Es posible que parte o toda la información de esta página no se aplique a Cloud de Confiance de S3NS. Para obtener más información, consulta Diferencias con respecto a Google Cloud.

Esta página se ha traducido con Cloud Translation API.

Términos clave

En esta página se proporciona la terminología clave que se aplica a Cloud Next Generation Firewall. Consulta estos términos para entender mejor cómo funciona Cloud NGFW y los conceptos en los que se basa.

Grupos de direcciones

Los grupos de direcciones son una colección lógica de intervalos de direcciones IPv4 o IPv6 en formato CIDR. Puedes usar grupos de direcciones para definir fuentes o destinos coherentes a los que hagan referencia muchas reglas de firewall. Para obtener más información sobre los grupos de direcciones, consulta Grupos de direcciones para políticas de firewall.

Formato CIDR

El formato o la notación de enrutamiento de interdominios sin clases (CIDR) es un método para representar una dirección IP y su subred. Es una alternativa a escribir una máscara de subred completa. Consta de una dirección IP, seguida de una barra inclinada (/) y un número. El número indica el número de bits de la dirección IP que definen la parte de la red.

Cloud NGFW

Cloud Next Generation Firewall es un servicio de cortafuegos totalmente distribuido con funciones de protección avanzadas, microsegmentación y cobertura generalizada para proteger tus cargas de trabajo frente a ataques internos y externos. Cloud de Confiance by S3NS Cloud NGFW está disponible en dos niveles: Cloud Next Generation Firewall Essentials y Cloud Next Generation Firewall Standard. Para obtener más información, consulta la información general sobre Cloud NGFW.

Pasos esenciales de Cloud NGFW

Cloud Next Generation Firewall Essentials es el servicio de cortafuegos básico que ofrece Cloud de Confiance. Incluye funciones y prestaciones como políticas de cortafuegos de red globales y regionales, etiquetas gobernadas por la gestión de identidades y accesos (IAM), grupos de direcciones y reglas de cortafuegos de nube privada virtual (VPC). Para obtener más información, consulta la descripción general de Cloud NGFW Essentials.

Cloud NGFW Standard

Cloud NGFW Standard amplía las funciones de Cloud NGFW Essentials para ofrecer funciones mejoradas que te ayuden a proteger tu infraestructura de nube frente a ataques maliciosos.

Incluye funciones como objetos de nombre de dominio completo (FQDN) y objetos de geolocalización en las reglas de las políticas de cortafuegos.

Reglas de cortafuegos

Las reglas de cortafuegos son los elementos básicos de la seguridad de red. Una regla de cortafuegos controla el tráfico entrante o saliente de una instancia de máquina virtual (VM). De forma predeterminada, el tráfico entrante está bloqueado. Para obtener más información, consulta Políticas de cortafuegos.

Almacenamiento de registros de reglas de cortafuegos

El almacenamiento de registros de reglas de cortafuegos te permite auditar, verificar y analizar los efectos de estas. Por ejemplo, puedes determinar si una regla de cortafuegos diseñada para denegar el tráfico funciona correctamente. El almacenamiento de registros de reglas de cortafuegos también es útil si necesitas determinar cuántas conexiones se ven afectadas por una regla de cortafuegos concreta. Para obtener más información, consulta Almacenamiento de registros de reglas de cortafuegos.

Políticas de cortafuegos

Las políticas de cortafuegos te permiten agrupar varias reglas de cortafuegos para que puedas actualizarlas todas a la vez, controladas de forma eficaz por roles de gestión de identidades y accesos. Hay tres tipos de políticas de cortafuegos: políticas de cortafuegos jerárquicas, políticas de cortafuegos de red globales y políticas de cortafuegos de red regionales. Para obtener más información, consulta Políticas de cortafuegos.

