L'endpoint firewall è una risorsa Cloud Next Generation Firewall che abilita funzionalità di protezione avanzata di livello 7, come il servizio di filtro URL e il servizio di rilevamento e prevenzione delle intrusioni, nella tua rete. Questa pagina fornisce una panoramica dettagliata degli endpoint firewall e delle loro funzionalità.
Specifiche
Un endpoint firewall è una risorsa di zona che puoi configurare a livello di organizzazione o di progetto.
Endpoint firewall a livello di organizzazione: utilizzalo per creare e gestire le policy a livello di organizzazione o di cartella.
Endpoint firewall a livello di progetto: utilizzalo per creare e gestire le policy all'interno di un progetto specifico.
Gli endpoint firewall eseguono l'ispezione firewall di livello 7 sul traffico intercettato.
Cloud Next Generation Firewall utilizza Google Cloud's la tecnologia di intercettazione dei pacchetti per reindirizzare in modo trasparente il traffico dai Google Cloud workload in una rete Virtual Private Cloud (VPC) agli endpoint firewall.
L'intercettazione dei pacchetti è una Google Cloud funzionalità che inserisce in modo trasparente le appliance di rete nel percorso del traffico di rete selezionato senza modificare le policy di routing esistenti.
Cloud NGFW reindirizza il traffico dei workload in una rete VPC all'endpoint firewall solo se l'ispezione di livello 7 è configurata per essere applicata a questo flusso.
Cloud NGFW aggiunge un identificatore di rete VPC a ogni pacchetto reindirizzato all'endpoint firewall per l'ispezione di livello 7. Se hai più reti VPC con intervalli di indirizzi IP sovrapposti, questo identificatore di rete consente di garantire che ogni pacchetto reindirizzato sia associato correttamente alla relativa rete VPC.
Puoi creare un endpoint firewall in una zona e collegarlo a una o più reti VPC per monitorare i workload nella stessa zona. Se la tua rete VPC si estende su più zone, puoi collegare un endpoint firewall in ogni zona. Se non colleghi un endpoint firewall a una rete VPC in una zona specifica, non viene eseguita alcuna ispezione di livello 7 sul traffico dei workload per quella zona.
Utilizza l'associazione di endpoint firewall per collegare un endpoint firewall a una rete VPC.
L'endpoint e i workload per i quali vuoi abilitare l'ispezione di livello 7 devono trovarsi nella stessa zona. La creazione dell'endpoint firewall nella stessa zona dei workload offre i seguenti vantaggi:
Latenza inferiore. Poiché gli endpoint firewall possono intercettare, ispezionare e reinserire il traffico nella rete, la latenza è inferiore a quella degli endpoint firewall in zone diverse.
Nessun traffico tra zone. Mantenere il traffico all'interno della stessa zona garantisce costi inferiori.
Traffico più affidabile. Mantenere il traffico all'interno della stessa zona elimina il rischio di interruzioni tra zone.
Gli endpoint firewall possono elaborare fino a 2 Gbps di traffico con l'ispezione TLS (Transport Layer Security) e 10 Gbps di traffico senza ispezione TLS. Il traffico eccessivo può sovraccaricare l'endpoint e causare perdite di pacchetti. Per monitorare l'utilizzo della capacità dell'endpoint firewall, consulta le metriche di sicurezza di rete
firewall_endpoint.Poiché l'endpoint non inoltra i messaggi non approvati, un endpoint sovraccarico potrebbe eliminare il traffico legittimo se non è in grado di ispezionarlo.
Gli endpoint firewall possono avere una velocità effettiva massima per connessione di 250 Mbps di traffico con ispezione TLS e 1,25 Gbps di traffico senza ispezione TLS.
Puoi creare un endpoint firewall che elabora frame jumbo di dimensioni fino a 8588 byte. In alternativa, puoi creare un endpoint senza supporto per i frame jumbo. Per ulteriori informazioni, consulta Dimensioni dei pacchetti supportate.
Puoi eliminare un endpoint firewall solo se non sono associate reti VPC.
Google gestisce l'infrastruttura, il bilanciamento del carico, lo scalabilità automatica e il ciclo di vita degli endpoint firewall. Quando crei un endpoint firewall, Google fornisce un insieme di istanze di macchine virtuali (VM) dedicate, che garantiscono affidabilità, prestazioni e isolamento della sicurezza per il tuo traffico, nonché la gestione dei certificati.
Google fornisce un'alta disponibilità utilizzando meccanismi di failover appropriati per gli endpoint firewall, che garantiscono una protezione firewall affidabile per tutte le istanze VM coperte all'interno della rete VPC collegata.
Gli endpoint firewall a livello di progetto supportano le chiavi di crittografia gestite dal cliente (CMEK). Puoi utilizzare le CMEK per proteggere i dati inattivi all'interno dell'infrastruttura firewall utilizzando le tue chiavi di crittografia. Per ulteriori informazioni, consulta Chiavi di crittografia gestite dal cliente.
