Panoramica degli endpoint firewall

L'endpoint firewall è una risorsa Cloud Next Generation Firewall che abilita funzionalità di protezione avanzata di livello 7, come il servizio di filtro degli URL e il servizio di rilevamento e prevenzione delle intrusioni, nella tua rete.

Questa pagina fornisce una panoramica dettagliata degli endpoint firewall e delle loro funzionalità.

Specifiche

• Un endpoint firewall è una risorsa dell'organizzazione creata a livello di zona.

• Gli endpoint firewall eseguono l'ispezione del firewall di livello 7 sul traffico intercettato.

• Cloud Next Generation Firewall utilizza la tecnologia di intercettazione dei pacchetti di Google Cloud per reindirizzare in modo trasparente il traffico dai carichi di lavoro Google Cloud in una rete Virtual Private Cloud (VPC) agli endpoint firewall.

  L'intercettazione dei pacchetti è una funzionalità Google Cloud che inserisce in modo trasparente gli appliance di rete nel percorso del traffico di rete selezionato senza modificare le policy di routing esistenti.

• Cloud NGFW reindirizza il traffico del workload in una rete VPC all'endpoint firewall solo se l'ispezione di livello 7 è configurata per essere applicata a questo flusso.

• Cloud NGFW aggiunge un identificatore di rete VPC a ogni pacchetto reindirizzato all'endpoint firewall per l'ispezione di livello 7. Se hai più reti VPC con intervalli di indirizzi IP sovrapposti, questo identificatore di rete contribuisce a garantire che ogni pacchetto reindirizzato sia associato correttamente alla sua rete VPC.

• Puoi creare un endpoint firewall in una zona e collegarlo a una o più reti VPC per monitorare i workload nella stessa zona. Se la tua rete VPC si estende su più zone, puoi collegare un endpoint firewall in ogni zona. Se non colleghi un endpoint firewall a una rete VPC in una zona specifica, non viene eseguita alcuna ispezione di livello 7 sul traffico del workload per quella zona.

  Utilizzi l'associazione di endpoint firewall per collegare un endpoint firewall a una rete VPC.

• L'endpoint e i workload per i quali vuoi attivare l'ispezione di livello 7 devono trovarsi nella stessa zona. La creazione dell'endpoint firewall nella stessa zona dei workload offre i seguenti vantaggi:

  • Latenza inferiore. Poiché gli endpoint firewall possono intercettare, ispezionare e reinserire il traffico nella rete, la latenza è inferiore a quella degli endpoint firewall in zone diverse.

  • Nessun traffico tra zone. Mantenere il traffico all'interno della stessa zona garantisce costi inferiori.

  • Traffico più affidabile. Mantenere il traffico all'interno della stessa zona elimina il rischio di interruzioni del servizio tra zone.

• Gli endpoint firewall possono elaborare fino a 2 Gbps di traffico con l'ispezione TLS (Transport Layer Security) e 10 Gbps di traffico senza ispezione TLS. L'invio di più traffico può causare la perdita di pacchetti. Per monitorare l'utilizzo della capacità dell'endpoint firewall, consulta metriche di sicurezza di rete.firewall_endpoint

• Gli endpoint firewall possono avere un throughput massimo per connessione di 250 Mbps di traffico con ispezione TLS e 1,25 Gbps di traffico senza ispezione TLS.

• Puoi creare un endpoint del firewall che elabora frame jumbo di dimensioni fino a 8500 byte. In alternativa, puoi creare un endpoint senza supporto per i jumbo frame. Per ulteriori informazioni, vedi Dimensioni dei pacchetti supportate.

• Puoi eliminare un endpoint firewall solo se non sono associate reti VPC.

• Google gestisce l'infrastruttura, il bilanciamento del carico, la scalabilità automatica e il ciclo di vita degli endpoint firewall. Quando crei un endpoint firewall, Google fornisce un insieme di istanze di macchine virtuali (VM) dedicate, che garantiscono affidabilità, prestazioni e isolamento della sicurezza per il tuo traffico, oltre alla gestione dei certificati.

• Google fornisce alta disponibilità utilizzando meccanismi di failover appropriati per gli endpoint firewall, il che garantisce una protezione firewall affidabile per tutte le istanze VM coperte dalla rete VPC collegata.

Associazioni di endpoint firewall

L'associazione di un endpoint firewall collega un endpoint firewall a una rete VPC nella stessa zona. Dopo aver definito questa associazione, Cloud NGFW inoltra il traffico dei workload zonali nella tua rete VPC che richiede l'ispezione di livello 7 all'endpoint firewall collegato.

Dimensione pacchetto supportata

Un endpoint del firewall supporta o non supporta i frame jumbo.

• Un endpoint firewall con supporto dei frame jumbo può accettare pacchetti fino a 8500 byte.

  Cloud NGFW riserva altri 396 byte per l'incapsulamento GENEVE (necessario per l'ispezione dei dati) e per altre estensioni. Pertanto, la dimensione totale del pacchetto di 8896 byte corrisponde all'unità massima di trasmissione (MTU) più elevata possibile supportata da Google Cloud .

• Un endpoint del firewall senza supporto dei frame jumbo può accettare pacchetti fino a 1460 byte.

