אתם יכולים להשתמש ב-Cloud Next Generation Firewall כדי להגן על עומסי העבודה מפני איומים חיצוניים מהאינטרנט ואיומים פנימיים ברשת.
במסמך הזה מוגדרים המושגים והמונחים העיקריים שמסבירים איך Cloud NGFW פועל ואיך הוא מעריך כללים.
כללי מדיניות חומת אש
ב-Cloud NGFW, כלל מדיניות חומת אש הוא היחידה הבסיסית של הגדרות האבטחה. היא מגדירה את הקריטריונים לאישור, לדחייה או לבדיקה של תנועה. מידע נוסף זמין במאמר בנושא כללים של מדיניות חומת האש.
מדיניות חומת אש
מדיניות חומת אש היא מאגר שמקבץ כמה כללי חומת אש. מידע נוסף מופיע במאמר בנושא מדיניות חומת האש.
Cloud NGFW תומך בסוגי המדיניות הבאים, בהתאם למיקום שלהם בהיררכיית המשאבים:
- מדיניות חומת אש היררכית: המדיניות הזו מכילה כללים שמוגדרים ברמת הארגון או התיקייה עבור כמה רשתות של ענן וירטואלי פרטי (VPC) בפרויקט אחד או יותר.
- מדיניות גלובלית של חומת אש ברשת: המדיניות הזו מכילה כללים לכל האזורים של רשת VPC ספציפית.
- כללי מדיניות אזוריים של חומת אש לרשת: כללי המדיניות האלה מכילים כללים לאזור ספציפי ברשת VPC.
- כללי מדיניות אזוריים של חומת אש במערכת: כללי המדיניות האלה מכילים כללים שמנוהלים על ידי Google לאזור ספציפי ברשת VPC. אי אפשר לשנות כלל במדיניות חומת אש אזורית במערכת.
כשיוצרים מדיניות היררכית של חומת אש או מדיניות של חומת אש ברשת, המערכתCloud de Confiance מוסיפה למדיניות כמה כללים מוגדרים מראש.
Firewall policy association
כדי להשתמש בכללים במדיניות חומת אש, צריך לשייך את המדיניות למשאב. שיטת השיוך תלויה בסוג המדיניות:
- מדיניות חומת אש היררכית: משייכים מדיניות היררכית לCloud de Confiance by S3NS ארגון או לתיקייה.
- מדיניות חומת אש בין רשתות גלובליות: אפשר לשייך מדיניות חומת אש בין רשתות גלובליות לרשת VPC אחת או יותר באותו פרויקט כמו מדיניות חומת האש.
- מדיניות אזורית של חומת אש ברשת: אפשר לשייך מדיניות אזורית של חומת אש ברשת לאזור יחיד של רשת VPC אחת או יותר באותו פרויקט שבו נמצאת מדיניות חומת האש.
אחרי שמשייכים מדיניות חומת אש למשאב, הכללים במדיניות חלים על תנועה שתואמת לכללים.
איך Cloud NGFW עובד
Cloud NGFW מעריך כללים של מדיניות חומת אש, כללים של חומת אש ב-VPC ופעולות משתמעות. מידע נוסף זמין במאמר בנושא סדר ההערכה של כללי מדיניות וכללים של חומת אש.
כללי חומת אש ב-VPC
כללי חומת אש של VPC מאפשרים לכם לנהל תעבורה בשכבת הרשת (שכבה 3 ושכבה 4) ברשת VPC אחת.
לכללים של חומת אש ב-VPC יש פחות תכונות מאשר לכללים של מדיניות חומת אש. השיטה המומלצת היא להשתמש במדיניות חומת אש במקום בכללי חומת אש של VPC. מידע נוסף זמין במאמר בנושא כללים של חומת אש ב-VPC.
רכיבי הליבה של כלל מדיניות חומת אש
כדי להגדיר כלל במדיניות חומת האש, צריך להגדיר את הרכיבים הבאים:
כיוון: מציין את כיוון זרימת התנועה מנקודת המבט של משאב היעד.
- תנועה נכנסת (ingress): מציין אם כלל מדיניות חומת האש חל על תנועה נכנסת. מידע נוסף זמין במאמר בנושא כללי Ingress.
- תעבורת נתונים יוצאת (egress): מציינת אם הכלל חל על תעבורת נתונים יוצאת. מידע נוסף מופיע במאמר בנושא כללי יציאה.
עדיפות: מספר שלם ייחודי שקובע את סדר ההערכה של הכללים במדיניות. מספרים שלמים נמוכים יותר מציינים עדיפות גבוהה יותר. מידע נוסף מופיע במאמר עדיפות.
קריטריונים: תנאי התאמה לחבילת נתונים ברשת, כמו פרוטוקולים, כתובות IP ומספרי יציאות.
Target type: סוג Cloud de Confiance המשאב שכלל חומת האש מגן עליו. אתם יכולים להגדיר כללים של מדיניות חומת אש שיחולו על מכונות וירטואליות (VM) (ברירת מחדל) או על שרתי proxy מנוהלים של Envoy שמשמשים מאזני עומסים פנימיים של אפליקציות ומאזני עומסי רשת פנימיים לשרת proxy (בגרסת Preview).
יעד: החלת הכלל על יעדים ספציפיים.
מקור: חובה לכלול את המאפיין הזה בכללים לתעבורת נתונים נכנסת (ingress), ואפשר לכלול אותו בכללים לתעבורת נתונים יוצאת (egress). מידע נוסף זמין במאמר בנושא מקורות.
יעד: חובה לכלול את המאפיין הזה בכללי תעבורת נתונים יוצאת, ואפשר לכלול אותו בכללי תעבורת נתונים נכנסת. מידע נוסף זמין במאמר בנושא יעדים.
פרוטוקול ויציאות: פרוטוקול התקשורת ויציאות היעד. מידע נוסף מופיע במאמר פרוטוקולים ויציאות.
פעולה: הפעולה ש-Cloud NGFW מבצע כשמנות נתונים ברשת תואמות לקריטריונים של הכלל. מידע נוסף זמין במאמר בנושא פעולה במקרה של התאמה.
כדי לראות את כל הרכיבים של כלל ברשת VPC רגילה, אפשר לעיין במאמר בנושא רכיבים של כלל במדיניות חומת אש.
רמות של Cloud NGFW
Cloud de Confiance Cloud NGFW מארגן את היכולות שלו בכמה רמות כדי להתאים לדרישות שונות של אבטחה ותמחור. מידע נוסף זמין במאמר רמות של Cloud NGFW.
בדיקה של שכבת הרשת
כדי לספק הגנה בסיסית, Cloud NGFW בודק את תעבורת הרשת בשכבות 3 ו-4 של מודל Open Systems Interconnection (OSI).
כל הרמות של Cloud NGFW משתמשות בסינון מבוזר עם שמירת מצב בשכבות 3 ו-4. חומת האש עוקבת אחרי מצבי חיבור פעילים ומעריכה חבילות בהשוואה לטבלת מעקב אחר חיבורים.
המאמרים הבאים
- צריכים מידע כללי יותר על Cloud NGFW? קראו את הסקירה הזאת.
- מידע תיאורטי על כללים של מדיניות חומת אש זמין במאמר רכיבים של כללים של מדיניות חומת אש.
- כדי ליצור, לעדכן, לעקוב אחרי או למחוק כללים של חומת אש ב-VPC, אפשר לעיין במאמר בנושא שימוש בכללים של חומת אש ב-VPC.