Endpoint firewall adalah resource Cloud Next Generation Firewall yang memungkinkan kemampuan perlindungan tingkat lanjut Lapisan 7, seperti layanan pemfilteran URL dan layanan deteksi dan pencegahan penyusupan, di jaringan Anda.
Halaman ini memberikan ringkasan mendetail tentang endpoint firewall dan kemampuannya.
Spesifikasi
Endpoint firewall adalah resource zonal yang dapat Anda konfigurasi di tingkat organisasi atau tingkat project.
Endpoint firewall tingkat organisasi: administrator organisasi membuat dan mengelola endpoint ini untuk mengelola keamanan secara terpusat di seluruh organisasi Anda.
Endpoint firewall tingkat project (Pratinjau): administrator project membuat dan mengelola endpoint ini dalam project. Anda dapat mengaitkan jaringan VPC apa pun di organisasi dengan endpoint tingkat project. Buat endpoint firewall tingkat project jika Anda tidak dapat memperoleh izin tingkat organisasi untuk membuat endpoint firewall tingkat organisasi.
Endpoint firewall melakukan pemeriksaan firewall Lapisan 7 pada traffic yang dicegat.
Cloud Next Generation Firewall menggunakan Google Cloud's teknologi pencegat paket untuk mengalihkan traffic secara transparan dari Google Cloud workload di jaringan Virtual Private Cloud (VPC) ke endpoint firewall.
Pencegat paket adalah Google Cloud kemampuan yang secara transparan menyisipkan peralatan jaringan di jalur traffic jaringan yang dipilih tanpa mengubah kebijakan pemilihan rute yang ada.
Cloud NGFW mengalihkan traffic workload di jaringan VPC ke endpoint firewall hanya jika pemeriksaan Lapisan 7 dikonfigurasi untuk diterapkan ke alur ini.
Cloud NGFW menambahkan ID jaringan VPC ke setiap paket yang dialihkan ke endpoint firewall untuk pemeriksaan Lapisan 7. Jika Anda memiliki beberapa jaringan VPC dengan rentang alamat IP yang tumpang-tindih, ID jaringan ini akan membantu memastikan bahwa setiap paket yang dialihkan dikaitkan dengan benar ke jaringan VPC-nya.
Anda dapat membuat endpoint firewall di zona dan melampirkannya ke satu atau beberapa jaringan VPC untuk memantau workload di zona yang sama. Jika jaringan VPC Anda mencakup beberapa zona, Anda dapat melampirkan satu endpoint firewall di setiap zona. Jika Anda tidak melampirkan endpoint firewall ke jaringan VPC di zona tertentu, tidak ada pemeriksaan Lapisan 7 yang dilakukan pada traffic workload untuk zona tersebut.
Anda menggunakan pengaitan endpoint firewall untuk melampirkan endpoint firewall ke jaringan VPC.
Endpoint dan workload yang ingin Anda aktifkan pemeriksaan Lapisan 7 harus berada di zona yang sama. Membuat endpoint firewall di zona yang sama dengan workload memiliki manfaat berikut:
Latensi yang lebih rendah. Karena endpoint firewall dapat mencegat, memeriksa, dan menyuntikkan kembali traffic ke jaringan, latensinya lebih rendah daripada endpoint firewall di zona yang berbeda.
Tidak ada traffic lintas zona. Mempertahankan traffic dalam zona yang sama memastikan biaya yang lebih rendah.
Traffic yang lebih andal. Mempertahankan traffic dalam zona yang sama menghilangkan risiko pemadaman layanan lintas zona.
Endpoint firewall dapat memproses traffic hingga 2 Gbps dengan pemeriksaan Transport Layer Security (TLS), dan traffic 10 Gbps tanpa pemeriksaan TLS. Traffic yang berlebihan dapat membebani endpoint dan menyebabkan kehilangan paket. Untuk memantau penggunaan kapasitas endpoint firewall, lihat
firewall_endpointmetrik keamanan jaringan.Karena endpoint tidak meneruskan pesan yang tidak disetujui, endpoint yang kelebihan beban mungkin akan menghilangkan traffic yang sah jika tidak dapat memeriksa traffic.
Endpoint firewall dapat memiliki throughput maksimum per koneksi sebesar 250 Mbps traffic dengan pemeriksaan TLS dan 1,25 Gbps traffic tanpa pemeriksaan TLS.
Anda dapat membuat endpoint firewall yang memproses frame jumbo hingga berukuran 8.500 byte. Atau, Anda dapat membuat endpoint tanpa dukungan frame jumbo. Untuk mengetahui informasi selengkapnya, lihat Ukuran paket yang didukung.
Anda hanya dapat menghapus endpoint firewall jika tidak ada jaringan VPC yang terkait dengannya.
Google mengelola infrastruktur, load balancing, penskalaan otomatis, dan siklus proses endpoint firewall. Saat Anda membuat endpoint firewall, Google menyediakan serangkaian instance mesin virtual (VM) khusus, yang memastikan keandalan, performa, dan isolasi keamanan untuk traffic Anda, beserta pengelolaan sertifikat.
Google menyediakan ketersediaan tinggi dengan menggunakan mekanisme failover yang tepat untuk endpoint firewall, yang memastikan perlindungan firewall yang andal untuk semua instance VM yang tercakup dalam jaringan VPC terlampir.
Pengaitan endpoint firewall
Pengaitan endpoint firewall menautkan endpoint firewall ke jaringan VPC di zona yang sama. Setelah Anda menentukan pengaitan ini, Cloud NGFW akan meneruskan traffic workload zonal di jaringan VPC Anda yang memerlukan pemeriksaan Lapisan 7 ke endpoint firewall terlampir.
