O endpoint de firewall é um recurso do Cloud Next Generation Firewall que ativa recursos avançados de proteção da camada 7, como o serviço de filtragem de URL e o serviço de detecção e prevenção de intrusões, na sua rede.
Nesta página, você encontra informações detalhadas dos endpoints de firewall e dos recursos deles.
Especificações
Um endpoint de firewall é um recurso zonal que pode ser configurado no nível da organização ou do projeto.
Endpoints de firewall no nível da organização: os administradores da organização criam e gerenciam esses endpoints para gerenciar a segurança de maneira centralizada em toda a organização.
Endpoints de firewall no nível do projeto (prévia): os administradores do projeto criam e gerenciam esses endpoints em um projeto. É possível associar qualquer rede VPC na organização a um endpoint no nível do projeto. Crie endpoints de firewall para envolvidos no projeto se não for possível obter permissões no nível da organização para criar endpoints de firewall no nível da organização.
Os endpoints de firewall executam uma inspeção de firewall da camada 7 no tráfego interceptado.
O Cloud Next Generation Firewall usa a tecnologia de interceptação de pacotes do Google Cloudpara redirecionar de maneira transparente o tráfego das cargas de trabalho do Google Cloud em uma rede de nuvem privada virtual (VPC) para os endpoints de firewall.
A interceptação de pacotes é um recurso do Google Cloud que insere dispositivos de rede de maneira transparente no caminho do tráfego de rede selecionado, sem modificar as políticas de roteamento atuais.
O Cloud NGFW redirecionará o tráfego da carga de trabalho em uma rede VPC para o endpoint do firewall somente se a inspeção da camada 7 estiver configurada para ser aplicada a esse fluxo.
O Cloud NGFW adiciona um identificador de rede VPC a cada pacote redirecionado ao endpoint do firewall para inspeção da camada 7. Se você tiver várias redes VPC com intervalos de endereços IP sobrepostos, esse identificador de rede ajudará a garantir que cada pacote redirecionado esteja corretamente associado à respectiva rede VPC.
É possível criar um endpoint de firewall em uma zona e anexá-lo a uma ou mais redes VPC para monitorar cargas de trabalho na mesma zona. Se a rede VPC abrange várias zonas, é possível anexar um endpoint de firewall em cada zona. Se você não anexar um endpoint de firewall a uma rede VPC em uma zona específica, nenhuma inspeção da camada 7 será executada no tráfego de carga de trabalho dessa zona.
Use a associação de endpoints de firewall para anexar um endpoint de firewall a uma rede VPC.
O endpoint e as cargas de trabalho em que você quer ativar a inspeção da camada 7 precisam estar na mesma zona. A criação do endpoint de firewall na mesma zona das cargas de trabalho tem os seguintes benefícios:
Latência menor. Como os endpoints de firewall podem interceptar, inspecionar e reinjetar o tráfego na rede, a latência é menor do que a de endpoints de firewall em zonas diferentes.
Sem tráfego entre zonas. Manter o tráfego dentro da mesma zona garante custos menores.
Tráfego mais confiável. Manter o tráfego dentro da mesma zona remove o risco de interrupções entre zonas.
Os endpoints do firewall podem processar até 2 Gbps de tráfego com a inspeção Transport Layer Security (TLS) e 10 Gbps de tráfego sem inspeção TLS. O tráfego excessivo pode sobrecarregar o endpoint e causar perdas de pacotes. Para monitorar a utilização da capacidade do endpoint de firewall, consulte Métricas de segurança de rede
firewall_endpoint.Como o endpoint não encaminha mensagens não aprovadas, um endpoint sobrecarregado pode descartar tráfego legítimo se não conseguir inspecioná-lo.
Os endpoints de firewall podem ter uma capacidade máxima por conexão de 250 Mbps de tráfego com inspeção TLS e 1,25 Gbps de tráfego sem inspeção TLS.
É possível criar um endpoint de firewall que processe frames jumbo de até 8.500 bytes. Como alternativa, você pode criar um endpoint sem suporte a jumbo frame. Para mais informações, consulte Tamanho de pacote compatível.
Só é possível excluir um endpoint de firewall quando não há redes VPC associadas a ele.
O Google gerencia a infraestrutura, o balanceamento de carga, o escalonamento automático e o ciclo de vida dos endpoints de firewall. Quando você cria um endpoint de firewall, o Google fornece um conjunto de instâncias de máquina virtual (VM) dedicadas que garantem confiabilidade, desempenho e isolamento de segurança para seu tráfego, com o gerenciamento de certificados.
O Google oferece alta disponibilidade usando mecanismos de failover apropriados para os endpoints de firewall, o que garante uma proteção de firewall confiável para todas as instâncias de VM cobertas na rede VPC anexada.
Associações de endpoint de firewall
A associação de endpoints de firewall vincula um endpoint de firewall a uma rede VPC na mesma zona. Depois que você define essa associação, o Cloud Firewall encaminha o tráfego da carga de trabalho zonal em sua rede VPC que requer a inspeção da camada 7 para o endpoint do firewall anexado.
É possível associar uma rede VPC a um endpoint de firewall no nível da organização ou do projeto (pré-lançamento). Para associar uma rede VPC, considere o seguinte:
Associação entre projetos: se o endpoint e a rede VPC estiverem em projetos diferentes, ambos precisarão pertencer à mesma organização.
