En esta página, se proporciona terminología clave que se aplica a Cloud Next Generation Firewall. Revisa estas condiciones para comprender mejor cómo funciona Cloud NGFW y los conceptos en los que se basa.
Grupos de direcciones
Los grupos de direcciones son una colección lógica de rangos de direcciones IPv4 o rangos de direcciones IPv6 en formato CIDR. Puedes usar grupos de direcciones para definir orígenes o destinos coherentes a los que hacen referencia muchas reglas de firewall. A fin de obtener más información sobre los grupos de direcciones, consulta Grupos de direcciones para políticas de firewall.
Formato CIDR
El formato o la notación del enrutamiento entre dominios sin clases (CIDR) es un método para representar una dirección IP y su subred. Es una alternativa a escribir una máscara de subred completa. Consiste en una dirección IP, seguida de una barra diagonal (/) y un número. El número indica la cantidad de bits en la dirección IP que definen la parte de la red.
Cloud NGFW
Cloud Next Generation Firewall es un servicio de firewall completamente distribuido con capacidades de protección avanzada, microsegmentación y cobertura generalizada para proteger tus cargas de trabajo de Trusted Cloud by S3NS contra ataques internos y externos. Cloud NGFW está disponible en dos niveles: Cloud Next Generation Firewall Essentials y Cloud Next Generation Firewall Standard. Para obtener más información, consulta la descripción general de Cloud NGFW.
Cloud NGFW Essentials
Cloud Next Generation Firewall Essentials es el servicio de firewall fundamental que ofrece Trusted Cloud. Incluye funciones y capacidades como las políticas de firewall de red globales y las políticas de firewall de red regionales, Etiquetas administradas por Identity and Access Management (IAM), Grupos de direcciones y reglas de firewall de nube privada virtual (VPC). Para obtener más información, consulta la descripción general de Cloud NGFW Essentials.
Cloud NGFW Standard
Cloud NGFW Standard extiende las funciones de Cloud NGFW Essentials para proporcionar capacidades mejoradas que te ayudan a proteger tu infraestructura de nube de ataques maliciosos.
Incluye características y capacidades, como objetos de nombre de dominio completamente calificados (FQDN) y objetos de ubicación geográfica en reglas de política de firewall.
Reglas de firewall
Las reglas de firewall son los componentes básicos de la seguridad de red. Una regla de firewall controla el tráfico entrante o saliente a una instancia de máquina virtual (VM). Según la configuración predeterminada, el tráfico entrante se bloquea. Para obtener más información, consulta las Políticas de firewall.
Registro de reglas de firewall
Los registros de reglas de firewall te permiten inspeccionar, verificar y analizar los efectos de tus reglas de firewall. Por ejemplo, puedes determinar si una regla de firewall diseñada para denegar tráfico está funcionando según lo previsto. Este registro también es útil si necesitas determinar cuántas conexiones se ven afectadas por una regla de firewall determinada. Para obtener más información, consulta Registro de reglas de firewall.
Políticas de firewall
Las políticas de firewall te permiten agrupar varias reglas de firewall para que puedas actualizarlas todas a la vez, con eficacia controlada por roles de IAM. Las políticas de firewall son de tres tipos: políticas de firewall jerárquicas, políticas de firewall de red globales y políticas de firewall de red regionales. Para obtener más información, consulta las políticas de firewall.
Reglas de la política de firewall
Cuando creas una regla de política de firewall, debes especificar un conjunto de componentes que definen lo que hace la regla. Estos componentes especifican la dirección del tráfico, el origen, el destino y las características de la capa 4, como el protocolo y el puerto de destino (si el protocolo usa puertos). Estos componentes se llaman reglas de política de firewall. Para obtener más información, consulta las Reglas de políticas del firewall.
Objetos FQDN
Un nombre de dominio completamente calificado (FQDN) es el nombre completo de un recurso específico en Internet. Por ejemplo, cloud.google.com
. Los objetos FQDN en las reglas de la política de firewall filtran el tráfico entrante o saliente desde o hacia un nombre de dominio específico. Según la dirección del tráfico, las direcciones IP asociadas con los nombres de dominio coinciden con la fuente o el destino del tráfico. Para obtener más información, consulta los objetos FQDN.
Objetos de ubicación geográfica
Usa objetos de ubicación geográfica en reglas de la política de firewall para filtrar el tráfico IPv4 y el IPv6 externo en función de ubicaciones geográficas o regiones específicas. Puedes usar objetos de ubicación geográfica junto con otros filtros de origen o de destino. Para obtener más información, consulta Objetos de ubicación geográfica.
Políticas de firewall de redes globales
Las políticas de firewall de red globales te permiten agrupar reglas en un objeto de política aplicable a todas las regiones (global). Después de asociar una política de firewall de red global con una red de VPC, las reglas de la política pueden aplicarse a los recursos en la red de VPC. Para obtener más información sobre las especificaciones de las políticas de firewall de la red globales, consulta la políticas de firewall de red globales.
Políticas jerárquicas de firewall
Las políticas de firewall jerárquicas te permiten agrupar reglas en un objeto de política que puede aplicarse a muchas redes de VPC en uno o más proyectos. Puedes asociar políticas de firewall jerárquicas con una organización completa o carpetas individuales. Para obtener más información y especificaciones de las políticas de los firewalls jerárquicos, consulta Políticas de firewall jerárquicas.
