Questo documento descrive le best practice per l'utilizzo del servizio di filtro degli URL con Cloud Next Generation Firewall. Utilizza questi consigli per creare policy firewall efficaci e gestibili che contribuiscano a prevenire azioni di filtro indesiderate. Questo documento presuppone la conoscenza dei concetti del servizio di filtro degli URL.
Best practice
La tabella seguente elenca le best practice per l'utilizzo del servizio di filtro degli URL:
| Argomento o caso d'uso | Funzionalità o componente della regola di Cloud NGFW | Descrizione |
|---|---|---|
| Supporto per protocollo | Protocolli e porte | Specifica il protocollo TCP e le porte 80 e 443 in una regola della policy del firewall che applica il filtro degli URL.Per saperne di più, consulta Specificare il protocollo e le porte di destinazione. |
| Valutazione delle regole firewall | Priorità delle regole firewall | Inserisci le regole che applicano il filtro degli URL con le priorità più basse in una policy del firewall. Per saperne di più, consulta Inserire le regole di filtro degli URL con le priorità più basse. |
| Segmentazione del traffico | Contesti di rete | Utilizza i contesti di rete per creare regole della policy del firewall di filtro degli URL separate per il traffico est-ovest (non vincolato a internet) e il traffico vincolato a internet. Per saperne di più, consulta Utilizzare i contesti di rete per separare il traffico. |
| Eccezioni alle norme | Oggetti di nome di dominio completo (FQDN) | Per creare un'eccezione di pinhole che consenta a un'origine specifica di accedere a un sito web, utilizza un oggetto FQDN di destinazione e un profilo di sicurezza di filtro degli URL nella regola della policy del firewall. Per saperne di più, consulta Utilizzare i nomi di dominio completi per aggiungere eccezioni di pinhole. |
| Ispezione selettiva | Per ispezionare selettivamente il traffico in base ai domini di destinazione, utilizza gli oggetti FQDN
anziché i profili di sicurezza di filtro degli URL. Per saperne di più, consulta Utilizzare i nomi di dominio completi per l'ispezione selettiva del traffico. |
|
| Progettazione delle policy | Per soddisfare i requisiti temporanei, evita di creare regole della policy del firewall di filtro degli URL che utilizzano una singola risorsa come origine. Per saperne di più, consulta Evitare di creare regole basate su una singola risorsa. |
|
| Supporto per protocollo | Utilizza il filtro basato su FQDN per i protocolli non HTTP. | |
| Gerarchia delle policy | Policy firewall di rete globali e policy firewall di rete regionali | Utilizza il filtro degli URL nelle policy firewall di rete globali o regionali e non nelle policy firewall gerarchiche. Per saperne di più, consulta Evitare di utilizzare il filtro degli URL nelle policy firewall gerarchiche. |
| Scalabilità | Profili di sicurezza di filtro degli URL | Per rimanere entro il limite supportato per il numero di domini in un profilo di sicurezza di filtro degli URL, crea profili di sicurezza separati che raggruppano i domini in base a un criterio specifico. Per saperne di più, consulta Creare profili di sicurezza separati per la scalabilità. |
Specificare il protocollo e le porte di destinazione
Cloud NGFW applica l'azione allow o deny predefinita in un profilo di sicurezza di filtro degli URL al traffico non HTTP e non HTTPS che corrisponde a una regola della policy del firewall che applica il filtro degli URL. Specifica il protocollo TCP e le porte 80 e 443 in una regola della policy del firewall.
La specifica del protocollo e delle porte nella regola impedisce una corrispondenza con il traffico non HTTP e non HTTPS e, di conseguenza, impedisce che l'azione predefinita consenta o neghi involontariamente questo traffico.
