Endpoint firewall adalah resource Cloud Next Generation Firewall yang memungkinkan kemampuan perlindungan tingkat lanjut Lapisan 7, seperti layanan pemfilteran URL dan layanan deteksi dan pencegahan penyusupan, di jaringan Anda.
Halaman ini memberikan ringkasan mendetail tentang endpoint firewall dan kemampuannya.
Spesifikasi
Endpoint firewall adalah resource zonal yang dapat Anda konfigurasi di tingkat organisasi atau tingkat project.
Endpoint firewall tingkat organisasi: administrator organisasi membuat dan mengelola endpoint ini untuk mengelola keamanan secara terpusat di seluruh organisasi Anda.
Endpoint firewall tingkat project (Pratinjau): administrator project membuat dan mengelola endpoint ini dalam project. Anda dapat mengaitkan jaringan VPC apa pun di organisasi dengan endpoint tingkat project. Buat endpoint firewall tingkat project jika Anda tidak dapat memperoleh izin tingkat organisasi untuk membuat endpoint firewall tingkat organisasi.
Endpoint firewall melakukan pemeriksaan firewall Layer 7 pada traffic yang dicegat.
Cloud Next Generation Firewall menggunakan teknologi pencegatan paket Google Clouduntuk mengalihkan traffic secara transparan dari workload Google Cloud di jaringan Virtual Private Cloud (VPC) ke endpoint firewall.
Penyadapan paket adalah kemampuan yang secara transparan menyisipkan peralatan jaringan di jalur traffic jaringan yang dipilih tanpa mengubah kebijakan pemilihan rute yang ada. Google Cloud
Cloud NGFW mengalihkan traffic beban kerja di jaringan VPC ke endpoint firewall hanya jika pemeriksaan Lapisan 7 dikonfigurasi untuk diterapkan ke alur ini.
Cloud NGFW menambahkan ID jaringan VPC ke setiap paket yang dialihkan ke endpoint firewall untuk inspeksi Lapisan 7. Jika Anda memiliki beberapa jaringan VPC dengan rentang alamat IP yang tumpang-tindih, ID jaringan ini membantu memastikan bahwa setiap paket yang dialihkan dikaitkan dengan benar dengan jaringan VPC-nya.
Anda dapat membuat endpoint firewall di zona dan melampirkannya ke satu atau beberapa jaringan VPC untuk memantau workload di zona yang sama. Jika jaringan VPC mencakup beberapa zona, Anda dapat melampirkan satu endpoint firewall di setiap zona. Jika Anda tidak melampirkan endpoint firewall ke jaringan VPC di zona tertentu, tidak ada pemeriksaan Layer 7 yang dilakukan pada traffic workload untuk zona tersebut.
Anda menggunakan asosiasi endpoint firewall untuk melampirkan endpoint firewall ke jaringan VPC.
Endpoint dan workload yang ingin Anda aktifkan pemeriksaan Lapisan 7-nya harus berada di zona yang sama. Membuat endpoint firewall di zona yang sama dengan workload memiliki manfaat berikut:
Latensi yang lebih rendah. Karena endpoint firewall dapat mencegat, memeriksa, dan menyuntikkan kembali traffic ke dalam jaringan, latensi lebih rendah daripada endpoint firewall di zona yang berbeda.
Tidak ada traffic lintas zona. Memastikan traffic tetap berada dalam zona yang sama akan memastikan biaya yang lebih rendah.
Traffic yang lebih andal. Mempertahankan traffic dalam zona yang sama akan menghilangkan risiko pemadaman lintas zona.
Endpoint firewall dapat memproses traffic hingga 2 Gbps dengan pemeriksaan Transport Layer Security (TLS), dan traffic 10 Gbps tanpa pemeriksaan TLS. Traffic yang berlebihan dapat membebani endpoint secara berlebihan dan menyebabkan kehilangan paket. Untuk memantau pemanfaatan kapasitas endpoint firewall, lihat Metrik keamanan jaringan
firewall_endpoint.Karena endpoint tidak meneruskan pesan yang tidak disetujui, endpoint yang kelebihan beban dapat membatalkan traffic yang sah jika tidak dapat memeriksa traffic.
Endpoint firewall dapat memiliki throughput maksimum per koneksi sebesar 250 Mbps untuk traffic dengan pemeriksaan TLS dan 1,25 Gbps untuk traffic tanpa pemeriksaan TLS.
Anda dapat membuat endpoint firewall yang memproses frame jumbo hingga berukuran 8.588 byte. Atau, Anda dapat membuat endpoint tanpa dukungan frame jumbo. Untuk mengetahui informasi selengkapnya, lihat Ukuran paket yang didukung.
Anda dapat menghapus endpoint firewall hanya jika tidak ada jaringan VPC yang terkait dengannya.
Google mengelola infrastruktur, load balancing, penskalaan otomatis, dan siklus proses endpoint firewall. Saat Anda membuat endpoint firewall, Google menyediakan serangkaian instance virtual machine (VM) khusus, yang memastikan keandalan, performa, dan isolasi keamanan untuk traffic Anda, beserta pengelolaan sertifikat.
Google menyediakan ketersediaan tinggi dengan menggunakan mekanisme failover yang tepat untuk endpoint firewall, yang memastikan perlindungan firewall yang andal untuk semua instance VM yang tercakup dalam jaringan VPC terlampir.
Asosiasi endpoint firewall
Pengaitan endpoint firewall menghubungkan endpoint firewall ke jaringan VPC di zona yang sama. Setelah Anda menentukan hubungan ini, Cloud NGFW akan meneruskan traffic workload zonal di jaringan VPC Anda yang memerlukan pemeriksaan Lapisan 7 ke endpoint firewall yang terpasang.