Associazioni di endpoint firewall
L'associazione di endpoint firewall collega un endpoint firewall a una rete VPC nella stessa zona. Dopo aver definito questa associazione, Cloud NGFW inoltra il traffico dei workload a livello di zona nella rete VPC che richiede l'ispezione di livello 7 all'endpoint firewall collegato.
Puoi associare una rete VPC a un endpoint firewall a livello di organizzazione o di progetto. Per associare una rete VPC, tieni presente quanto segue:
Associazione tra progetti: se l'endpoint e la rete VPC si trovano in progetti diversi, entrambi i progetti devono appartenere alla stessa organizzazione.
Limite a livello di zona: associa una rete VPC a un solo endpoint firewall per zona. Questo limite include sia gli endpoint a livello di organizzazione sia quelli a livello di progetto.
Intercettazione del traffico da parte degli endpoint firewall a livello di progetto
Per intercettare e ispezionare il traffico utilizzando un endpoint firewall a livello di progetto, assicurati che siano soddisfatti i seguenti requisiti:
- Una rete VPC nella zona dell'istanza VM è associata all'endpoint firewall di destinazione.
- Il traffico corrisponde a una regola del criterio firewall con l'azione
apply_security_profile_group. - Il gruppo di profili di sicurezza esiste nello stesso progetto dell'endpoint firewall.
Dimensioni dei pacchetti supportate
Un endpoint firewall supporta o non supporta i frame jumbo.
Un endpoint firewall con supporto per i frame jumbo può accettare pacchetti fino a 8588 byte.
Cloud NGFW riserva altri 308 byte per l'incapsulamento GENEVE (necessario per l'ispezione dei dati) e per altre estensioni. Pertanto, la dimensione totale dei pacchetti di 8896 byte corrisponde all'unità massima di trasmissione (MTU) più elevata possibile che supporta. Google Cloud
Un endpoint firewall senza supporto per i frame jumbo può accettare pacchetti fino a 1460 byte.
Per eseguire correttamente l'ispezione di livello 7, configura le reti VPC associate all'endpoint in modo che rispettino questi limiti MTU:
Per un endpoint con supporto per i frame jumbo, assicurati che le reti VPC utilizzino un MTU di 8588 byte o inferiore.
Per un endpoint senza supporto per i frame jumbo, assicurati che le reti VPC utilizzino un MTU di 1460 byte o inferiore.
Puoi creare un endpoint firewall con o senza supporto per i frame jumbo. Tuttavia, non puoi riconfigurare un endpoint esistente per aggiungere o rimuovere il supporto per i frame jumbo. Per aggiungere o rimuovere il supporto per i frame jumbo, elimina l'endpoint e ricrealo. Per ulteriori informazioni, consulta Creare un endpoint firewall.
Ruoli IAM
I ruoli IAM (Identity and Access Management) regolano le seguenti azioni dell'endpoint firewall:
- Creazione di un endpoint firewall in un'organizzazione o in un progetto
- Modifica o eliminazione di un endpoint firewall in un'organizzazione o in un progetto
- Visualizzazione dei dettagli di un endpoint firewall in un'organizzazione o in un progetto
- Visualizzazione di tutti gli endpoint firewall configurati in un'organizzazione o in un progetto
La tabella seguente descrive i ruoli necessari per ogni passaggio.
| Capacità | Ruolo necessario |
|---|---|
| Crea un endpoint firewall | Uno dei seguenti ruoli:
|
| Modifica un endpoint firewall | Uno dei seguenti ruoli:
|
| Elimina un endpoint firewall | Uno dei seguenti ruoli:
|
| Visualizza i dettagli dell'endpoint firewall | Uno dei seguenti ruoli:
|
| Visualizza tutti gli endpoint firewall | Uno dei seguenti ruoli:
|
I ruoli IAM regolano le seguenti azioni di associazione degli endpoint firewall:
- Creazione di un'associazione di endpoint firewall in un progetto
- Modifica o eliminazione di un'associazione di endpoint firewall
- Visualizzazione dei dettagli di un'associazione di endpoint firewall
- Visualizzazione di tutte le associazioni di endpoint firewall configurate in un progetto
La tabella seguente descrive i ruoli necessari per ogni passaggio.
| Capacità | Ruolo necessario |
|---|---|
| Crea un'associazione di endpoint firewall | Uno dei seguenti ruoli:
|
| Modifica un'associazione di endpoint firewall | Uno dei seguenti ruoli:
|
| Elimina un'associazione di endpoint firewall | Uno dei seguenti ruoli:
|
| Visualizza i dettagli dell'associazione di endpoint firewall in un progetto | Uno dei seguenti ruoli:
|
| Visualizza tutte le associazioni di endpoint firewall in un progetto. | Uno dei seguenti ruoli:
|
Quote
Per visualizzare le quote associate agli endpoint firewall, consulta Quote e limiti.
Passaggi successivi
- Configura il servizio di filtro URL
- Configura il servizio di rilevamento e prevenzione delle intrusioni
- Crea e gestisci gli endpoint firewall
- Crea e gestisci le associazioni di endpoint firewall