Descripción general del extremo de firewall

El extremo de firewall es un recurso de Cloud Next Generation Firewall que habilita las funciones avanzadas de protección de la capa 7, como el servicio de filtrado de URL y el servicio de detección y prevención de intrusiones, en tu red.

En esta página, se proporciona una descripción general detallada de los extremos de firewall y sus capacidades.

Especificaciones

• Un extremo de firewall es un recurso zonal que puedes configurar a nivel de la organización o del proyecto.

  • Extremos de firewall a nivel de la organización: Los administradores de la organización crean y administran estos extremos para administrar la seguridad de forma centralizada en toda la organización.

  • Extremos de firewall a nivel del proyecto (vista previa): Los administradores del proyecto crean y administran estos extremos dentro de un proyecto. Puedes asociar cualquier red de VPC de la organización con un extremo a nivel del proyecto. Crea extremos de firewall a nivel del proyecto si no puedes obtener permisos a nivel de la organización para crear extremos de firewall a nivel de la organización.

• Los extremos de firewall llevan a cabo una inspección de firewall de capa 7 en el tráfico interceptado.

• Cloud Next Generation Firewall usa la tecnología de interceptación de paquetes de Google Cloudpara redireccionar el tráfico con transparencia desde las cargas de trabajo de Google Cloud en una red de nube privada virtual (VPC) a los extremos del firewall.

  La interceptación de paquetes es una Google Cloud capacidad que inserta de manera transparente dispositivos de red en la ruta del tráfico de red seleccionado sin modificar sus políticas de enrutamiento existentes.

• Cloud NGFW redirecciona el tráfico de carga de trabajo en una red de VPC al extremo del firewall solo si la inspección de la capa 7 está configurada para aplicarse a este flujo.

• Cloud NGFW agrega un identificador de red de VPC a cada paquete redireccionado al extremo de firewall para la inspección de la capa 7. Si tienes varias redes de VPC con rangos de direcciones IP superpuestos, este identificador de red ayuda a garantizar que cada paquete redireccionado esté asociado de forma correcta con su red de VPC.

• Puedes crear un extremo de firewall en una zona y adjuntarlo a una o más redes de VPC para supervisar las cargas de trabajo en la misma zona. Si tu red de VPC abarca varias zonas, puedes conectar un extremo de firewall en cada zona. Si no conectas un extremo de firewall a una red de VPC en una zona específica, no se realiza ninguna inspección de capa 7 en el tráfico de carga de trabajo para esa zona.

  Usa la asociación de extremo de firewall para conectar un extremo de firewall a una red de VPC.

• El extremo y las cargas de trabajo para las que deseas habilitar la inspección de capa 7 deben estar en la misma zona. Crear el extremo de firewall en la misma zona que las cargas de trabajo tiene los siguientes beneficios:

  • Menor latencia. Debido a que los extremos de firewall pueden interceptar, inspeccionar y restablecer el tráfico en la red, la latencia es menor que la de los extremos de firewall en diferentes zonas.

  • No hay tráfico entre zonas. Mantener el tráfico dentro de la misma zona garantiza costos más bajos.

  • Tráfico más confiable. Mantener el tráfico dentro de la misma zona quita el riesgo de interrupciones interzonales.

• Los extremos de firewall pueden procesar hasta 2 Gbps de tráfico con una inspección de seguridad de la capa de transporte (TLS) y 10 Gbps de tráfico sin inspección de TLS. El tráfico excesivo puede sobrecargar el extremo y provocar pérdidas de paquetes. Para supervisar el uso de capacidad del extremo de firewall, consulta las métricas de seguridad de red de firewall_endpoint.

• Dado que el extremo no reenvía mensajes no aprobados, un extremo sobrecargado podría descartar tráfico legítimo si no puede inspeccionarlo.

• Los extremos de firewall pueden tener un máximo de capacidad de procesamiento por conexión de 250 Mbps de tráfico con inspección de TLS y 1.25 Gbps de tráfico sin inspección de TLS.

• Puedes crear un extremo de firewall que procese tramas jumbo de hasta 8,500 bytes. Como alternativa, puedes crear un extremo sin compatibilidad con tramas jumbo. Para obtener más información, consulta Tamaño de paquete admitido.

• Puedes borrar un extremo de firewall solo cuando no haya redes de VPC asociadas.

• Google administra la infraestructura, el balanceo de cargas, el ajuste de escala automático y el ciclo de vida de los extremos del firewall. Cuando creas un extremo de firewall, Google proporciona un conjunto de instancias de máquina virtual (VM) dedicadas, lo que garantiza la confiabilidad, el rendimiento y el aislamiento de seguridad para el tráfico, junto con la administración de certificados.

