L'endpoint firewall è una risorsa Cloud Next Generation Firewall che abilita funzionalità di protezione avanzata di livello 7, come il servizio di rilevamento e prevenzione delle intrusioni, nella tua rete.
Questa pagina fornisce una panoramica dettagliata degli endpoint firewall e delle loro funzionalità.
Specifiche
Un endpoint firewall è una risorsa dell'organizzazione creata a livello di zona.
Gli endpoint firewall eseguono l'ispezione del firewall di livello 7 sul traffico intercettato.
Cloud Next Generation Firewall utilizza la tecnologia di intercettazione dei pacchetti di Google Cloudper reindirizzare in modo trasparente il traffico dai carichi di lavoro Google Cloud in una rete Virtual Private Cloud (VPC) agli endpoint firewall.
L'intercettazione dei pacchetti è una funzionalità che inserisce in modo trasparente appliance di rete nel percorso del traffico di rete selezionato senza modificare le policy di routing esistenti. Google Cloud
Cloud NGFW reindirizza il traffico del workload in una rete VPC all'endpoint firewall solo se l'ispezione di livello 7 è configurata per essere applicata a questo flusso.
Cloud NGFW aggiunge un identificatore di rete VPC a ogni pacchetto reindirizzato all'endpoint firewall per l'ispezione di livello 7. Se hai più reti VPC con intervalli di indirizzi IP sovrapposti, questo identificatore di rete contribuisce a garantire che ogni pacchetto reindirizzato sia associato correttamente alla sua rete VPC.
Puoi creare un endpoint firewall in una zona e collegarlo a una o più reti VPC per monitorare i workload nella stessa zona. Se la tua rete VPC si estende su più zone, puoi collegare un endpoint firewall in ogni zona. Se non colleghi un endpoint firewall a una rete VPC in una zona specifica, non viene eseguita alcuna ispezione di livello 7 sul traffico del workload per quella zona.
Utilizzi l'associazione di endpoint firewall per collegare un endpoint firewall a una rete VPC.
L'endpoint e i workload per i quali vuoi attivare l'ispezione di livello 7 devono trovarsi nella stessa zona. La creazione dell'endpoint firewall nella stessa zona dei carichi di lavoro presenta i seguenti vantaggi:
Latenza inferiore. Poiché gli endpoint firewall possono intercettare, ispezionare e reinserire il traffico nella rete, la latenza è inferiore a quella degli endpoint firewall in zone diverse.
Nessun traffico tra zone. Mantenere il traffico all'interno della stessa zona garantisce costi inferiori.
Traffico più affidabile. Mantenere il traffico all'interno della stessa zona elimina il rischio di interruzioni tra zone.
Gli endpoint firewall possono elaborare fino a 2 Gbps di traffico con l'ispezione TLS (Transport Layer Security) e 10 Gbps di traffico senza ispezione TLS. L'invio di più traffico può causare la perdita di pacchetti. Per monitorare l'utilizzo della capacità dell'endpoint firewall, consulta Metriche dell'endpoint firewall.
Gli endpoint firewall possono avere un throughput massimo per connessione di 250 Mbps di traffico con ispezione TLS e 1,25 Gbps di traffico senza ispezione TLS.
Puoi eliminare un endpoint firewall solo se non sono associate reti VPC.
Google gestisce l'infrastruttura, il bilanciamento del carico, la scalabilità automatica e il ciclo di vita degli endpoint firewall. Quando crei un endpoint firewall, Google fornisce un insieme di istanze di macchine virtuali (VM) dedicate, che garantiscono affidabilità, prestazioni e isolamento della sicurezza per il tuo traffico, oltre alla gestione dei certificati.
Google fornisce alta disponibilità utilizzando meccanismi di failover appropriati per gli endpoint firewall, il che garantisce una protezione firewall affidabile per tutte le istanze VM coperte all'interno della rete VPC collegata.
Associazioni di endpoint firewall
L'associazione di un endpoint firewall collega un endpoint firewall a una rete VPC nella stessa zona. Dopo aver definito questa associazione, Cloud NGFW inoltra il traffico dei workload zonali nella tua rete VPC che richiede l'ispezione di livello 7 all'endpoint firewall collegato.
Ruoli Identity and Access Management
I ruoli Identity and Access Management (IAM) regolano le seguenti azioni per la gestione degli endpoint firewall:
- Creazione di un endpoint firewall in un'organizzazione
- Modifica o eliminazione di un endpoint firewall
- Visualizzare i dettagli di un endpoint firewall
- Visualizzazione di tutti gli endpoint firewall configurati in un'organizzazione
La tabella seguente descrive i ruoli necessari per ogni passaggio.
| Abilità | Ruolo necessario |
|---|---|
| Crea un nuovo endpoint firewall | Ruolo compute.networkAdmin nell'organizzazione in cui viene creato l'endpoint firewall. |
| Modificare un endpoint firewall esistente | Ruolo compute.networkAdmin nell'organizzazione. |
| Visualizzare i dettagli dell'endpoint firewall in un'organizzazione | Uno dei seguenti ruoli per l'organizzazione: compute.networkAdmin compute.networkUser compute.networkViewer |
| Visualizza tutti gli endpoint firewall in un'organizzazione | Uno dei seguenti ruoli per l'organizzazione: compute.networkAdmin compute.networkUser compute.networkViewer |
I ruoli IAM regolano le seguenti azioni per le associazioni di endpoint firewall:
- Creazione di un'associazione di endpoint firewall in un progetto
- Modificare o eliminare un'associazione di endpoint firewall
- Visualizzare i dettagli di un'associazione di endpoint firewall
- Visualizzazione di tutte le associazioni di endpoint firewall configurate in un progetto
La tabella seguente descrive i ruoli necessari per ogni passaggio.
| Abilità | Ruolo necessario |
|---|---|
| Crea un'associazione di endpoint firewall |
Ruolo compute.networkAdmin nel progetto in cui viene creata l'associazione di endpoint firewall. Ruolo compute.networkUser nell'organizzazione, che rappresenta le autorizzazioni per associare il VPC (di cui l'utente è amministratore) all'endpoint (che è una risorsa di proprietà dell'organizzazione, non necessariamente di proprietà del proprietario del VPC). |
| Modificare (aggiornare o eliminare) le associazioni degli endpoint firewall | Ruolo compute.networkAdmin nel progetto in cui esiste la rete VPC. |
| Visualizza i dettagli dell'associazione di endpoint firewall in un progetto | Uno dei seguenti ruoli per l'organizzazione: compute.networkAdmin compute.networkViewer compute.networkUser |
| Visualizza tutte le associazioni di endpoint firewall in un progetto | Uno dei seguenti ruoli per l'organizzazione: compute.networkAdmin compute.networkViewer compute.networkUser |
Quote
Per visualizzare le quote associate agli endpoint firewall, consulta Quote e limiti.
Prezzi
I prezzi degli endpoint firewall sono descritti nella sezione Prezzi di Cloud NGFW.
Passaggi successivi
- Configurare il servizio di rilevamento e prevenzione delle intrusioni
- Creare e gestire endpoint firewall
- Creare e gestire le associazioni di endpoint firewall