Ringkasan endpoint firewall

Endpoint firewall adalah resource Cloud Next Generation Firewall yang memungkinkan kemampuan perlindungan tingkat lanjut Layer 7, seperti layanan deteksi dan pencegahan penyusupan, di jaringan Anda.

Halaman ini memberikan ringkasan mendetail tentang endpoint firewall dan kemampuannya.

Spesifikasi

  • Endpoint firewall adalah resource organisasi yang dibuat di tingkat zona.

  • Endpoint firewall melakukan pemeriksaan firewall Layer 7 pada traffic yang dicegat.

  • Cloud Next Generation Firewall menggunakan teknologi pencegatan paket Google Clouduntuk mengalihkan traffic secara transparan dari workload Google Cloud di jaringan Virtual Private Cloud (VPC) ke endpoint firewall.

    Penyadapan paket adalah kemampuan yang secara transparan menyisipkan peralatan jaringan di jalur traffic jaringan yang dipilih tanpa mengubah kebijakan pemilihan rute yang ada. Google Cloud

  • Cloud NGFW mengalihkan traffic beban kerja di jaringan VPC ke endpoint firewall hanya jika inspeksi Layer 7 dikonfigurasi untuk diterapkan ke alur ini.

  • Cloud NGFW menambahkan ID jaringan VPC ke setiap paket yang dialihkan ke endpoint firewall untuk inspeksi Lapisan 7. Jika Anda memiliki beberapa jaringan VPC dengan rentang alamat IP yang tumpang-tindih, ID jaringan ini membantu memastikan bahwa setiap paket yang dialihkan dikaitkan dengan benar dengan jaringan VPC-nya.

  • Anda dapat membuat endpoint firewall di zona dan melampirkannya ke satu atau beberapa jaringan VPC untuk memantau workload di zona yang sama. Jika jaringan VPC mencakup beberapa zona, Anda dapat melampirkan satu endpoint firewall di setiap zona. Jika Anda tidak melampirkan endpoint firewall ke jaringan VPC di zona tertentu, tidak ada inspeksi Layer 7 yang dilakukan pada traffic workload untuk zona tersebut.

    Anda menggunakan asosiasi endpoint firewall untuk melampirkan endpoint firewall ke jaringan VPC.

  • Endpoint dan workload yang ingin Anda aktifkan pemeriksaan Lapisan 7-nya harus berada di zona yang sama. Membuat endpoint firewall di zona yang sama dengan workload memiliki manfaat berikut:

    • Latensi yang lebih rendah. Karena endpoint firewall dapat mencegat, memeriksa, dan menyuntikkan kembali traffic ke dalam jaringan, latensi lebih rendah daripada endpoint firewall di zona yang berbeda.

    • Tidak ada traffic lintas zona. Memastikan traffic tetap berada dalam zona yang sama akan memastikan biaya yang lebih rendah.

    • Traffic yang lebih andal. Mempertahankan traffic dalam zona yang sama akan menghilangkan risiko pemadaman lintas zona.

  • Endpoint firewall dapat memproses traffic hingga 2 Gbps dengan pemeriksaan Transport Layer Security (TLS), dan traffic 10 Gbps tanpa pemeriksaan TLS. Mengirim lebih banyak traffic dapat menyebabkan hilangnya paket. Untuk memantau penggunaan kapasitas endpoint firewall, lihat metrik endpoint firewall.

  • Endpoint firewall dapat memiliki throughput maksimum per koneksi sebesar 250 Mbps untuk traffic dengan pemeriksaan TLS dan 1,25 Gbps untuk traffic tanpa pemeriksaan TLS.

  • Anda dapat menghapus endpoint firewall hanya jika tidak ada jaringan VPC yang terkait dengannya.

  • Google mengelola infrastruktur, load balancing, penskalaan otomatis, dan siklus proses endpoint firewall. Saat Anda membuat endpoint firewall, Google menyediakan serangkaian instance virtual machine (VM) khusus, yang memastikan keandalan, performa, dan isolasi keamanan untuk traffic Anda, beserta pengelolaan sertifikat.

  • Google menyediakan ketersediaan tinggi dengan menggunakan mekanisme failover yang tepat untuk endpoint firewall, yang memastikan perlindungan firewall yang andal untuk semua instance VM yang tercakup dalam jaringan VPC terlampir.

Asosiasi endpoint firewall

Asosiasi endpoint firewall menautkan endpoint firewall ke jaringan VPC di zona yang sama. Setelah Anda menentukan asosiasi ini, Cloud NGFW akan meneruskan traffic workload zonal di jaringan VPC Anda yang memerlukan pemeriksaan Lapisan 7 ke endpoint firewall yang terpasang.

Peran Identity and Access Management

Peran Pengelolaan Akses dan Identitas (IAM) mengatur tindakan berikut untuk mengelola endpoint firewall:

  • Membuat endpoint firewall dalam organisasi
  • Mengubah atau menghapus endpoint firewall
  • Melihat detail endpoint firewall
  • Melihat semua endpoint firewall yang dikonfigurasi dalam organisasi

Tabel berikut menjelaskan peran yang diperlukan untuk setiap langkah.

Kemampuan Peran yang diperlukan
Membuat endpoint firewall baru compute.networkAdmin di organisasi tempat endpoint firewall dibuat.
Mengubah endpoint firewall yang ada compute.networkAdmin di organisasi.
Melihat detail tentang endpoint firewall dalam organisasi Salah satu peran berikut untuk organisasi:
compute.networkAdmin
compute.networkUser
compute.networkViewer
Melihat semua endpoint firewall dalam organisasi Salah satu peran berikut untuk organisasi:
compute.networkAdmin
compute.networkUser
compute.networkViewer

Peran IAM mengatur tindakan berikut untuk asosiasi endpoint firewall:

  • Membuat pengaitan endpoint firewall dalam project
  • Mengubah atau menghapus pengaitan endpoint firewall
  • Melihat detail asosiasi endpoint firewall
  • Melihat semua pengaitan endpoint firewall yang dikonfigurasi dalam project

Tabel berikut menjelaskan peran yang diperlukan untuk setiap langkah.

Kemampuan Peran yang diperlukan
Membuat pengaitan endpoint firewall

Peran compute.networkAdmin di project tempat pengaitan endpoint firewall dibuat.

Peran compute.networkUser di organisasi, yang merepresentasikan izin untuk mengaitkan VPC (yang administratornya adalah pengguna) ke endpoint (yang merupakan resource milik organisasi, tidak harus dimiliki oleh pemilik VPC).

Ubah (perbarui atau hapus) pengaitan endpoint firewall compute.networkAdmin di project tempat jaringan VPC berada.
Melihat detail tentang asosiasi endpoint firewall dalam project Salah satu peran berikut untuk organisasi:
compute.networkAdmin
compute.networkViewer
compute.networkUser
Melihat semua pengaitan endpoint firewall dalam project Salah satu peran berikut untuk organisasi:
compute.networkAdmin
compute.networkViewer
compute.networkUser

Kuota

Untuk melihat kuota yang terkait dengan endpoint firewall, lihat Kuota dan batas.

Harga

Harga untuk endpoint firewall dijelaskan dalam harga Cloud NGFW.

Langkah berikutnya