L'endpoint firewall è una risorsa di Cloud Next Generation Firewall che abilita funzionalità di protezione avanzata di livello 7, come la prevenzione delle intrusioni, nella tua rete.
Questa pagina fornisce una panoramica dettagliata degli endpoint del firewall e delle relative funzionalità.
Specifiche
Un endpoint firewall è una risorsa dell'organizzazione creata a livello di zona.
Gli endpoint firewall eseguono l'ispezione del firewall di livello 7 sul traffico intercettato.
Cloud Next Generation Firewall utilizza la tecnologia di intercettazione dei pacchetti di Google Cloud per reindirizzare in modo trasparente il traffico dai carichi di lavoro Google Cloud in una rete Virtual Private Cloud (VPC) agli endpoint del firewall.
L'intercettazione dei pacchetti è una funzionalità di Google Cloud che inserisce in modo trasparente le appliance di rete nel percorso del traffico di rete selezionato senza modificare i relativi criteri di routing esistenti.
Cloud NGFW reindirizza il traffico del workload in una rete VPC all'endpoint firewall solo se l'ispezione di livello 7 è configurata per essere applicata a questo flusso.
Cloud NGFW aggiunge un identificatore di rete VPC a ogni pacchetto reindirizzato all'endpoint firewall per l'ispezione di livello 7. Se hai più reti VPC con intervalli di indirizzi IP sovrapposti, questo identificatore di rete contribuisce a garantire che ogni pacchetto reindirizzato sia associato correttamente alla relativa rete VPC.
Puoi creare un endpoint firewall in una zona e collegarlo a una o più reti VPC per monitorare i workload nella stessa zona. Se la rete VPC si estende su più zone, puoi collegare un endpoint del firewall in ogni zona. Se non colleghi un endpoint firewall a una rete VPC in una zona specifica, non viene eseguita alcuna ispezione di livello 7 sul traffico del carico di lavoro per quella zona.
Utilizzi l'associazione di endpoint firewall per collegare un endpoint firewall a una rete VPC.
L'endpoint e i workload per i quali vuoi attivare l'ispezione di livello 7 devono trovarsi nella stessa zona. La creazione dell'endpoint firewall nella stessa zona dei carichi di lavoro presenta i seguenti vantaggi:
Minore latenza. Poiché gli endpoint firewall possono intercettare, ispezionare e reinietare il traffico nella rete, la latenza è inferiore a quella degli endpoint firewall in zone diverse.
Nessun traffico tra zone. Mantenere il traffico all'interno della stessa zona garantisce costi inferiori.
Traffico più affidabile. Mantenere il traffico all'interno della stessa zona elimina il rischio di interruzioni tra zone.
Gli endpoint firewall possono elaborare fino a 2 Gbps di traffico con l'ispezione TLS (Transport Layer Security) e 10 Gbps di traffico senza l'ispezione TLS. L'invio di più traffico può comportare la perdita di pacchetti. Per monitorare l'utilizzo della capacità dell'endpoint firewall, consulta le metriche dell'endpoint firewall.
Puoi eliminare un endpoint firewall solo se non sono associate reti VPC.
Google gestisce l'infrastruttura, il bilanciamento del carico, la scalabilità automatica e il ciclo di vita degli endpoint firewall. Quando crei un endpoint firewall, Google fornisce un insieme di istanze di macchine virtuali (VM) dedicate, che garantiscono affidabilità, prestazioni e isolamento di sicurezza per il tuo traffico, oltre alla gestione dei certificati.
Google garantisce l'alta disponibilità utilizzando meccanismi di failover appropriati per gli endpoint del firewall, che assicurano una protezione firewall affidabile per tutte le istanze VM coperte all'interno della rete VPC collegata.
Associazioni di endpoint firewall
L'associazione di un endpoint firewall collega un endpoint firewall a una rete VPC nella stessa zona. Dopo aver definito questa associazione, Cloud NGFW inoltra il traffico del carico di lavoro zonale nella rete VPC che richiede l'ispezione di livello 7 all'endpoint firewall collegato.
Ruoli di Identity and Access Management
I ruoli IAM (Identity and Access Management) regolano le seguenti azioni per la gestione degli endpoint della firewall:
- Creazione di un endpoint firewall in un'organizzazione
- Modifica o eliminazione di un endpoint firewall
- Visualizzazione dei dettagli di un endpoint firewall
- Visualizzazione di tutti gli endpoint firewall configurati in un'organizzazione
La tabella seguente descrive i ruoli necessari per ogni passaggio.
| Abilità | Ruolo necessario |
|---|---|
| Crea un nuovo endpoint firewall | Il ruolo compute.networkAdmin nell'organizzazione in cui viene creato l'endpoint firewall. |
| Modificare un endpoint firewall esistente | Il ruolo compute.networkAdmin nell'organizzazione. |
| Visualizzare i dettagli dell'endpoint firewall in un'organizzazione | Uno dei seguenti ruoli per l'organizzazione: compute.networkAdmin compute.networkUser compute.networkViewer |
| Visualizzare tutti gli endpoint firewall di un'organizzazione | Uno dei seguenti ruoli per l'organizzazione: compute.networkAdmin compute.networkUser compute.networkViewer |
I ruoli IAM regolano le seguenti azioni per le associazioni di endpoint firewall:
- Creazione di un'associazione di endpoint firewall in un progetto
- Modificare o eliminare un'associazione di endpoint firewall
- Visualizzazione dei dettagli di un'associazione di endpoint firewall
- Visualizzazione di tutte le associazioni di endpoint firewall configurate in un progetto
La tabella seguente descrive i ruoli necessari per ogni passaggio.
| Abilità | Ruolo necessario |
|---|---|
| Crea un'associazione di endpoint firewall |
Il ruolo compute.networkAdmin nel progetto in cui viene creata l'associazione di endpoint firewall. Il ruolo compute.networkUser nell'organizzazione, che rappresenta le autorizzazioni per associare il VPC (di cui l'utente è amministratore) all'endpoint (che è una risorsa di proprietà dell'organizzazione, non necessariamente del proprietario del VPC). |
| Modificare (aggiornare o eliminare) le associazioni di endpoint firewall | Il ruolo compute.networkAdmin nel progetto in cui esiste la rete VPC. |
| Visualizzare i dettagli dell'associazione di endpoint firewall in un progetto | Uno dei seguenti ruoli per l'organizzazione: compute.networkAdmin compute.networkViewer compute.networkUser |
| Visualizza tutte le associazioni di endpoint firewall in un progetto | Uno dei seguenti ruoli per l'organizzazione: compute.networkAdmin compute.networkViewer compute.networkUser |
Quote
Per visualizzare le quote associate agli endpoint firewall, consulta Quote e limiti.
Prezzi
I prezzi degli endpoint firewall sono descritti nella sezione Prezzi di Cloud NGFW.
Passaggi successivi
- Configura il servizio di prevenzione delle intrusioni
- Creare e gestire endpoint firewall
- Creare e gestire le associazioni di endpoint firewall