• Google proporciona alta disponibilidad mediante el uso de mecanismos de conmutación por error adecuados para los extremos de firewall, lo que garantiza una protección de firewall confiable para todas las instancias de VM cubiertas dentro de la red de VPC conectada.

Asociaciones de extremo de firewall

La asociación del extremo de firewall vincula un extremo de firewall a una red de VPC en la misma zona. Después de definir esta asociación, Cloud NGFW reenvía el tráfico de carga de trabajo zonal en tu red de VPC que requiere la inspección de la capa 7 al extremo del firewall adjunto.

Puedes asociar una red de VPC con un extremo de firewall a nivel de la organización o del proyecto (vista previa). Para asociar una red de VPC, ten en cuenta lo siguiente:

• Asociación entre proyectos: Si el extremo y la red de VPC están en proyectos diferentes, ambos proyectos deben pertenecer a la misma organización.

• Límite zonal: Asocia una red de VPC con solo un extremo de firewall por zona. Este límite incluye los extremos a nivel de la organización y a nivel de proyecto.

Interceptación de tráfico por parte de extremos de firewall a nivel del proyecto

Para interceptar e inspeccionar el tráfico con un extremo de firewall a nivel del proyecto, asegúrate de que se cumplan los siguientes requisitos:

• Una red de VPC en la zona de la instancia de VM está asociada con el extremo de firewall de destino.
• El tráfico coincide con una regla de política de firewall con la acción apply_security_profile_group.
• El grupo de perfiles de seguridad existe en el mismo proyecto que el extremo de firewall.

Tamaño de paquete admitido

Un extremo de firewall admite o no las tramas jumbo.

• Un extremo de firewall con compatibilidad con tramas jumbo puede aceptar paquetes de hasta 8,500 bytes.

  Cloud NGFW reserva 396 bytes adicionales para la encapsulación de GENEVE (necesaria para la inspección de datos) y otras extensiones. Por lo tanto, el tamaño total del paquete de 8,896 bytes coincide con la unidad de transmisión máxima (MTU) más alta posible que admite Google Cloud .

• Un extremo de firewall sin compatibilidad con tramas jumbo puede aceptar paquetes de hasta 1,460 bytes.

Para realizar la inspección de capa 7 correctamente, configura las redes de VPC asociadas con el extremo para que sigan estos límites de MTU:

• En el caso de un extremo que admita marcos jumbo, asegúrate de que las redes de VPC usen una MTU de 8,500 bytes o menos.

• Para un extremo sin compatibilidad con tramas jumbo, asegúrate de que las redes de VPC usen una MTU de 1,460 bytes o menos.

Puedes crear un extremo de firewall con o sin compatibilidad con tramas jumbo. Sin embargo, no puedes reconfigurar un extremo existente para agregar o quitar la compatibilidad con tramas jumbo. Para agregar o quitar la compatibilidad con tramas jumbo, borra el extremo y vuelve a crearlo. Para obtener más información, consulta Crea un extremo de firewall.

Roles de Identity and Access Management

Las funciones de Identity and Access Management (IAM) rigen las siguientes acciones para administrar los extremos de firewall:

• Crea un extremo de firewall en una organización o un proyecto
• Modifica o borra un extremo de firewall en una organización o un proyecto
• Visualiza los detalles de un extremo de firewall en una organización o un proyecto
• Visualiza todos los extremos de firewall configurados en una organización o un proyecto

Para administrar los extremos a nivel de la organización, debes tener el rol de administrador de extremos de firewall (roles/networksecurity.firewallEndpointAdmin) otorgado a nivel de la organización. Para administrar los extremos a nivel del proyecto, debes tener el rol de administrador de extremos de firewall (roles/networksecurity.firewallEndpointAdmin) otorgado a nivel del proyecto (versión preliminar) o de su organización principal.

En la siguiente tabla, se describen los roles necesarios para cada paso.