Reglas de políticas de cortafuegos

Cuando creas una regla de política de cortafuegos, especificas un conjunto de componentes que definen lo que hace la regla. Estos componentes especifican la dirección del tráfico, el origen, el destino y las características de la capa 4, como el protocolo y el puerto de destino (si el protocolo usa puertos). Estos componentes se denominan reglas de políticas de cortafuegos. Para obtener más información, consulta Reglas de la política de cortafuegos.

Objetos FQDN

Un nombre de dominio completo (FQDN) es el nombre completo de un recurso específico en Internet. Por ejemplo, cloud.google.com. Los objetos FQDN de las reglas de políticas de cortafuegos filtran el tráfico entrante o saliente desde o hacia un nombre de dominio específico. En función de la dirección del tráfico, las direcciones IP asociadas a los nombres de dominio se comparan con el origen o el destino del tráfico. Para obtener más información, consulta Objetos FQDN.

Objetos de geolocalización

Usa objetos de geolocalización en las reglas de la política de cortafuegos para filtrar el tráfico IPv4 externo e IPv6 externo en función de ubicaciones o regiones geográficas específicas. Puede usar objetos de geolocalización junto con otros filtros de origen o de destino. Para obtener más información, consulta Objetos de geolocalización.

Políticas de cortafuegos de red globales

Las políticas de cortafuegos de red globales te permiten agrupar reglas en un objeto de política aplicable a todas las regiones (global). Después de asociar una política de cortafuegos de red global a una red de VPC, las reglas de la política se pueden aplicar a los recursos de la red de VPC. Para consultar las especificaciones y los detalles de las políticas de cortafuegos de red globales, consulta Políticas de cortafuegos de red globales.

Políticas de cortafuegos jerárquicas

Las políticas de cortafuegos jerárquicas te permiten agrupar reglas en un objeto de política que se puede aplicar a muchas redes de VPC de uno o varios proyectos. Puedes asociar políticas de cortafuegos jerárquicas a toda una organización o a carpetas concretas. Para consultar las especificaciones y los detalles de las políticas de cortafuegos jerárquicas, consulta el artículo Políticas de cortafuegos jerárquicas.

Gestión de Identidades y Accesos

La gestión de identidades y accesos deCloud de Confiancete permite conceder acceso granular a recursos Cloud de Confiance específicos y ayuda a evitar el acceso a otros recursos. IAM te permite adoptar el principio de seguridad de mínimos accesos, que establece que nadie debe tener más permisos de los que realmente necesita. Para obtener más información, consulta la información general sobre IAM.

Reglas implícitas

Todas las redes de VPC tienen dos reglas de cortafuegos IPv4 implícitas. Si IPv6 está habilitado en una red de VPC, la red también tiene dos reglas de cortafuegos IPv6 implícitas. Estas reglas no se muestran en la consolaCloud de Confiance .

Las reglas de cortafuegos IPv4 implícitas están presentes en todas las redes de VPC, independientemente de cómo se creen las redes o de si son redes de VPC automáticas o personalizadas. La red predeterminada tiene las mismas reglas implícitas. Para obtener más información, consulta Reglas implícitas.

Políticas de cortafuegos de red

Las políticas de cortafuegos de red, también conocidas como políticas de cortafuegos, te permiten agrupar varias reglas de cortafuegos para que puedas actualizarlas todas a la vez, controladas de forma eficaz por los roles de gestión de identidades y accesos. Estas políticas contienen reglas que pueden denegar o permitir conexiones de forma explícita, al igual que las reglas de cortafuegos de VPC. Esto incluye las políticas de cortafuegos de red globales y regionales. Para obtener más información, consulta Políticas de cortafuegos.

Etiquetas de red

Una etiqueta de red es una cadena de caracteres que se añade a un campo de etiquetas de un recurso, como las instancias de VM de Compute Engine o las plantillas de instancia. Una etiqueta no es un recurso independiente, por lo que no puedes crearla por separado. Se considera que todos los recursos que contengan esa cadena tienen esa etiqueta. Las etiquetas te permiten aplicar reglas de cortafuegos de VPC y rutas a instancias de VM específicas.