Quando un endpoint riceve pacchetti più grandi, Cloud NGFW non esegue il servizio di rilevamento e prevenzione delle intrusioni. Pertanto, per eseguire correttamente il servizio di rilevamento e prevenzione delle intrusioni ed eseguire l'ispezione di livello 7, configura le reti VPC associate all'endpoint in modo che rispettino questi limiti MTU:

• Per un endpoint con supporto dei frame jumbo, assicurati che le reti VPC utilizzino un MTU di 8500 byte o inferiore.

• Per un endpoint senza supporto dei jumbo frame, assicurati che le reti VPC utilizzino un MTU di 1460 byte o inferiore.

Puoi creare un endpoint firewall con o senza supporto dei frame jumbo. Tuttavia, non puoi riconfigurare un endpoint esistente per aggiungere o rimuovere il supporto dei jumbo frame. Per aggiungere o rimuovere il supporto dei jumbo frame, elimina l'endpoint e ricrealo. Per saperne di più, consulta Crea un endpoint firewall.

Ruoli Identity and Access Management

I ruoli IAM (Identity and Access Management) regolano le seguenti azioni per la gestione degli endpoint firewall:

• Creazione di un endpoint firewall in un'organizzazione
• Modifica o eliminazione di un endpoint firewall
• Visualizzare i dettagli di un endpoint firewall
• Visualizzazione di tutti gli endpoint firewall configurati in un'organizzazione

La tabella seguente descrive i ruoli necessari per ogni passaggio.

Abilità	Ruolo necessario
Crea un nuovo endpoint firewall	Uno dei seguenti ruoli nell'organizzazione in cui viene creato l'endpoint firewall: Compute Network Admin (roles/compute.networkAdmin) Firewall Endpoint Admin (roles/networksecurity.firewallEndpointAdmin)
Modificare un endpoint firewall esistente	Uno qualsiasi dei seguenti ruoli nell'organizzazione: Compute Network Admin (roles/compute.networkAdmin) Firewall Endpoint Admin (roles/networksecurity.firewallEndpointAdmin)
Visualizza i dettagli dell'endpoint firewall in un'organizzazione	Uno qualsiasi dei seguenti ruoli nell'organizzazione: Compute Network Admin (roles/compute.networkAdmin) Compute Network User (roles/compute.networkUser) Compute Network Viewer (roles/compute.networkViewer) Firewall Endpoint Admin (roles/networksecurity.firewallEndpointAdmin)
Visualizzare tutti gli endpoint firewall in un'organizzazione	Uno qualsiasi dei seguenti ruoli nell'organizzazione: Compute Network Admin (roles/compute.networkAdmin) Compute Network User (roles/compute.networkUser) Compute Network Viewer (roles/compute.networkViewer) Firewall Endpoint Admin (roles/networksecurity.firewallEndpointAdmin)

I ruoli IAM regolano le seguenti azioni per le associazioni di endpoint firewall:

• Creazione di un'associazione di endpoint firewall in un progetto
• Modificare o eliminare un'associazione di endpoint firewall
• Visualizzare i dettagli di un'associazione di endpoint firewall
• Visualizzazione di tutte le associazioni di endpoint firewall configurate in un progetto

La tabella seguente descrive i ruoli necessari per ogni passaggio.

Abilità	Ruolo necessario
Crea un'associazione di endpoint firewall	Uno dei seguenti ruoli nel progetto in cui viene creata l'associazione di endpoint firewall: Amministratore di rete Compute (roles/compute.networkAdmin) Utente di rete Compute (roles/compute.networkUser) nell'organizzazione, che rappresenta le autorizzazioni per associare il VPC (di cui l'utente è amministratore) all'endpoint (che è una risorsa di proprietà dell'organizzazione, non necessariamente di proprietà del proprietario del VPC). Firewall Endpoint Admin (roles/networksecurity.firewallEndpointAdmin)
Modificare (aggiornare o eliminare) le associazioni di endpoint firewall	Uno dei seguenti ruoli nel progetto in cui esiste la rete VPC: Compute Network Admin (roles/compute.networkAdmin) Firewall Endpoint Admin (roles/networksecurity.firewallEndpointAdmin)
Visualizza i dettagli dell'associazione di endpoint firewall in un progetto	Uno qualsiasi dei seguenti ruoli nell'organizzazione: Compute Network Admin (roles/compute.networkAdmin) Compute Network User (roles/compute.networkUser) Compute Network Viewer (roles/compute.networkViewer) Firewall Endpoint Admin (roles/networksecurity.firewallEndpointAdmin)
Visualizza tutte le associazioni di endpoint firewall in un progetto.	Uno qualsiasi dei seguenti ruoli nell'organizzazione: Compute Network Admin (roles/compute.networkAdmin) Compute Network User (roles/compute.networkUser) Compute Network Viewer (roles/compute.networkViewer) Firewall Endpoint Admin (roles/networksecurity.firewallEndpointAdmin)

Quote

Per visualizzare le quote associate agli endpoint firewall, consulta Quote e limiti.

Prezzi

I prezzi degli endpoint firewall sono descritti nella sezione Prezzi di Cloud NGFW.

Passaggi successivi

• Configura il servizio di filtro URL
• Configura il servizio di rilevamento e prevenzione delle intrusioni
• Creare e gestire endpoint firewall
• Crea e gestisci le associazioni di endpoint firewall