Anda dapat mengaitkan jaringan VPC dengan endpoint firewall tingkat organisasi atau tingkat project (Pratinjau). Untuk mengaitkan jaringan VPC, pertimbangkan hal berikut:
Pengaitan lintas project: jika endpoint dan jaringan VPC berada di project yang berbeda, kedua project harus berada dalam organisasi yang sama.
Batas zonal: kaitkan jaringan VPC hanya dengan satu endpoint firewall per zona. Batas ini mencakup endpoint tingkat organisasi dan tingkat project.
Pencegatan traffic oleh endpoint firewall tingkat project
Untuk mencegat dan memeriksa traffic menggunakan endpoint firewall tingkat project, pastikan persyaratan berikut terpenuhi:
- Jaringan VPC di zona instance VM dikaitkan dengan endpoint firewall target.
- Traffic cocok dengan aturan kebijakan firewall dengan tindakan
apply_security_profile_group. - Grup profil keamanan ada di project yang sama dengan endpoint firewall.
Ukuran paket yang didukung
Endpoint firewall mendukung atau tidak mendukung frame jumbo.
Endpoint firewall dengan dukungan frame jumbo dapat menerima paket hingga 8.500 byte.
Cloud NGFW mencadangkan 396 byte tambahan untuk enkapsulasi GENEVE (diperlukan untuk pemeriksaan data) dan untuk ekstensi lainnya. Oleh karena itu, ukuran paket total 8.896 byte cocok dengan unit transmisi maksimum (MTU) tertinggi yang didukung Google Cloud .
Endpoint firewall tanpa dukungan frame jumbo dapat menerima paket hingga 1.460 byte.
Untuk berhasil melakukan pemeriksaan Lapisan 7, konfigurasi jaringan VPC yang terkait dengan endpoint untuk mengikuti batas MTU berikut:
Untuk endpoint dengan dukungan frame jumbo, pastikan jaringan VPC menggunakan MTU 8.500 byte atau kurang.
Untuk endpoint tanpa dukungan frame jumbo, pastikan jaringan VPC menggunakan MTU 1.460 byte atau kurang.
Anda dapat membuat endpoint firewall dengan atau tanpa dukungan frame jumbo. Namun, Anda tidak dapat mengonfigurasi ulang endpoint yang ada untuk menambahkan atau menghapus dukungan frame jumbo. Untuk menambahkan atau menghapus dukungan frame jumbo, hapus endpoint dan buat ulang. Untuk mengetahui informasi selengkapnya, lihat Membuat endpoint firewall.
Peran Identity and Access Management
Peran Identity and Access Management (IAM) mengatur tindakan berikut untuk mengelola endpoint firewall:
- Membuat endpoint firewall di organisasi atau project
- Mengubah atau menghapus endpoint firewall di organisasi atau project
- Melihat detail endpoint firewall di organisasi atau project
- Melihat semua endpoint firewall yang dikonfigurasi di organisasi atau project
Untuk mengelola endpoint tingkat organisasi, Anda harus memiliki peran Admin Endpoint Firewall
(roles/networksecurity.firewallEndpointAdmin)
yang diberikan di tingkat organisasi. Untuk mengelola endpoint tingkat project, Anda harus
memiliki peran Admin Endpoint Firewall
(roles/networksecurity.firewallEndpointAdmin)
yang diberikan di tingkat project (Pratinjau) atau organisasi induknya.
Tabel berikut menjelaskan peran yang diperlukan untuk setiap langkah.
| Kemampuan | Peran yang diperlukan |
|---|---|
| Membuat endpoint firewall baru | Salah satu peran berikut di organisasi atau project tempat endpoint firewall berada:
|
| Mengubah endpoint firewall yang ada | Salah satu peran berikut di organisasi atau project tempat endpoint firewall dibuat:
|
| Melihat detail tentang endpoint firewall | Salah satu peran berikut di organisasi atau project tempat endpoint firewall berada:
|
| Melihat semua endpoint firewall | Salah satu peran berikut di organisasi atau project tempat endpoint firewall berada:
|
Peran IAM mengatur tindakan berikut untuk pengaitan endpoint firewall:
- Membuat pengaitan endpoint firewall di project
- Mengubah atau menghapus pengaitan endpoint firewall
- Melihat detail pengaitan endpoint firewall
- Melihat semua pengaitan endpoint firewall yang dikonfigurasi di project
Tabel berikut menjelaskan peran yang diperlukan untuk setiap langkah.
| Kemampuan | Peran yang diperlukan |
|---|---|
| Membuat pengaitan endpoint firewall | Salah satu peran berikut di organisasi atau project tempat pengaitan endpoint firewall berada:
|
| Mengubah (memperbarui atau menghapus) pengaitan endpoint firewall | Salah satu peran berikut di project tempat jaringan VPC berada:
|
| Melihat detail tentang pengaitan endpoint firewall di project | Salah satu peran berikut di organisasi atau project ([Pratinjau](https://cloud.google.com/products#product-launch-stages)) tempat pengaitan endpoint firewall dibuat:
|
| Melihat semua pengaitan endpoint firewall di project. | Salah satu peran berikut di organisasi atau project ([Pratinjau](https://cloud.google.com/products#product-launch-stages)) tempat pengaitan endpoint firewall dibuat:
|
Kuota
Untuk melihat kuota yang terkait dengan endpoint firewall, lihat Kuota dan batas.
Langkah berikutnya
- Mengonfigurasi layanan pemfilteran URL
- Mengonfigurasi layanan deteksi dan pencegahan penyusupan
- Membuat dan mengelola endpoint firewall
- Membuat dan mengelola pengaitan endpoint firewall