Algumas ou todas as informações nesta página podem não se aplicar ao Cloud de Confiance by S3NS. Consulte o artigo Diferenças em relação ao Google Cloud para mais detalhes.

Esta página foi traduzida pela API Cloud Translation.

Palavras-chave

Esta página fornece a terminologia principal que se aplica à firewall de nova geração do Google Cloud. Reveja estes termos para compreender melhor como funciona o NGFW da nuvem e os conceitos nos quais se baseia.

Grupos de endereços

Os grupos de endereços são uma coleção lógica de intervalos de endereços IPv4 ou IPv6 no formato CIDR. Pode usar grupos de endereços para definir origens ou destinos consistentes referenciados por muitas regras de firewall. Para mais informações sobre grupos de endereços, consulte o artigo Grupos de endereços para políticas de firewall.

Formato CIDR

O formato ou a notação CIDR (Classless Inter-Domain Routing) é um método para representar um endereço IP e a respetiva sub-rede. É uma alternativa à escrita de uma máscara de sub-rede completa. Consiste num endereço IP, seguido de uma barra (/) e um número. O número indica o número de bits no endereço IP que definem a parte da rede.

Cloud NGFW

A firewall de nova geração da nuvem é um serviço de firewall totalmente distribuído com capacidades de proteção avançadas, microsegmentação e cobertura abrangente para ajudar a proteger as suas cargas de trabalho de ataques internos e externos. Cloud de Confiance by S3NS O Cloud NGFW está disponível em dois níveis: Cloud Next Generation Firewall Essentials e Cloud Next Generation Firewall Standard. Para mais informações, consulte o artigo Vista geral da NGFW na nuvem.

Cloud NGFW Essentials

O Cloud Next Generation Firewall Essentials é o serviço de firewall fundamental oferecido pela Cloud de Confiance. Inclui funcionalidades como políticas de firewall de rede globais e políticas de firewall de rede regionais, etiquetas regidas pela gestão de identidade e acesso (IAM), grupos de endereços e regras de firewall da nuvem virtual privada (VPC). Para mais informações, consulte a Vista geral do Cloud NGFW Essentials.

Cloud NGFW Standard

O Cloud NGFW Standard expande as funcionalidades do Cloud NGFW Essentials para oferecer capacidades melhoradas que ajudam a proteger a sua infraestrutura na nuvem contra ataques maliciosos.

Inclui funcionalidades e capacidades, como objetos de nome do domínio totalmente qualificado (FQDN) e objetos de geolocalização nas regras da política de firewall.

Regras de firewall

As regras de firewall são os elementos básicos da segurança de rede. Uma regra de firewall controla o tráfego de entrada ou saída para uma instância de máquina virtual (VM). Por predefinição, o tráfego de entrada está bloqueado. Para mais informações, consulte o artigo Políticas de firewall.

Registo de regras de firewall

O registo de regras de firewall permite-lhe auditar, validar e analisar os efeitos das suas regras de firewall. Por exemplo, pode determinar se uma regra de firewall concebida para recusar tráfego está a funcionar conforme previsto. O registo das regras de firewall também é útil se precisar de determinar quantas ligações são afetadas por uma determinada regra de firewall. Para mais informações, consulte o artigo Registo de regras de firewall.

Políticas de firewall

As políticas de firewall permitem-lhe agrupar várias regras de firewall para que possa atualizá-las todas em simultâneo, controladas eficazmente pelas funções da IAM. As políticas de firewall são de três tipos: políticas de firewall hierárquicas, políticas de firewall de rede globais e políticas de firewall de rede regionais. Para mais informações, consulte o artigo Políticas de firewall.

Regras de política de firewall

Quando cria uma regra de política de firewall, especifica um conjunto de componentes que definem o que a regra faz. Estes componentes especificam a direção do tráfego, a origem, o destino e as caraterísticas da camada 4, como o protocolo e a porta de destino (se o protocolo usar portas). Estes componentes são denominados regras de política de firewall. Para mais informações, consulte as Regras da política de firewall.

Objetos FQDN

Um nome do domínio totalmente qualificado (FQDN) é o nome completo de um recurso específico na Internet. Por exemplo, cloud.google.com. Os objetos FQDN nas regras da política de firewall filtram o tráfego de entrada ou saída de ou para um nome de domínio específico. Com base na direção do tráfego, os endereços IP associados aos nomes de domínio são comparados com a origem ou o destino do tráfego. Para mais informações, consulte a secção Objetos FQDN.

Objetos de geolocalização

Use objetos de geolocalização em regras de políticas de firewall para filtrar o tráfego IPv4 externo e IPv6 externo com base em localizações geográficas ou regiões específicas. Pode usar objetos de geolocalização juntamente com outros filtros de origem ou destino. Para mais informações, consulte Objetos de geolocalização.

Políticas de firewall de rede globais

As políticas de firewall de rede globais permitem-lhe agrupar regras num objeto de política aplicável a todas as regiões (global). Depois de associar uma política de firewall de rede global a uma rede VPC, as regras na política podem aplicar-se a recursos na rede VPC. Para ver as especificações e os detalhes da política de firewall de rede global, consulte o artigo Políticas de firewall de rede global.

Políticas de firewall hierárquicas

As políticas de firewall hierárquicas permitem agrupar regras num objeto de política que pode ser aplicado a muitas redes VPC num ou mais projetos. Pode associar políticas de firewall hierárquicas a uma organização inteira ou a pastas individuais. Para ver as especificações e os detalhes das políticas de firewall hierárquicas, consulte o artigo Políticas de firewall hierárquicas.

