방화벽 엔드포인트는 네트워크에 URL 필터링 서비스, 침입 감지 및 방지 서비스와 같은 레이어 7 고급 보호 기능을 사용 설정하는 Cloud Next Generation Firewall 리소스입니다.
이 페이지에서는 방화벽 엔드포인트 개요와 해당 기능을 자세히 설명합니다.
사양
방화벽 엔드포인트는 영역 수준에서 생성된 조직 리소스입니다.
방화벽 엔드포인트는 가로채기된 트래픽에서 레이어 7 방화벽 검사를 수행합니다.
Cloud Next Generation Firewall은 Google Cloud의 패킷 가로채기 기술을 사용하여 Virtual Private Cloud (VPC) 네트워크의 Google Cloud 워크로드에서 방화벽 엔드포인트로 트래픽을 투명하게 리디렉션합니다.
패킷 가로채기는 기존 라우팅 정책을 수정하지 않고 선택된 네트워크 트래픽 경로에 네트워크 어플라이언스를 투명하게 삽입하는 Google Cloud 기능입니다.
Cloud NGFW는 레이어 7 검사가 이 흐름에 적용되도록 구성된 경우에만 VPC 네트워크의 워크로드 트래픽을 방화벽 엔드포인트로 리디렉션합니다.
Cloud NGFW는 레이어 7 검사를 위해 방화벽 엔드포인트에 리디렉션된 각 패킷에 VPC 네트워크 식별자를 추가합니다. IP 주소 범위가 겹치는 VPC 네트워크가 여러 개 있는 경우 이 네트워크 식별자는 리디렉션된 각 패킷이 해당 VPC 네트워크에 올바르게 연결되도록 보장합니다.
영역에서 방화벽 엔드포인트를 만들고 VPC 네트워크 하나 이상에 연결하여 동일한 영역의 워크로드를 모니터링할 수 있습니다. VPC 네트워크가 여러 영역에 걸쳐 있으면 영역마다 방화벽 엔드포인트 하나를 연결할 수 있습니다. 특정 영역의 VPC 네트워크에 방화벽 엔드포인트를 연결하지 않으면 해당 영역의 워크로드 트래픽에 대한 레이어 7 검사가 수행되지 않습니다.
방화벽 엔드포인트 연결을 사용하여 방화벽 엔드포인트를 VPC 네트워크에 연결합니다.
레이어 7 검사를 사용 설정하려는 엔드포인트와 워크로드가 같은 영역에 있어야 합니다. 워크로드와 동일한 영역에 방화벽 엔드포인트를 만들면 다음과 같은 이점이 있습니다.
짧은 지연 시간. 방화벽 엔드포인트는 트래픽을 가로채서 검사하고 네트워크로 다시 삽입할 수 있으므로 지연 시간이 다른 영역의 방화벽 엔드포인트보다 짧습니다.
영역 간 트래픽 없음. 트래픽을 같은 영역 내에 유지하면 비용이 절감됩니다.
보다 안정적인 트래픽. 트래픽을 같은 영역 내에 유지하면 영역 간 중단 위험이 사라집니다.
방화벽 엔드포인트는 전송 계층 보안(TLS) 검사를 사용하여 트래픽을 최대 2Gbps까지 처리하고 TLS 검사 없이는 트래픽을 10Gbps까지 처리할 수 있습니다. 더 많은 트래픽을 전송하면 패킷이 손실될 수 있습니다. 방화벽 엔드포인트의 용량 사용률을 모니터링하려면
firewall_endpoint네트워크 보안 측정항목을 참고하세요.방화벽 엔드포인트는 TLS 검사를 사용하는 트래픽의 연결당 처리량이 최대 250Mbps이고 TLS 검사를 사용하지 않는 트래픽의 연결당 처리량이 최대 1.25Gbps일 수 있습니다.
크기가 최대 8,500바이트인 점보 프레임을 처리하는 방화벽 엔드포인트를 만들 수 있습니다. 또는 점보 프레임 지원 없이 엔드포인트를 만들 수 있습니다. 자세한 내용은 지원되는 패킷 크기를 참고하세요.
연결된 VPC 네트워크가 없는 경우에만 방화벽 엔드포인트를 삭제할 수 있습니다.
Google은 방화벽 엔드포인트의 인프라, 부하 분산, 자동 확장, 수명 주기를 관리합니다. 방화벽 엔드포인트를 만들 때 Google은 인증서 관리와 함께 트래픽의 안정성, 성능, 보안 격리를 보장하는 전용 가상 머신(VM) 인스턴스 집합을 제공합니다.
Google은 방화벽 엔드포인트에 적절한 장애 조치 메커니즘을 사용하여 고가용성을 제공하므로 연결된 VPC 네트워크 내에 있는 모든 VM 인스턴스에서 안정적인 방화벽 보호가 보장됩니다.