Anda dapat mengaitkan jaringan VPC dengan endpoint firewall tingkat organisasi atau tingkat project (Pratinjau). Untuk mengaitkan jaringan VPC, pertimbangkan hal berikut:
Asosiasi lintas project: jika endpoint dan jaringan VPC berada dalam project yang berbeda, kedua project harus termasuk dalam organisasi yang sama.
Batas per zona: kaitkan jaringan VPC dengan hanya satu endpoint firewall per zona. Batas ini mencakup endpoint tingkat organisasi dan tingkat project.
Intersepsi traffic oleh endpoint firewall tingkat project
Untuk mencegat dan memeriksa traffic menggunakan endpoint firewall tingkat project, pastikan persyaratan berikut terpenuhi:
- Jaringan VPC di zona instance VM dikaitkan dengan endpoint firewall target.
- Traffic cocok dengan aturan kebijakan firewall dengan tindakan
apply_security_profile_group. - Grup profil keamanan ada dalam project yang sama dengan endpoint firewall.
Ukuran paket yang didukung
Endpoint firewall mendukung atau tidak mendukung frame jumbo.
Endpoint firewall dengan dukungan frame jumbo dapat menerima paket hingga 8.588 byte.
Cloud NGFW mencadangkan 308 byte tambahan untuk enkapsulasi GENEVE (diperlukan untuk inspeksi data) dan untuk ekstensi lainnya. Oleh karena itu, total ukuran paket 8.896 byte cocok dengan unit transmisi maksimum (MTU) tertinggi yang didukung oleh Google Cloud .
Endpoint firewall tanpa dukungan frame jumbo dapat menerima paket hingga 1.460 byte.
Agar pemeriksaan Layer 7 berhasil dilakukan, konfigurasi jaringan VPC yang terkait dengan endpoint agar mengikuti batas MTU berikut:
Untuk endpoint dengan dukungan frame jumbo, pastikan jaringan VPC menggunakan MTU 8.588 byte atau kurang.
Untuk endpoint tanpa dukungan frame jumbo, pastikan jaringan VPC menggunakan MTU 1.460 byte atau kurang.
Anda dapat membuat endpoint firewall dengan atau tanpa dukungan frame jumbo. Namun, Anda tidak dapat mengonfigurasi ulang endpoint yang ada untuk menambahkan atau menghapus dukungan frame jumbo. Untuk menambahkan atau menghapus dukungan frame jumbo, hapus endpoint dan buat ulang. Untuk mengetahui informasi selengkapnya, lihat Membuat endpoint firewall.
Peran Identity and Access Management
Peran Pengelolaan Akses dan Identitas (IAM) mengatur tindakan berikut untuk mengelola endpoint firewall:
- Membuat endpoint firewall di organisasi atau project
- Mengubah atau menghapus endpoint firewall dalam organisasi atau project
- Melihat detail endpoint firewall dalam organisasi atau project
- Melihat semua endpoint firewall yang dikonfigurasi dalam organisasi atau project
Untuk mengelola endpoint tingkat organisasi, Anda harus memiliki peran Admin Endpoint Firewall
(roles/networksecurity.firewallEndpointAdmin)
yang diberikan di tingkat organisasi. Untuk mengelola endpoint tingkat project, Anda harus
diberi peran Firewall Endpoint Admin
(roles/networksecurity.firewallEndpointAdmin)
di tingkat project (Pratinjau) atau organisasi induknya.
Tabel berikut menjelaskan peran yang diperlukan untuk setiap langkah.
| Kemampuan | Peran yang diperlukan |
|---|---|
| Membuat endpoint firewall baru | Salah satu peran berikut di organisasi atau project tempat endpoint firewall berada:
|
| Mengubah endpoint firewall yang ada | Salah satu peran berikut di organisasi atau project tempat endpoint firewall dibuat:
|
| Melihat detail tentang endpoint firewall | Salah satu peran berikut di organisasi atau project tempat endpoint firewall berada:
|
| Melihat semua endpoint firewall | Salah satu peran berikut di organisasi atau project tempat endpoint firewall berada:
|
Peran IAM mengatur tindakan berikut untuk asosiasi endpoint firewall:
- Membuat pengaitan endpoint firewall dalam project
- Mengubah atau menghapus pengaitan endpoint firewall
- Melihat detail asosiasi endpoint firewall
- Melihat semua pengaitan endpoint firewall yang dikonfigurasi dalam project
Tabel berikut menjelaskan peran yang diperlukan untuk setiap langkah.
| Kemampuan | Peran yang diperlukan |
|---|---|
| Membuat pengaitan endpoint firewall | Salah satu peran berikut di organisasi atau project tempat asosiasi endpoint firewall
ada:
|
| Ubah (perbarui atau hapus) pengaitan endpoint firewall | Salah satu peran berikut pada project tempat jaringan VPC berada:
|
| Melihat detail tentang asosiasi endpoint firewall dalam project | Salah satu peran berikut di organisasi atau project ([Pratinjau](https://cloud.google.com/products#product-launch-stages)) tempat pembuatan asosiasi endpoint firewall:
|
| Melihat semua pengaitan endpoint firewall dalam project. | Salah satu peran berikut di organisasi atau project ([Pratinjau](https://cloud.google.com/products#product-launch-stages)) tempat pembuatan asosiasi endpoint firewall:
|
Kuota
Untuk melihat kuota yang terkait dengan endpoint firewall, lihat Kuota dan batas.
Langkah berikutnya
- Mengonfigurasi layanan pemfilteran URL
- Mengonfigurasi layanan deteksi dan pencegahan penyusupan
- Membuat dan mengelola endpoint firewall
- Membuat dan mengelola pengaitan endpoint firewall