Herencia de políticas

De forma predeterminada, las políticas de organización se heredan de los descendientes de los recursos en los que se aplican. Por ejemplo, si aplicas una política a una carpeta, Cloud de Confiance se aplicará a todos los proyectos de la carpeta. Para obtener más información sobre este comportamiento y cómo cambiarlo, consulta las reglas de evaluación de la jerarquía.

Prioridad

La prioridad de una regla de una política de cortafuegos es un número entero comprendido entre 0 y 2.147.483.647, ambos incluidos. Los números enteros más bajos indican prioridades más altas. Para obtener más información, consulta la sección Prioridad.

Políticas de cortafuegos de red regionales

Las políticas de cortafuegos de red regionales te permiten agrupar reglas en un objeto de política que se aplica a una región específica. Después de asociar una política de cortafuegos de red regional a una red de VPC, las reglas de la política se pueden aplicar a los recursos de esa región de la red de VPC. Para consultar las especificaciones y los detalles de las políticas de cortafuegos regionales, consulta Políticas de cortafuegos de red regionales.

Indicador del nombre del servidor

La indicación de nombre de servidor (SNI) es una extensión del protocolo de redes informáticas TLS. SNI permite que varios sitios HTTPS compartan una IP y un certificado TLS, lo que resulta más eficiente y rentable, ya que no necesitas certificados individuales para cada sitio web del mismo servidor.

Etiquetas

La Cloud de Confiance jerarquía de recursos es una forma de organizar los recursos en una estructura de árbol. Esta jerarquía te ayuda a gestionar los recursos a gran escala, pero solo modela algunas dimensiones empresariales, como la estructura organizativa, las regiones, los tipos de cargas de trabajo y los centros de costes. La jerarquía no tiene la flexibilidad necesaria para combinar varias dimensiones empresariales.

Las etiquetas permiten crear anotaciones para los recursos y, en algunos casos, permiten o deniegan políticas de forma condicional en función de si un recurso tiene una etiqueta específica. Puedes usar etiquetas y la aplicación condicional de políticas para controlar de forma pormenorizada la jerarquía de recursos.

Las etiquetas son diferentes de las etiquetas de red. Para obtener más información sobre las diferencias entre las etiquetas y las etiquetas de red, consulte el artículo Comparación de etiquetas y etiquetas de red.

Etiquetas de cortafuegos

Las etiquetas también se denominan etiquetas seguras. Las etiquetas te permiten definir orígenes y destinos en políticas de cortafuegos de red globales y regionales. Las etiquetas no son lo mismo que las etiquetas de red. Las etiquetas de red son cadenas sencillas, no claves ni valores, y no ofrecen ningún tipo de control de acceso. Para obtener más información sobre las diferencias entre las etiquetas y las etiquetas de red, así como sobre los productos que admiten cada una de ellas, consulte el artículo Comparación de etiquetas y etiquetas de red.

Reglas de cortafuegos de VPC

Las reglas de cortafuegos de VPC te permiten permitir o denegar conexiones a o desde instancias de VM de tu red de VPC. Las reglas de cortafuegos de VPC habilitadas siempre se aplican, lo que ayuda a proteger tus instancias independientemente de su configuración y sistema operativo, incluso si no se han iniciado. Estas reglas se aplican a un proyecto y una red concretos. Para obtener más información, consulta Reglas de cortafuegos de VPC.

Siguientes pasos

Para obtener información conceptual sobre Cloud NGFW, consulta la descripción general de Cloud NGFW.
Para obtener información conceptual sobre las reglas de políticas de cortafuegos, consulta Reglas de políticas de cortafuegos.
Para crear, actualizar, monitorizar o eliminar reglas de cortafuegos de VPC, consulta el artículo Usar reglas de cortafuegos de VPC.