Inserire le regole di filtro degli URL con le priorità più basse
Per assicurarti che le regole della policy del firewall che non utilizzano l'ispezione di livello 7 vengano valutate per prime, inserisci le regole che applicano i profili di sicurezza di filtro degli URL con le priorità più basse in una policy del firewall. Questo approccio impedisce che l'azione predefinita in un profilo di sicurezza di filtro degli URL consenta o neghi accidentalmente il traffico.
Ad esempio, per consentire a qualsiasi istanza di macchina virtuale (VM) di comunicare con www.example.com, crea un profilo di sicurezza di filtro degli URL che consenta questo URL.
Poi, aggiungi una regola con una priorità bassa, ad esempio 500, che applichi un
gruppo di profili di sicurezza con questo
profilo di sicurezza.
| Priorità | Direzione | Protocollo | Target | Origine | Destinazione | Porta di destinazione | Azione |
|---|---|---|---|---|---|---|---|
| 150 | In uscita | TCP | Tutti | 10.0.0.0/8 | 10.0.0.0/8 | 80, 443 | Consenti |
| 200 | In entrata | TCP | Tutti | Qualsiasi | 10.0.0.0/8 | 80, 443 | Consenti |
| 300 | In uscita | TCP | Tutti | Qualsiasi | 199.36.153.8/30 | 80, 443 | Consenti |
| 500 | In uscita | TCP | Tutti | Qualsiasi | Qualsiasi | 80, 443 | Applica un gruppo di profili di sicurezza con il profilo di sicurezza di filtro degli URL che consente l'URL www.example.com |
Utilizzare i contesti di rete per separare il traffico
L'azione predefinita di un profilo di sicurezza può consentire o negare il traffico che non corrisponde ai filtri URL definiti. Per evitare azioni predefinite indesiderate, utilizza i contesti di rete per creare regole della policy del firewall di filtro degli URL separate per il traffico est-ovest (non vincolato a internet) e il traffico vincolato a internet. I contesti di rete rendono più granulari i criteri di corrispondenza delle regole e, di conseguenza, impediscono che l'azione predefinita consenta o neghi accidentalmente il traffico.
Nell'esempio seguente, il contesto di rete non internet impedisce alla regola con priorità 500 di corrispondere e di consentire o negare accidentalmente il traffico vincolato a internet, che la regola con priorità 600 gestisce separatamente.
| Priorità | Direzione | Contesto di rete | Protocollo | Target | Origine | Destinazione | Porta di destinazione | Azione |
|---|---|---|---|---|---|---|---|---|
| 500 | In uscita | Diverso da internet | TCP | Tutti | Qualsiasi | Qualsiasi | 80, 443 | Applica un gruppo di profili di sicurezza con il profilo di sicurezza di filtro degli URL 1 |
| 600 | In uscita | Internet | TCP | Tutti | Qualsiasi | Qualsiasi | 80, 443 | Applica un gruppo di profili di sicurezza con il profilo di sicurezza di filtro degli URL 2 |
Utilizzare gli oggetti FQDN
Utilizza gli oggetti FQDN di destinazione insieme ai profili di sicurezza di filtro degli URL per evitare corrispondenze di traffico accidentali per le regole della policy del firewall e, di conseguenza, impedire che l'azione predefinita del profilo di sicurezza consenta o neghi il traffico indesiderato.
Utilizzare i nomi di dominio completi per aggiungere eccezioni di pinhole
Un'eccezione di pinhole in un firewall consente a un tipo specifico di traffico di passare attraverso un perimetro di sicurezza altrimenti chiuso. Per creare un'eccezione che consenta a un'origine specifica di accedere a un sito web, utilizza un oggetto FQDN di destinazione e un profilo di sicurezza di filtro degli URL nella regola della policy del firewall.
Una regola di eccezione di pinhole corrisponde al traffico dall'origine all'IP FQDN prima di applicare il filtro degli URL. Il resto del traffico dall'origine non corrisponde, impedendo che l'azione predefinita del profilo di sicurezza influenzi il traffico non correlato.