Identity and Access Management
El IAM deTrusted Cloudte permite otorgar acceso detallado a recursos Trusted Cloud específicos y ayuda a evitar el acceso a otros recursos. IAM te permite adoptar el principio de seguridad de mínimo privilegio de seguridad, que indica que nadie debe tener más permisos de los que realmente necesita. Para obtener más información, consulta la Descripción general de IAM.
Reglas implícitas
Cada red de VPC tiene dos reglas de firewall IPv4 implícitas. Si IPv6 está habilitado en una red de VPC, la red también tiene dos reglas de firewall IPv6 implícitas. Estas reglas no se muestran en la consola deTrusted Cloud .
Las reglas de firewall IPv4 implícitas están presentes en todas las redes de VPC, sin importar cómo se crean las redes o si son redes de VPC de modo automático o personalizado. La red predeterminada tiene las mismas reglas implícitas. Para obtener más información, consulta Reglas implícitas.
Políticas de firewall de red
Las políticas de firewall de red, también conocidas como políticas de firewall, te permiten agrupar varias reglas de firewall para que puedas actualizarlas todas a la vez, controladas eficazmente por roles de IAM. Estas políticas contienen reglas que pueden rechazar o permitir las conexiones de forma explícita, al igual que las reglas de firewall de VPC. Esto incluye las políticas de firewall de red globales y regionales. Para obtener más información, consulta las Políticas de firewall.
Etiquetas de red
Una etiqueta de red es una string de caracteres que se agrega al campo de etiquetas en un recurso, como las instancias de VM de Compute Engine o las plantillas de instancias. Una etiqueta no es un recurso independiente, por lo que no puedes crearla por separado. Se considera que todos los recursos con esa string tienen esa etiqueta. Las etiquetas te permiten hacer que las rutas y reglas del firewall de VPC sean aplicables a instancias de VM específicas.
Herencia de políticas
De forma predeterminada, las políticas de la organización se heredan según los subordinados de los recursos en los que se aplica la política. Por ejemplo, si aplicas una política en una carpeta, Trusted Cloud aplica la política en todos los proyectos de la carpeta. Para obtener más información sobre este comportamiento y cómo cambiarlo, consulta Reglas de evaluación de jerarquía.
Prioridad
La prioridad de una regla en una política de firewall es un número entero de 0 a 2,147,483,647, inclusive. Los números enteros más bajos indican prioridades más altas. Para obtener más información, consulta Prioridad.
Políticas de firewall de redes regionales
Las políticas de firewall de red regionales te permiten agrupar reglas en un objeto de política que es aplicable a una región específica. Después de asociar una política de firewall de red regional con una red de VPC, las reglas de la política pueden aplicarse a los recursos dentro de esa región de la red de VPC. Para obtener más información sobre las especificaciones y las políticas de los firewalls regionales, consulta las políticas de firewall de red regionales.
Indicación del nombre del servidor
La indicación del nombre del servidor (SNI) es una extensión del protocolo de redes informáticas TLS. La SNI permite que varios sitios HTTPS compartan una IP y un certificado TLS, que es más eficiente y rentable porque no necesitas certificados individuales para cada sitio web en el mismo servidor.
Etiquetas
La Trusted Cloud jerarquía de recursos es una forma de organizar los recursos en una estructura de árbol. Esta jerarquía te ayuda a administrar recursos a gran escala, pero modela solo algunas dimensiones empresariales, como la estructura organizativa, las regiones, los tipos de cargas de trabajo y los centros de costos. La jerarquía carece de la flexibilidad de agrupar varias dimensiones empresariales.
Las etiquetas proporcionan una forma de crear anotaciones para los recursos y, en algunos casos, permitir o denegar políticas de forma condicional en función de si un recurso tiene una etiqueta específica. Puedes usar etiquetas y la aplicación condicional de políticas para obtener un control detallado de toda la jerarquía de recursos.
Las etiquetas son diferentes de las etiquetas de red. Para obtener más información sobre las diferencias entre las etiquetas y las etiquetas de red, consulta Comparación de etiquetas y etiquetas de red.
Etiquetas para el firewall
Las etiquetas también se denominan etiquetas seguras. Las etiquetas te permiten definir fuentes y destinos en las políticas de firewall de red globales y las políticas de firewall regionales. Las etiquetas son diferentes de las etiquetas de red. Las etiquetas de red son strings simples, no claves y valores, y no ofrecen ningún tipo de control de acceso. Para obtener más información sobre las diferencias entre las etiquetas y las etiquetas de red, y qué productos admiten cada una, consulta Comparación de las etiquetas de Resource Manager y las etiquetas de red.
Reglas de firewall de VPC
Las reglas de firewall de VPC permiten o rechazan las conexiones hacia o desde las instancias de máquina virtual (VM) en la red de VPC. Las reglas de firewall de VPC habilitadas siempre se aplican, lo que ayuda a proteger las instancias sin importar la configuración ni el sistema operativo, incluso si no se iniciaron. Estas reglas se aplican a un proyecto y una red determinados. Para obtener más información, consulta las Reglas de firewall de VPC.
¿Qué sigue?
- Para obtener información conceptual sobre Cloud NGFW, consulta la descripción general de Cloud NGFW.
- Para obtener información conceptual sobre las reglas de política de firewall, consulta Reglas de política de firewall.
- Para crear, actualizar, supervisar o borrar reglas de firewall de VPC, consulta Usa reglas de firewall de VPC.