ファイアウォール エンドポイントは、ネットワークで URL フィルタリング サービスや侵入検知 / 防止サービスなどのレイヤ 7 の高度な保護機能を有効にする Cloud Next Generation Firewall リソースです。
このページでは、ファイアウォール エンドポイントとその機能について詳しく説明します。
仕様
ファイアウォール エンドポイントは、組織レベルまたはプロジェクト レベルで構成できるゾーンリソースです。
組織レベルのファイアウォール エンドポイント: 組織管理者は、組織全体でセキュリティを一元的に管理するために、これらのエンドポイントを作成して管理します。
プロジェクト レベルのファイアウォール エンドポイント(プレビュー): プロジェクト管理者は、プロジェクト内でこれらのエンドポイントを作成して管理します。組織内の任意の VPC ネットワークをプロジェクト レベルのエンドポイントに関連付けることができます。組織レベルのファイアウォール エンドポイントを作成するための組織レベルの権限を取得できない場合は、プロジェクト レベルのファイアウォール エンドポイントを作成します。
ファイアウォール エンドポイントは、インターセプトされたトラフィックに対してレイヤ 7 ファイアウォール検査を実行します。
Cloud Next Generation Firewall は、 Google Cloudのパケット インターセプト テクノロジーを使用して、Virtual Private Cloud(VPC)ネットワーク内の Google Cloud ワークロードからファイアウォール エンドポイントにトラフィックを透過的にリダイレクトします。
パケット インターセプトは、既存のルーティング ポリシーを変更することなく、選択したネットワーク トラフィックのパスにネットワーク アプライアンスを透過的に挿入する機能です。 Google Cloud
Cloud NGFW は、レイヤ 7 検査がこのフローに適用されるように構成されている場合にのみ、VPC ネットワーク内のワークロード トラフィックをファイアウォール エンドポイントにリダイレクトします。
Cloud NGFW は、レイヤ 7 検査のためにファイアウォール エンドポイントにリダイレクトされる各パケットに VPC ネットワーク識別子を追加します。IP アドレス範囲が重複する複数の VPC ネットワークがある場合、このネットワーク識別子により、リダイレクトされる各パケットが VPC ネットワークに正しく関連付けられます。
ゾーンにファイアウォール エンドポイントを作成して 1 つ以上の VPC ネットワークに接続すると、同じゾーン内のワークロードをモニタリングできます。VPC ネットワークが複数のゾーンにまたがっている場合は、各ゾーンに 1 つのファイアウォール エンドポイントを接続できます。特定のゾーンの VPC ネットワークにファイアウォール エンドポイントを接続しないと、そのゾーンのワークロード トラフィックにレイヤ 7 検査は実行されません。
ファイアウォール エンドポイントの関連付けを使用して、ファイアウォール エンドポイントを VPC ネットワークに接続します。
レイヤ 7 検査を有効にするエンドポイントとワークロードは、同じゾーンに存在する必要があります。ワークロードと同じゾーンにファイアウォール エンドポイントを作成すると、次の利点があります。
レイテンシの短縮。ファイアウォール エンドポイントは、トラフィックをインターセプト、検査、再挿入できるため、異なるゾーンにあるファイアウォール エンドポイントよりもレイテンシが低くなります。
ゾーン間トラフィックがない。トラフィックを同じゾーン内に維持することで、コストが削減されます。
トラフィックの信頼性が向上。トラフィックを同じゾーン内に維持することで、ゾーンをまたいだサービスの停止のリスクを回避できます。
ファイアウォール エンドポイントは、Transport Layer Security(TLS)インスペクションで最大 2 Gbps のトラフィック、TLS インスペクションなしで 10 Gbps のトラフィックを処理できます。トラフィックが過剰になると、エンドポイントが過負荷になり、パケットロスが発生する可能性があります。ファイアウォール エンドポイントの容量使用率をモニタリングするには、