Nell'esempio seguente, la regola corrisponde al traffico dall'intervallo IP specificato all'indirizzo IP di example.com, quindi applica il filtro degli URL al traffico corrispondente.
| Priorità | Direzione | Contesto di rete | Protocollo | Target | Origine | Destinazione | Porta di destinazione | Azione |
|---|---|---|---|---|---|---|---|---|
| 100 | In uscita | Internet | TCP | Tutti | 192.168.1.0/24 | FQDN = example.com |
80, 443 | Applica un gruppo di profili di sicurezza con il profilo di sicurezza di filtro degli URL che consente l'URL www.example.com |
Utilizzare i nomi di dominio completi per l'ispezione selettiva del traffico
Per ispezionare selettivamente il traffico in base ai domini di destinazione, utilizza gli oggetti FQDN anziché i profili di sicurezza di filtro degli URL.
I profili di sicurezza di filtro degli URL non supportano l'ispezione selettiva del traffico. Se utilizzi i profili di sicurezza di filtro degli URL per la selezione del traffico, l'azione predefinita del profilo potrebbe consentire o negare involontariamente il traffico.
Ad esempio, per ispezionare il traffico verso example.com alla ricerca di minacce senza influire sul traffico verso examplepetstore.com, crea regole della policy del firewall separate con priorità 100 e 200. Per ogni regola, utilizza un oggetto FQDN di destinazione e applica il profilo di sicurezza di prevenzione delle minacce solo alla regola con la destinazione example.com. Questo approccio impedisce che il traffico verso examplepetstore.com corrisponda alla regola con priorità 100.
La tabella seguente mostra la configurazione errata:
| Priorità | Direzione | Protocollo | Target | Origine | Destinazione | Porta di destinazione | Azione |
|---|---|---|---|---|---|---|---|
| 100 | In uscita | TCP | Tutti | Qualsiasi | Qualsiasi | 80, 443 | Applica un gruppo di profili di sicurezza con il profilo di sicurezza di filtro degli URL 1 che consente l'URL example.com e un profilo di sicurezza di prevenzione delle minacce che ispeziona il traffico verso l'URL example.com |
| 200 | In uscita | TCP | Tutti | Qualsiasi | Qualsiasi | 80, 443 | Applica un gruppo di profili di sicurezza con il profilo di sicurezza di filtro degli URL 2 che consente l'URL examplepetstore.com |
La tabella seguente mostra la configurazione corretta:
| Priorità | Direzione | Protocollo | Target | Origine | Destinazione | Porta di destinazione | Azione |
|---|---|---|---|---|---|---|---|
| 100 | In uscita | TCP | Tutti | Qualsiasi | FQDN = example.com |
80, 443 | Applica un gruppo di profili di sicurezza con il profilo di sicurezza di prevenzione delle minacce che ispeziona il traffico verso l'URL example.com |
| 200 | In uscita | TCP | Tutti | Qualsiasi | FQDN = examplepetstore.com |
80, 443 | Applica un gruppo di profili di sicurezza con il profilo di sicurezza di filtro degli URL che consente l'URL examplepetstore.com |
Evitare di creare regole basate su una singola risorsa
Per soddisfare i requisiti temporanei, evita di creare regole della policy del firewall con il filtro degli URL che utilizzano una singola risorsa come origine.
Se conservi queste regole, l'azione predefinita di un profilo di sicurezza di filtro degli URL potrebbe consentire o negare il traffico indesiderato. Se non le elimini immediatamente, queste regole possono anche portare a un'espansione delle policy nel tempo.