방화벽 엔드포인트 연결
방화벽 엔드포인트 연결은 방화벽 영역을 같은 영역의 VPC 네트워크에 연결합니다. 이 연결을 정의하면 Cloud NGFW에서 레이어 7 검사가 필요한 VPC 네트워크의 영역 워크로드 트래픽을 연결된 방화벽 엔드포인트로 전달합니다.
지원되는 패킷 크기
방화벽 엔드포인트는 점보 프레임을 지원하거나 지원하지 않습니다.
점보 프레임 지원이 있는 방화벽 엔드포인트는 최대 8,500바이트의 패킷을 허용할 수 있습니다.
Cloud NGFW는 GENEVE 캡슐화(데이터 검사에 필요) 및 기타 확장을 위해 396바이트를 추가로 예약합니다. 따라서 총 패킷 크기 8,896바이트는 Google Cloud 에서 지원하는 최대 전송 단위 (MTU)와 일치합니다.
점보 프레임 지원이 없는 방화벽 엔드포인트는 최대 1,460바이트의 패킷을 허용할 수 있습니다.
엔드포인트가 더 큰 패킷을 수신하면 Cloud NGFW는 침입 감지 및 방지 서비스를 실행하지 않습니다. 따라서 침입 감지 및 방지 서비스를 성공적으로 실행하고 레이어 7 검사를 수행하려면 엔드포인트와 연결된 VPC 네트워크를 구성하여 다음 MTU 한도를 따라야 합니다.
점보 프레임이 지원되는 엔드포인트의 경우 VPC 네트워크가 8,500바이트 이하의 MTU를 사용하는지 확인하세요.
점보 프레임이 지원되지 않는 엔드포인트의 경우 VPC 네트워크가 1,460바이트 이하의 MTU를 사용하는지 확인하세요.
점보 프레임 지원 여부와 관계없이 방화벽 엔드포인트를 만들 수 있습니다. 하지만 점보 프레임 지원을 추가하거나 삭제하도록 기존 엔드포인트를 재구성할 수는 없습니다. 점보 프레임 지원을 추가하거나 삭제하려면 엔드포인트를 삭제하고 다시 만드세요. 자세한 내용은 방화벽 엔드포인트 만들기를 참고하세요.
Identity and Access Management 역할
Identity and Access Management(IAM) 역할은 방화벽 엔드포인트를 관리할 수 있도록 다음 작업을 제어합니다.
- 조직에 방화벽 엔드포인트 만들기
- 방화벽 엔드포인트 수정 또는 삭제
- 방화벽 엔드포인트 세부정보 보기
- 조직에 구성된 모든 방화벽 엔드포인트 보기
다음 표에서는 각 단계에 필요한 역할을 설명합니다.
| 기능 | 필수 역할 |
|---|---|
| 새 방화벽 엔드포인트 만들기 | 방화벽 엔드포인트가 생성된 조직의 다음 역할 중 하나
Compute 네트워크 관리자 ( |
| 기존 방화벽 엔드포인트 수정 | 조직의 다음 역할 중 하나
Compute 네트워크 관리자 ( |
| 조직 내 방화벽 엔드포인트 세부정보 보기 | 조직의 다음 역할 중 하나
Compute 네트워크 관리자 ( |
| 조직 내 모든 방화벽 엔드포인트 보기 | 조직의 다음 역할 중 하나
Compute 네트워크 관리자 ( |
IAM 역할은 방화벽 엔드포인트 연결에 대한 다음 작업을 제어합니다.
- 프로젝트에 방화벽 엔드포인트 연결 만들기
- 방화벽 엔드포인트 연결 수정 또는 삭제
- 방화벽 엔드포인트 연결 세부정보 보기
- 프로젝트에 구성된 모든 방화벽 엔드포인트 연결 보기
다음 표에서는 각 단계에 필요한 역할을 설명합니다.
| 기능 | 필수 역할 |
|---|---|
| 방화벽 엔드포인트 연결 만들기 | 방화벽 엔드포인트 연결이 생성된 프로젝트의 다음 역할 중 하나
Compute 네트워크 관리자( |
| 방화벽 엔드포인트 연결 수정(업데이트 또는 삭제) | VPC 네트워크가 있는 프로젝트의 다음 역할 중 하나
Compute 네트워크 관리자 ( |
| 프로젝트의 방화벽 엔드포인트 연결 세부정보 보기 | 조직의 다음 역할 중 하나
Compute 네트워크 관리자 ( |
| 프로젝트의 모든 방화벽 엔드포인트 연결을 봅니다. | 조직의 다음 역할 중 하나
Compute 네트워크 관리자 ( |
할당량
방화벽 엔드포인트와 연결된 할당량을 보려면 할당량 및 한도를 참조하세요.
가격 책정
방화벽 엔드포인트 가격 책정 방식은 Cloud NGFW 가격 책정을 참조하세요.