Un endpoint de cortafuegos es un recurso de Cloud Next Generation Firewall que habilita funciones de protección avanzada de la capa 7, como el servicio de detección y prevención de intrusiones, en tu red.
En esta página se ofrece una descripción detallada de los endpoints de firewall y sus funciones.
Especificaciones
Un endpoint de cortafuegos es un recurso de organización creado a nivel de zona.
Los endpoints de cortafuegos realizan una inspección de cortafuegos de capa 7 en el tráfico interceptado.
El cortafuegos de nueva generación de Cloud usa la tecnología de interceptación de paquetes de Google Cloudpara redirigir de forma transparente el tráfico de las cargas de trabajo de Google Cloud en una red de nube privada virtual (VPC) a los endpoints del cortafuegos.
La interceptación de paquetes es una Google Cloud función que inserta de forma transparente dispositivos de red en la ruta del tráfico de red seleccionado sin modificar sus políticas de enrutamiento.
Cloud NGFW redirige el tráfico de la carga de trabajo de una red de VPC al endpoint del firewall solo si se ha configurado la inspección de la capa 7 para que se aplique a este flujo.
Cloud NGFW añade un identificador de red de VPC a cada paquete redirigido al endpoint del cortafuegos para la inspección de la capa 7. Si tienes varias redes VPC con intervalos de direcciones IP superpuestos, este identificador de red te ayudará a asegurarte de que cada paquete redirigido se asocie correctamente a su red VPC.
Puedes crear un endpoint de cortafuegos en una zona y asociarlo a una o varias redes de VPC para monitorizar las cargas de trabajo de esa zona. Si tu red VPC abarca varias zonas, puedes asociar un endpoint de firewall en cada zona. Si no adjuntas un endpoint de firewall a una red VPC en una zona específica, no se realizará ninguna inspección de capa 7 en el tráfico de la carga de trabajo de esa zona.
Puedes usar la asociación de endpoints de cortafuegos para adjuntar un endpoint de cortafuegos a una red de VPC.
El endpoint y las cargas de trabajo para las que quieras habilitar la inspección de capa 7 deben estar en la misma zona. Crear el endpoint de cortafuegos en la misma zona que las cargas de trabajo tiene las siguientes ventajas:
Latencia más baja. Como los endpoints de cortafuegos pueden interceptar, inspeccionar y volver a insertar el tráfico en la red, la latencia es menor que la de los endpoints de cortafuegos de otras zonas.
No hay tráfico entre zonas. Si el tráfico se mantiene en la misma zona, los costes serán más bajos.
Tráfico más fiable. Si el tráfico se mantiene en la misma zona, se elimina el riesgo de que se produzcan interrupciones entre zonas.
Los endpoints de firewall pueden procesar hasta 2 Gbps de tráfico con la inspección de Seguridad en la capa de transporte (TLS) y 10 Gbps de tráfico sin la inspección de TLS. Si envías más tráfico, puede producirse una pérdida de paquetes. Para monitorizar el uso de la capacidad del endpoint del cortafuegos, consulta las métricas del endpoint del cortafuegos.
Los endpoints de cortafuegos pueden tener un rendimiento máximo por conexión de 250 Mbps de tráfico con inspección TLS y de 1,25 Gbps de tráfico sin inspección TLS.
Solo puede eliminar un endpoint de firewall si no hay redes VPC asociadas a él.
Google gestiona la infraestructura, el balanceo de carga, el autoescalado y el ciclo de vida de los endpoints del cortafuegos. Cuando creas un endpoint de cortafuegos, Google proporciona un conjunto de instancias de máquina virtual (VM) dedicadas, lo que garantiza la fiabilidad, el rendimiento y el aislamiento de seguridad de tu tráfico, así como la gestión de certificados.
Google ofrece alta disponibilidad mediante el uso de mecanismos de conmutación por error adecuados para los endpoints del cortafuegos, lo que garantiza una protección fiable del cortafuegos para todas las instancias de VM cubiertas por la red VPC adjunta.
