri interi più bassi indicano le priorità più alte. Per saperne di più, consulta Priorità.
Criteri: condizioni di corrispondenza per un pacchetto di rete, come protocolli, indirizzi IP e numeri di porta.
Tipo di destinazione: il tipo di Google Cloud risorsa protetta dalla regola firewall. Puoi configurare le regole delle policy del firewall in modo che si applichino alle istanze di macchine virtuali (VM) (impostazione predefinita) o ai proxy Envoy gestiti utilizzati dai bilanciatori del carico delle applicazioni interni e dai bilanciatori del carico di rete con proxy interno (anteprima).
Destinazione: applica la regola a destinazioni specifiche.
Origine: obbligatoria per le regole in entrata e facoltativa per le regole in uscita. Per saperne di più, consulta Origini.
Destinazione: obbligatoria per le regole in uscita e facoltativa per le regole in entrata. Per saperne di più, consulta Destinazioni.
Protocollo e porte: il protocollo di comunicazione e le porte di destinazione. Per saperne di più, consulta Protocolli e porte.
Azione: l'azione che Cloud NGFW esegue quando un pacchetto di rete corrisponde ai criteri della regola. Per saperne di più, consulta Azione in caso di corrispondenza.
Per esplorare tutti i componenti delle regole per una rete VPC standard, consulta Componenti delle regole delle policy del firewall.
Livelli di Cloud NGFW
Google Cloud organizza le funzionalità di Cloud NGFW in più livelli per soddisfare diversi requisiti di sicurezza e prezzi. Per saperne di più, consulta Livelli di Cloud NGFW.
Ispezione a livello di rete
Per la protezione di base, Cloud NGFW ispeziona il traffico di rete a livello 3 e 4 del modello Open Systems Interconnection (OSI).
Tutti i livelli di Cloud NGFW utilizzano il filtro con stato distribuito di livello 3 e 4. Il firewall monitora gli stati delle connessioni attive e valuta i pacchetti rispetto a una tabella di monitoraggio delle connessioni.
Ispezione a livello di applicazione
Per una protezione avanzata, Cloud NGFW può ispezionare il traffico a livello di applicazione (livello 7) del modello OSI. Questa ispezione consente al firewall di prendere decisioni in base ai dati a livello di applicazione, anziché solo agli indirizzi IP e alle porte. Esempi di ispezione a livello di applicazione includono servizi come il servizio di filtro degli URL e il servizio di rilevamento e prevenzione delle intrusioni. Le funzionalità di ispezione a livello di applicazione sono disponibili solo nel livello Cloud Next Generation Firewall Enterprise. Per saperne di più, consulta Panoramica dell'ispezione a livello di applicazione.
Passaggi successivi
- Per informazioni concettuali su Cloud NGFW, consulta Panoramica di Cloud NGFW.
- Per informazioni concettuali sulle regole delle policy del firewall, consulta Componenti delle regole delle policy del firewall.
- Per creare, aggiornare, monitorare o eliminare le regole firewall VPC, consulta Utilizzare le regole firewall VPC.
- Per determinare i costi, consulta Prezzi di Cloud NGFW.