Un point de terminaison de pare-feu est une ressource Cloud Next Generation Firewall qui offre des fonctionnalités de protection avancées de couche 7, telles que le service de filtrage d'URL et le service de détection et de prévention des intrusions, sur votre réseau.
Cette page fournit une présentation détaillée des points de terminaison de pare-feu et de leurs fonctionnalités.
Spécifications
Un point de terminaison de pare-feu est une ressource organisationnelle créée au niveau de la zone.
Les points de terminaison de pare-feu effectuent une inspection de pare-feu de couche 7 sur le trafic intercepté.
Cloud Next Generation Firewall utilise la technologie d'interception de paquets de Google Cloudpour rediriger de manière transparente le trafic des charges de travail Google Cloud dans un réseau cloud privé virtuel (VPC) vers les points de terminaison de pare-feu.
L'interception des paquets est une fonctionnalité Google Cloud qui insère de manière transparente les appliances réseau dans le chemin du trafic réseau sélectionné, sans modifier leurs règles de routage existantes.
Cloud NGFW redirige le trafic de charge de travail d'un réseau VPC vers le point de terminaison de pare-feu uniquement si l'inspection de couche 7 est configurée pour être appliquée à ce flux.
Cloud NGFW ajoute un identifiant de réseau VPC à chaque paquet redirigé vers le point de terminaison de pare-feu pour l'inspection de couche 7. Si vous disposez de plusieurs réseaux VPC avec des plages d'adresses IP qui se chevauchent, cet identifiant réseau permet de garantir que chaque paquet redirigé est correctement associé à son réseau VPC.
Vous pouvez créer un point de terminaison de pare-feu dans une zone et l'associer à un ou plusieurs réseaux VPC pour surveiller les charges de travail de la même zone. Si votre réseau VPC couvre plusieurs zones, vous pouvez associer un point de terminaison de pare-feu dans chaque zone. Si vous n'associez pas de point de terminaison de pare-feu à un réseau VPC dans une zone spécifique, aucune inspection de couche 7 n'est effectuée sur le trafic de charge de travail de cette zone.
Vous utilisez une association de point de terminaison de pare-feu pour associer un point de terminaison de pare-feu à un réseau VPC.
Le point de terminaison et les charges de travail pour lesquelles vous souhaitez activer l'inspection de couche 7 doivent se trouver dans la même zone. La création du point de terminaison de pare-feu dans la même zone que les charges de travail présente les avantages suivants :
Latence réduite. Comme les points de terminaison de pare-feu peuvent intercepter, inspecter et réinjecter le trafic dans le réseau, la latence est plus faible que pour des points de terminaison de pare-feu situés dans des zones différentes.
Aucun trafic entre zones. Conserver le trafic dans la même zone permet de réduire les coûts.
Trafic plus fiable. Conserver le trafic dans la même zone élimine le risque de pannes entre différentes zones.
Les points de terminaison de pare-feu peuvent traiter jusqu'à 2 Gbit/s de trafic avec l'inspection TLS (Transport Layer Security) et 10 Gbit/s de trafic sans inspection TLS. L'envoi d'autres trafics peut entraîner une perte de paquets. Pour surveiller l'utilisation de la capacité du point de terminaison de pare-feu, consultez Métriques de sécurité réseau
firewall_endpoint.Les points de terminaison de pare-feu peuvent avoir un débit maximal par connexion de 250 Mbit/s de trafic avec inspection TLS et de 1,25 Gbit/s de trafic sans inspection TLS.
Vous pouvez créer un point de terminaison de pare-feu qui traite les trames jumbo d'une taille maximale de 8 500 octets. Vous pouvez également créer un point de terminaison sans prise en charge des trames jumbo. Pour en savoir plus, consultez Taille de paquet acceptée.
Vous ne pouvez supprimer un point de terminaison de pare-feu que lorsqu'aucun réseau VPC ne lui est associé.
Google gère l'infrastructure, l'équilibrage de charge, l'autoscaling et le cycle de vie des points de terminaison de pare-feu. Lorsque vous créez un point de terminaison de pare-feu, Google fournit un ensemble d'instances de machines virtuelles (VM) dédiées qui veillent à assurer la fiabilité, les performances et l'isolation de sécurité de votre trafic, ainsi que la gestion des certificats.
Google offre une haute disponibilité à l'aide de mécanismes de basculement appropriés pour les points de terminaison de pare-feu, ce qui garantit une protection fiable pour toutes les instances de VM couvertes par le pare-feu dans le réseau VPC rattaché.
Associations de points de terminaison de pare-feu
Une association de point de terminaison de pare-feu associe un point de terminaison de pare-feu à un réseau VPC dans la même zone. Une fois que vous avez défini cette association, Cloud NGFW transfère le trafic de charge de travail zonal de votre réseau VPC nécessitant une inspection de couche 7 au point de terminaison de pare-feu rattaché.