Asociaciones de endpoints de cortafuegos
La asociación de endpoints de cortafuegos vincula un endpoint de cortafuegos a una red VPC de la misma zona. Una vez que hayas definido esta asociación, Cloud NGFW reenviará el tráfico de la carga de trabajo zonal de tu red VPC que requiera una inspección de capa 7 al endpoint de firewall asociado.
Roles de Gestión de Identidades y Accesos
Los roles de Gestión de Identidades y Accesos (IAM) rigen las siguientes acciones para gestionar los endpoints de firewall:
- Crear un endpoint de cortafuegos en una organización
- Modificar o eliminar un endpoint de firewall
- Ver los detalles de un endpoint de cortafuegos
- Ver todos los endpoints de cortafuegos configurados en una organización
En la siguiente tabla se describen los roles necesarios para cada paso.
| Habilidad | Rol necesario |
|---|---|
| Crear un nuevo endpoint de cortafuegos | Cualquiera de los siguientes roles en la organización en la que se crea el endpoint de cortafuegos: compute.networkAdmin networksecurity.FirewallEndpointAdmin |
| Modificar un endpoint de cortafuegos | Cualquiera de los siguientes roles en la organización: compute.networkAdmin networksecurity.FirewallEndpointAdmin |
| Ver los detalles del endpoint de cortafuegos de una organización | Cualquiera de los siguientes roles en la organización: compute.networkAdmin compute.networkUser compute.networkViewer networksecurity.FirewallEndpointAdmin |
| Ver todos los endpoints de cortafuegos de una organización | Cualquiera de los siguientes roles en la organización: compute.networkAdmin compute.networkUser compute.networkViewer networksecurity.FirewallEndpointAdmin |
Los roles de gestión de identidades y accesos controlan las siguientes acciones de las asociaciones de endpoints de cortafuegos:
- Crear una asociación de endpoint de cortafuegos en un proyecto
- Modificar o eliminar una asociación de endpoint de cortafuegos
- Ver los detalles de una asociación de endpoint de cortafuegos
- Ver todas las asociaciones de endpoints de cortafuegos configuradas en un proyecto
En la siguiente tabla se describen los roles necesarios para cada paso.
| Habilidad | Rol necesario |
|---|---|
| Crear una asociación de endpoint de cortafuegos | Cualquiera de los siguientes roles en el proyecto en el que se crea la asociación de endpoints de cortafuegos: compute.networkAdmin networksecurity.FirewallEndpointAdmin compute.networkUser en la organización, que representa los permisos para asociar la VPC (de la que el usuario es administrador) al endpoint (que es un recurso propiedad de la organización, no necesariamente del propietario de la VPC). |
| Modificar (actualizar o eliminar) las asociaciones de puntos finales de cortafuegos |
Cualquiera de los siguientes roles en el proyecto en el que se encuentra la red de VPC: compute.networkAdmin networksecurity.FirewallEndpointAdmin |
| Ver los detalles de la asociación de puntos finales de cortafuegos en un proyecto | Cualquiera de los siguientes roles en la organización: compute.networkAdmin compute.networkViewer compute.networkUser networksecurity.FirewallEndpointAdmin |
| Ver todas las asociaciones de endpoints de cortafuegos de un proyecto | Cualquiera de los siguientes roles en la organización: compute.networkAdmin compute.networkViewer compute.networkUser networksecurity.FirewallEndpointAdmin |
Cuotas
Para ver las cuotas asociadas a los endpoints de firewall, consulta Cuotas y límites.
Precios
Los precios de los endpoints de cortafuegos se describen en la página Precios de Cloud NGFW.
Siguientes pasos
- Configurar el servicio de detección y prevención de intrusos
- Crear y gestionar endpoints de cortafuegos
- Crear y gestionar asociaciones de endpoints de cortafuegos