Gestão de identidade e de acesso

O IAM doCloud de Confiancepermite-lhe conceder acesso detalhado a recursos específicos e ajuda a impedir o acesso a outros recursos. Cloud de Confiance O IAM permite-lhe adotar o princípio de segurança do menor privilégio, que afirma que ninguém deve ter mais autorizações do que as que realmente precisa. Para mais informações, consulte a vista geral da IAM.

Regras implícitas

Todas as redes VPC têm duas regras de firewall IPv4 implícitas. Se o IPv6 estiver ativado numa rede da VPC, a rede também tem duas regras de firewall IPv6 implícitas. Estas regras não são apresentadas na Cloud de Confiance consola.

As regras de firewall IPv4 implícitas estão presentes em todas as redes VPC, independentemente de como as redes são criadas ou se são redes VPC de modo automático ou de modo personalizado. A rede predefinida tem as mesmas regras implícitas. Para mais informações, consulte as Regras implícitas.

Políticas de firewall de rede

As políticas de firewall de rede, também conhecidas como políticas de firewall, permitem-lhe agrupar várias regras de firewall para que possa atualizá-las todas de uma só vez, controladas eficazmente pelas funções do IAM. Estas políticas contêm regras que podem negar ou permitir explicitamente ligações, tal como as regras de firewall da VPC. Isto inclui políticas de firewall de rede globais e regionais. Para mais informações, consulte o artigo Políticas de firewall.

Etiquetas de rede

Uma etiqueta de rede é uma string de carateres que é adicionada a um campo de etiquetas num recurso, como instâncias de VMs do Compute Engine ou modelos de instâncias. Uma etiqueta não é um recurso separado, pelo que não a pode criar separadamente. Todos os recursos com essa string são considerados como tendo essa etiqueta. As etiquetas permitem-lhe criar regras de firewall da VPC e trajetos aplicáveis a instâncias de VM específicas.

Herança de políticas

Por predefinição, as políticas da organização são herdadas pelos descendentes dos recursos nos quais aplica a política. Por exemplo, se aplicar uma política a uma pasta, Cloud de Confiance aplica a política a todos os projetos na pasta. Para saber mais acerca deste comportamento e como o alterar, consulte as regras de avaliação da hierarquia.

Prioridade

A prioridade de uma regra numa política de firewall é um número inteiro de 0 a 2 147 483 647, inclusive. Os números inteiros mais baixos indicam prioridades mais elevadas. Para mais informações, consulte o artigo Prioridade.

Políticas de firewall de rede regionais

As políticas de firewall de rede regionais permitem-lhe agrupar regras num objeto de política aplicável a uma região específica. Depois de associar uma política de firewall de rede regional a uma rede VPC, as regras na política podem aplicar-se a recursos nessa região da rede VPC. Para ver as especificações e os detalhes da política de firewall regional, consulte o artigo Políticas de firewall de rede regionais.

Indicação de Nome do Servidor

A Indicação do nome do servidor (SNI) é uma extensão ao protocolo de rede informática TLS. O SNI permite que vários sites HTTPS partilhem um certificado de IP e TLS, o que é mais eficiente e rentável porque não precisa de certificados individuais para cada Website no mesmo servidor.

Etiquetas

A Cloud de Confiance hierarquia de recursos é uma forma de organizar os seus recursos numa estrutura em árvore. Esta hierarquia ajuda a gerir recursos em grande escala, mas modela apenas algumas dimensões da empresa, incluindo a estrutura organizacional, as regiões, os tipos de carga de trabalho e os centros de custos. A hierarquia não tem a flexibilidade necessária para sobrepor várias dimensões da empresa.

As etiquetas oferecem uma forma de criar anotações para recursos e, em alguns casos, permitem ou negam condicionalmente políticas com base no facto de um recurso ter uma etiqueta específica. Pode usar etiquetas e a aplicação condicional de políticas para ter um controlo detalhado na hierarquia de recursos.

As etiquetas são diferentes das etiquetas de rede. Para mais informações sobre as diferenças entre etiquetas e etiquetas de rede, consulte o artigo Comparação entre etiquetas e etiquetas de rede.

Etiquetas para firewall

As etiquetas também são denominadas etiquetas seguras. As etiquetas permitem-lhe definir origens e destinos nas políticas de firewall de rede globais e nas políticas de firewall de rede regionais. As etiquetas são diferentes das etiquetas de rede. As etiquetas de rede são strings simples, não chaves e valores, e não oferecem qualquer tipo de controlo de acesso. Para mais informações sobre as diferenças entre as etiquetas e as etiquetas de rede, e que produtos suportam cada uma, consulte o artigo Comparação entre etiquetas e etiquetas de rede.

Regras de firewall da VPC

As regras de firewall da VPC permitem-lhe autorizar ou recusar ligações a ou de instâncias de VMs na sua rede da VPC. Ativadas As regras de firewall da VPC são sempre aplicadas, o que ajuda a proteger as suas instâncias, independentemente da respetiva configuração e sistema operativo, mesmo que não tenham sido iniciadas. Estas regras aplicam-se a um determinado projeto e rede. Para mais informações, consulte o artigo Regras de firewall da VPC.

O que se segue?

Para informações conceptuais sobre o Cloud NGFW, consulte o artigo Vista geral do Cloud NGFW.
Para informações conceptuais sobre as regras de política de firewall, consulte o artigo Regras de política de firewall.
Para criar, atualizar, monitorizar ou eliminar regras de firewall de VPC, consulte o artigo Use regras de firewall de VPC.