firewall_endpointネットワーク セキュリティ指標をご覧ください。エンドポイントは承認されていないメッセージを転送しないため、過負荷状態のエンドポイントは、トラフィックを検査できない場合、正当なトラフィックをドロップする可能性があります。
ファイアウォール エンドポイントでは、TLS インスペクションありのトラフィックで接続あたりの最大スループットが 250 Mbps、TLS インスペクションなしのトラフィックで 1.25 Gbps になります。
最大 8,500 バイトのジャンボ フレームを処理するファイアウォール エンドポイントを作成できます。ジャンボ フレームをサポートしないエンドポイントを作成することもできます。詳細については、サポートされているパケットサイズをご覧ください。
ファイアウォール エンドポイントを削除できるのは、関連付けられている VPC ネットワークがない場合のみです。
Google は、ファイアウォール エンドポイントのインフラストラクチャ、ロード バランシング、自動スケーリング、ライフサイクルを管理します。ファイアウォール エンドポイントを作成すると、Google は一連の専用仮想マシン(VM)インスタンスを提供します。これにより、トラフィックの信頼性、パフォーマンス、セキュリティの分離を確保し、証明書を管理できます。
Google では、ファイアウォール エンドポイントに適切なフェイルオーバー メカニズムを使用して高可用性を実現しています。これにより、接続された VPC ネットワーク内のすべての VM インスタンスに対して信頼性の高いファイアウォール保護が保証されます。
ファイアウォール エンドポイントの関連付け
ファイアウォール エンドポイントの関連付けは、ファイアウォール エンドポイントを同じゾーン内の VPC ネットワークにリンクします。この関連付けを定義すると、Cloud NGFW は、レイヤ 7 検査を必要とする VPC ネットワーク内のゾーン ワークロード トラフィックを、接続されたファイアウォール エンドポイントに転送します。
VPC ネットワークは、組織レベルまたはプロジェクト レベルのファイアウォール エンドポイントに関連付けることができます(プレビュー)。VPC ネットワークを関連付ける場合は、次の点を考慮してください。
クロス プロジェクト関連付け: エンドポイントと VPC ネットワークが異なるプロジェクトにある場合、両方のプロジェクトが同じ組織に属している必要があります。
ゾーンの上限: VPC ネットワークをゾーンごとに 1 つのファイアウォール エンドポイントのみに関連付けます。この上限には、組織レベルとプロジェクト レベルの両方のエンドポイントが含まれます。
プロジェクト レベルのファイアウォール エンドポイントによるトラフィックのインターセプト
プロジェクト レベルのファイアウォール エンドポイントを使用してトラフィックをインターセプトして検査するには、次の要件を満たしていることを確認します。
- VM インスタンスのゾーン内の VPC ネットワークが、ターゲット ファイアウォール エンドポイントに関連付けられています。
- トラフィックが
apply_security_profile_groupアクションを含むファイアウォール ポリシー ルールに一致する。 - セキュリティ プロファイル グループがファイアウォール エンドポイントと同じプロジェクトに存在する。
サポートされているパケットサイズ
ファイアウォール エンドポイントは、ジャンボ フレームをサポートするか、サポートしないかのいずれかです。
ジャンボ フレームをサポートするファイアウォール エンドポイントは、最大 8,500 バイトのパケットを受け入れることができます。
Cloud NGFW は、GENEVE カプセル化(データ検査に必要)とその他の拡張機能用に 396 バイトを追加で予約します。したがって、8,896 バイトの合計パケットサイズは、 Google Cloud がサポートする最大伝送単位(MTU)の最大値と一致します。
ジャンボ フレームをサポートしていないファイアウォール エンドポイントは、最大 1,460 バイトのパケットを受け入れることができます。
レイヤ 7 インスペクションを正常に実行するには、エンドポイントに関連付けられた VPC ネットワークを構成して、次の MTU 制限に従うようにします。
ジャンボ フレームをサポートするエンドポイントの場合は、VPC ネットワークで 8,500 バイト以下の MTU が使用されていることを確認してください。