Capacidad	Rol necesario
Crea un nuevo extremo de firewall	Cualquiera de los siguientes roles en la organización o el proyecto en el que existe el extremo de firewall: Administrador de la red de Compute (roles/compute.networkAdmin) Administrador de extremos de firewall (roles/networksecurity.firewallEndpointAdmin) a nivel de la organización para los extremos de firewall a nivel de la organización y a nivel del proyecto (Vista previa) o de la organización para los extremos de firewall.
Modifica un extremo de firewall existente	Cualquiera de los siguientes roles en la organización o el proyecto en el que se crea el extremo de firewall: Administrador de red de Compute (roles/compute.networkAdmin) Administrador de extremos de firewall (roles/networksecurity.firewallEndpointAdmin) a nivel de la organización para los extremos de firewall a nivel de la organización y a nivel del proyecto (Vista previa) o de la organización para los extremos de firewall.
Visualiza detalles sobre el extremo de firewall	Cualquiera de los siguientes roles en la organización o el proyecto en el que existe el extremo de firewall: Administrador de red de Compute (roles/compute.networkAdmin) Usuario de red de Compute (roles/compute.networkUser) Visualizador de la red de Compute (roles/compute.networkViewer) Administrador de extremos de firewall (roles/networksecurity.firewallEndpointAdmin) a nivel de la organización para los extremos de firewall a nivel de la organización y a nivel del proyecto (Vista previa) o de la organización para los extremos de firewall.
Visualiza todos los extremos de firewall	Cualquiera de los siguientes roles en la organización o el proyecto en el que existe el extremo de firewall: Administrador de red de Compute (roles/compute.networkAdmin) Usuario de red de Compute (roles/compute.networkUser) Visualizador de la red de Compute (roles/compute.networkViewer) Administrador de extremos de firewall (roles/networksecurity.firewallEndpointAdmin) a nivel de la organización para los extremos de firewall a nivel de la organización y a nivel del proyecto (Vista previa) o de la organización para los extremos de firewall.

Los roles de IAM rigen las siguientes acciones para las asociaciones de extremos de firewall:

• Crea una asociación de extremo de firewall en un proyecto
• Modifica o borra una asociación de extremo de firewall
• Visualiza los detalles de una asociación de extremo de firewall
• Visualiza todas las asociaciones de extremos de firewall configuradas en un proyecto

En la siguiente tabla, se describen los roles necesarios para cada paso.

Capacidad	Rol necesario
Crear una asociación de extremo de firewall	Cualquiera de los siguientes roles en la organización o el proyecto en el que existe la asociación del extremo de firewall: Administrador de red de Compute (roles/compute.networkAdmin) Usuario de la red de Compute (roles/compute.networkUser) Administrador de extremos de firewall (roles/networksecurity.firewallEndpointAdmin) a nivel de la organización para los extremos de firewall a nivel de la organización y a nivel del proyecto (Vista previa) o de la organización para los extremos de firewall.
Modifica (actualiza o borra) las asociaciones del extremo de firewall	Cualquiera de los siguientes roles en el proyecto en el que existe la red de VPC: Administrador de la red de Compute (roles/compute.networkAdmin) Administrador de extremos de firewall (roles/networksecurity.firewallEndpointAdmin) a nivel de la organización para los extremos de firewall a nivel de la organización y a nivel del proyecto (Vista previa) o de la organización para los extremos de firewall.
Visualiza los detalles de la asociación de extremos de firewall en un proyecto	Cualquiera de los siguientes roles en la organización o el proyecto ([Vista previa](https://cloud.google.com/products#product-launch-stages)) en el que se crea la asociación del extremo de firewall: Administrador de la red de Compute (roles/compute.networkAdmin) Usuario de red de Compute (roles/compute.networkUser) Visualizador de la red de Compute (roles/compute.networkViewer) Administrador de extremos de firewall (roles/networksecurity.firewallEndpointAdmin) a nivel de la organización para los extremos de firewall a nivel de la organización y a nivel del proyecto (Vista previa) o de la organización para los extremos de firewall.
Visualiza todas las asociaciones de extremos de firewall en un proyecto.	Cualquiera de los siguientes roles en la organización o el proyecto ([Vista previa](https://cloud.google.com/products#product-launch-stages)) en el que se crea la asociación del extremo de firewall: Administrador de la red de Compute (roles/compute.networkAdmin) Usuario de red de Compute (roles/compute.networkUser) Visualizador de la red de Compute (roles/compute.networkViewer) Administrador de extremos de firewall (roles/networksecurity.firewallEndpointAdmin) a nivel de la organización para los extremos de firewall a nivel de la organización y a nivel del proyecto (Vista previa) o de la organización para los extremos de firewall.

Cuotas

Para ver las cuotas asociadas con los extremos de firewall, consulta Cuotas y límites.

¿Qué sigue?

• Configura el servicio de filtrado de URLs
• Configura el servicio de detección y prevención de intrusiones
• Crea y administra extremos de firewall
• Crea y administra asociaciones de extremos de firewall