Nell'esempio seguente, una regola con una priorità più elevata di 100 corrisponde e consente il traffico da 192.168.1.1 a examplepetstore.com. Questa valutazione viene eseguita prima che il traffico raggiunga la regola con priorità 101, configurata per bloccare il traffico.
| Priorità | Direzione | Contesto di rete | Protocollo | Target | Origine | Destinazione | Porta di destinazione | Azione |
|---|---|---|---|---|---|---|---|---|
| 100 | In uscita | Internet | TCP | Tutti | 192.168.1.1/32 | Qualsiasi | 80, 443 | Applica un gruppo di profili di sicurezza con il profilo di sicurezza di filtro degli URL 1 che blocca l'URL example.com |
| 101 | In uscita | Diverso da internet | TCP | Tutti | 192.168.1.0/24 | Qualsiasi | 80, 443 | Applica un gruppo di profili di sicurezza con il profilo di sicurezza di filtro degli URL 2 che blocca l'URL examplepetstore.com e consente l'URL example.org |
Tuttavia, se devi conservare una regola di questo tipo, utilizza un oggetto FQDN di destinazione.
Ad esempio, per evitare di abbinare il traffico da 192.168.1.1 a examplepetstore.com, aggiungi l'oggetto FQDN example.com alla regola con priorità 100.
| Priorità | Direzione | Contesto di rete | Protocollo | Target | Origine | Destinazione | Porta di destinazione | Azione |
|---|---|---|---|---|---|---|---|---|
| 100 | In uscita | Internet | TCP | Tutti | 192.168.1.1/32 | FQDN = example.com |
80, 443 | Applica un gruppo di profili di sicurezza con il profilo di sicurezza di filtro degli URL 1 che blocca l'URL example.com |
| 101 | In uscita | Diverso da internet | TCP | Tutti | 192.168.1.0/24 | Qualsiasi | 80, 443 | Applica un gruppo di profili di sicurezza con il profilo di sicurezza di filtro degli URL 2 che blocca l'URL examplepetstore.com e consente l'URL example.org |
Utilizzare il filtro basato su FQDN per i protocolli non HTTP
Utilizza il filtro basato su FQDN per i protocolli non HTTP e non HTTPS, come RDP o SSH. Il filtro degli URL funziona solo con il traffico HTTP o HTTPS.
Evitare di utilizzare il filtro degli URL nelle policy firewall gerarchiche
Per evitare corrispondenze di traffico indesiderate, evita di utilizzare i profili di sicurezza di filtro degli URL nelle policy firewall gerarchiche. Utilizza invece i profili di sicurezza di filtro degli URL nelle policy firewall di rete globali o regionali.
L'utilizzo di un profilo di sicurezza di filtro degli URL in una regola della policy del firewall gerarchica può far sì che il traffico per un'ampia gamma di target corrisponda a questa regola. Questa ampia corrispondenza può far sì che l'azione predefinita del profilo di sicurezza consenta o neghi involontariamente il traffico.
Creare profili di sicurezza separati per la scalabilità
Per rimanere entro il limite supportato per il numero di domini o stringhe di corrispondenza in un profilo di sicurezza di filtro degli URL, crea profili di sicurezza separati che raggruppano i domini in base a un criterio specifico. Ad esempio, raggruppa i domini in base al tipo di traffico o alla posizione e alla natura del dominio di destinazione, ad esempio traffico est-ovest (non vincolato a internet) e traffico vincolato a internet.
Questa segmentazione contribuisce a garantire prestazioni e gestibilità ottimali quando utilizzi molti domini.
Ad esempio, crea un profilo per i domini interni o Google Cloud e un altro per i domini esterni sulla rete internet pubblica. Un profilo separato per i domini interni mantiene distinti il routing del traffico interno e le policy di sicurezza. Un profilo separato per i domini esterni ti consente di applicare misure di sicurezza appropriate, come feed di threat intelligence o controlli in uscita più rigorosi, al traffico esterno.
Passaggi successivi
- Servizio di filtro degli URL
- Creare e gestire profili di sicurezza con filtro degli URL
- Creare e gestire profili di sicurezza per la prevenzione delle minacce
- Creare e gestire gruppi di profili di sicurezza
- Utilizzare regole e policy firewall di rete globali
- Utilizzare regole e policy firewall di rete regionali