Limite zonal: associe uma rede VPC a apenas um endpoint de firewall por zona. Esse limite inclui endpoints no nível da organização e do projeto.
Interceptação de tráfego por endpoints de firewall no nível do projeto
Para interceptar e inspecionar o tráfego usando um endpoint de firewall para envolvidos no projeto, verifique se os seguintes requisitos são atendidos:
- Uma rede VPC na zona da instância de VM está associada ao endpoint de firewall de destino.
- O tráfego corresponde a uma regra de política de firewall com a ação
apply_security_profile_group. - O grupo de perfis de segurança existe no mesmo projeto que o endpoint de firewall.
Tamanho de pacote compatível
Um endpoint de firewall aceita ou não frames jumbo.
Um endpoint de firewall com suporte a frames jumbo pode aceitar pacotes de até 8.500 bytes.
O Cloud NGFW reserva mais 396 bytes para encapsulamento GENEVE (necessário para inspeção de dados) e outras extensões. Portanto, o tamanho total do pacote de 8.896 bytes corresponde à unidade máxima de transmissão (MTU) mais alta possível que o Google Cloud aceita.
Um endpoint de firewall sem suporte a frames jumbo pode aceitar pacotes de até 1.460 bytes.
Para realizar a inspeção da camada 7, configure as redes VPC associadas ao endpoint para seguir estes limites de MTU:
Para um endpoint com suporte a frames jumbo, verifique se as redes VPC usam uma MTU de 8.500 bytes ou menos.
Para um endpoint sem suporte a jumbo frames, verifique se as redes VPC usam uma MTU de 1.460 bytes ou menos.
É possível criar um endpoint de firewall com ou sem suporte a frames jumbo. No entanto, não é possível reconfigurar um endpoint atual para adicionar ou remover o suporte a jumbo frames. Para adicionar ou remover o suporte a jumbo frames, exclua e recrie o endpoint. Para mais informações, consulte Criar um endpoint de firewall.
Papéis do Identity and Access Management
Os papéis de Identity and Access Management (IAM) controlam as seguintes ações para gerenciar os endpoints de firewall:
- Como criar um endpoint de firewall em uma organização ou um projeto
- Como modificar ou excluir um endpoint de firewall em uma organização ou um projeto
- Como visualizar detalhes de um endpoint de firewall em uma organização ou um projeto
- Como visualizar todos os endpoints de firewall configurados em uma organização ou um projeto
Para gerenciar endpoints no nível da organização, você precisa ter o papel de administrador de endpoint de firewall
(roles/networksecurity.firewallEndpointAdmin)
concedido no nível da organização. Para gerenciar endpoints no nível do projeto, você precisa ter o papel de Administrador de endpoint de firewall (roles/networksecurity.firewallEndpointAdmin) concedido no nível do projeto (Prévia) ou na organização principal.
Veja na tabela a seguir os papéis necessários para cada etapa.
| Habilidade | Papel necessário |
|---|---|
| Criar um novo endpoint de firewall | Qualquer um dos seguintes papéis na organização ou no projeto em que o endpoint de firewall existe:
|
| Modificar um endpoint de firewall existente | Qualquer um dos seguintes papéis na organização ou no projeto em que o endpoint de firewall foi criado:
|
| Conferir detalhes sobre o endpoint de firewall | Qualquer um dos seguintes papéis na organização ou no projeto em que o
endpoint de firewall existe:
|
| Visualizar todos os endpoints de firewall | Qualquer um dos seguintes papéis na organização ou no projeto em que o
endpoint de firewall existe:
|
Os papéis de IAM controlam as seguintes ações para as associações de endpoints de firewall:
- Como criar uma associação de endpoint de firewall em um projeto
- Como modificar ou excluir uma associação de endpoint de firewall
- Como visualizar detalhes de uma associação de endpoint de firewall
- Como visualizar todas as associações de endpoints de firewall configurados em um projeto
Veja na tabela a seguir os papéis necessários para cada etapa.
| Habilidade | Papel necessário |
|---|---|
| Criar uma associação de endpoint de firewall | Qualquer um dos seguintes papéis na organização ou no projeto em que a associação de endpoint do firewall existe:
|
| Modificar (atualizar ou excluir) as associações de pontos de extremidade do firewall | Qualquer uma das seguintes funções no projeto em que a rede VPC existe:
|
| Visualizar detalhes sobre a associação de endpoints de firewall em um projeto | Qualquer um dos seguintes papéis na organização ou no projeto ([Prévia](https://cloud.google.com/products#product-launch-stages)) em que a associação de endpoint de firewall foi criada:
|
| Confira todas as associações de endpoints de firewall em um projeto. | Qualquer um dos seguintes papéis na organização ou no projeto ([Prévia](https://cloud.google.com/products#product-launch-stages)) em que a associação de endpoint de firewall foi criada:
|
Cotas
Para visualizar as cotas associadas aos endpoints de firewall, consulte Cotas e limites.
A seguir
- Configurar o serviço de filtragem de URL
- Configurar detecção de intrusões e prevenção de intrusões
- Criar e gerenciar endpoints de firewall
- Criar e gerenciar associações de endpoints de firewall