Taille de paquet acceptée
Un point de terminaison de pare-feu prend en charge ou non les trames géantes.
Un point de terminaison de pare-feu compatible avec les trames géantes peut accepter des paquets jusqu'à 8 500 octets.
Cloud NGFW réserve 396 octets supplémentaires pour l'encapsulation GENEVE (nécessaire pour l'inspection des données) et pour d'autres extensions. La taille totale des paquets de 8 896 octets correspond donc à l'unité de transmission maximale (MTU) la plus élevée que Google Cloud peut prendre en charge.
Un point de terminaison de pare-feu sans prise en charge des trames géantes peut accepter des paquets jusqu'à 1 460 octets.
Lorsqu'un point de terminaison reçoit des paquets plus volumineux, Cloud NGFW n'effectue pas le service de détection et de prévention des intrusions. Par conséquent, pour exécuter correctement le service de détection et de prévention des intrusions et effectuer l'inspection de couche 7, configurez les réseaux VPC associés au point de terminaison pour qu'ils respectent ces limites de MTU :
Pour un point de terminaison compatible avec les trames géantes, assurez-vous que les réseaux VPC utilisent une MTU de 8 500 octets ou moins.
Pour un point de terminaison qui ne prend pas en charge les trames jumbo, assurez-vous que les réseaux VPC utilisent une MTU de 1 460 octets ou moins.
Vous pouvez créer un point de terminaison de pare-feu avec ou sans prise en charge des trames géantes. Toutefois, vous ne pouvez pas reconfigurer un point de terminaison existant pour ajouter ou supprimer la prise en charge des trames jumbo. Pour ajouter ou supprimer la prise en charge des trames jumbo, supprimez le point de terminaison et recréez-le. Pour en savoir plus, consultez Créer un point de terminaison de pare-feu.
Rôles de gestion de l'authentification et des accès (IAM)
Les rôles IAM (Identity and Access Management) régissent les actions suivantes pour la gestion des points de terminaison de pare-feu :
- Créer un point de terminaison de pare-feu dans une organisation
- Modifier ou supprimer un point de terminaison de pare-feu
- Afficher les détails d'un point de terminaison de pare-feu
- Afficher tous les points de terminaison de pare-feu configurés dans une organisation
Le tableau suivant décrit les rôles nécessaires pour chaque étape.
| Aptitude | Rôle nécessaire |
|---|---|
| Créer un nouveau point de terminaison de pare-feu | L'un des rôles suivants dans l'organisation où le point de terminaison de pare-feu est créé :
Administrateur de réseaux Compute ( |
| Modifier un point de terminaison de pare-feu existant | L'un des rôles suivants dans l'organisation :
Administrateur de réseaux Compute ( |
| Afficher les détails du point de terminaison de pare-feu dans une organisation | L'un des rôles suivants dans l'organisation :
Administrateur de réseaux Compute ( |
| Afficher tous les points de terminaison de pare-feu dans une organisation | L'un des rôles suivants dans l'organisation :
Administrateur de réseaux Compute ( |
Les rôles IAM régissent les actions suivantes pour les associations de points de terminaison de pare-feu :
- Créer une association de point de terminaison de pare-feu dans un projet
- Modifier ou supprimer une association de point de terminaison de pare-feu
- Afficher les détails d'une association de point de terminaison de pare-feu
- Afficher toutes les associations de points de terminaison de pare-feu configurées dans un projet
Le tableau suivant décrit les rôles nécessaires pour chaque étape.
| Aptitude | Rôle nécessaire |
|---|---|
| Créer une association de point de terminaison de pare-feu | L'un des rôles suivants dans le projet où l'association de point de terminaison de pare-feu est créée :
Rôle Administrateur de réseaux Compute ( |
| Modifier (mettre à jour ou supprimer) les associations de points de terminaison de pare-feu | L'un des rôles suivants sur le projet où se trouve le réseau VPC :
Administrateur de réseaux Compute ( |
| Afficher les détails de l'association de points de terminaison de pare-feu dans un projet | L'un des rôles suivants dans l'organisation :
Administrateur de réseaux Compute ( |
| Affichez toutes les associations de points de terminaison de pare-feu dans un projet. | L'un des rôles suivants dans l'organisation :
Administrateur de réseaux Compute ( |
Quotas
Pour afficher les quotas associés aux points de terminaison de pare-feu, consultez la section Quotas et limites.
Tarifs
La tarification des points de terminaison de pare-feu est décrite dans la section Tarifs de Cloud NGFW.
Étapes suivantes
- Configurer le service de filtrage d'URL
- Configurer le service de détection et de prévention des intrusions
- Créer et gérer des points de terminaison de pare-feu
- Créer et gérer des associations de points de terminaison de pare-feu