ジャンボ フレームをサポートしていないエンドポイントの場合は、VPC ネットワークで 1,460 バイト以下の MTU が使用されていることを確認してください。
ジャンボ フレームのサポートの有無にかかわらず、ファイアウォール エンドポイントを作成できます。ただし、既存のエンドポイントを再構成して、ジャンボ フレームのサポートを追加または削除することはできません。ジャンボ フレームのサポートを追加または削除するには、エンドポイントを削除して再作成します。詳細については、ファイアウォール エンドポイントを作成するをご覧ください。
Identity and Access Management ロール
Identity and Access Management(IAM)ロールは、ファイアウォール エンドポイントを管理するための次の操作を管理します。
- 組織またはプロジェクトでのファイアウォール エンドポイントの作成
- 組織またはプロジェクトでのファイアウォール エンドポイントの変更または削除
- 組織またはプロジェクト内のファイアウォール エンドポイントの詳細を表示する
- 組織またはプロジェクトで構成されているすべてのファイアウォール エンドポイントの表示
組織レベルのエンドポイントを管理するには、組織レベルで ファイアウォール エンドポイント管理者ロール(roles/networksecurity.firewallEndpointAdmin)が付与されている必要があります。プロジェクト レベルのエンドポイントを管理するには、プロジェクト レベル(プレビュー)またはその親組織で Firewall Endpoint 管理者ロール(roles/networksecurity.firewallEndpointAdmin)が付与されている必要があります。
次の表に、各ステップに必要なロールを示します。
| 機能 | 必要なロール |
|---|---|
| 新しいファイアウォール エンドポイントを作成する | ファイアウォール エンドポイントが存在する組織またはプロジェクトに対する次のロールのいずれか。
|
| 既存のファイアウォール エンドポイントを変更する | ファイアウォール エンドポイントが作成される組織またはプロジェクトに対する次のいずれかのロール:
|
| ファイアウォール エンドポイントの詳細を表示する | ファイアウォール エンドポイントが存在する組織またはプロジェクトに対する次のロールのいずれか:
|
| すべてのファイアウォール エンドポイントを表示する | ファイアウォール エンドポイントが存在する組織またはプロジェクトに対する次のロールのいずれか:
|
IAM ロールは、ファイアウォール エンドポイントの関連付けに関して次のアクションを管理します。
- プロジェクトでのファイアウォール エンドポイントの関連付けの作成
- ファイアウォール エンドポイントの関連付けの変更または削除
- ファイアウォール エンドポイントの関連付けの詳細の表示
- プロジェクトで構成されたすべてのファイアウォール エンドポイントの関連付けの表示
次の表に、各ステップに必要なロールを示します。
| 機能 | 必要なロール |
|---|---|
| ファイアウォール エンドポイントの関連付けを作成する | ファイアウォール エンドポイントの関連付けが存在する組織またはプロジェクトに対する次のいずれかのロール。
|
| ファイアウォール エンドポイントの関連付けを変更する(更新または削除) | VPC ネットワークが存在するプロジェクトに対する次のいずれかのロール。
|
| プロジェクト内のファイアウォール エンドポイントの関連付けの詳細を表示する | ファイアウォール エンドポイントの関連付けが作成される組織またはプロジェクト([プレビュー](https://cloud.google.com/products#product-launch-stages))に対する次のいずれかのロール:
|
| プロジェクト内のすべてのファイアウォール エンドポイントの関連付けを表示します。 | ファイアウォール エンドポイントの関連付けが作成される組織またはプロジェクト([プレビュー](https://cloud.google.com/products#product-launch-stages))に対する次のいずれかのロール:
|
割り当て
ファイアウォール エンドポイントに関連付けられた割り当てを表示するには、割り当てと上限をご覧ください。