Un endpoint de cortafuegos es un recurso de cortafuegos de nueva generación de Cloud que habilita funciones de protección avanzada de la capa 7, como el servicio de filtrado de URLs y el servicio de detección y prevención de intrusiones, en tu red.
En esta página se ofrece una descripción detallada de los endpoints de firewall y sus funciones.
Especificaciones
Un endpoint de cortafuegos es un recurso de organización creado a nivel de zona.
Los endpoints de cortafuegos realizan una inspección de cortafuegos de capa 7 en el tráfico interceptado.
El cortafuegos de nueva generación de Cloud usa la tecnología de interceptación de paquetes de Google Cloudpara redirigir de forma transparente el tráfico de las cargas de trabajo de Google Cloud en una red de nube privada virtual (VPC) a los endpoints del cortafuegos.
La interceptación de paquetes es una Google Cloud función que inserta de forma transparente dispositivos de red en la ruta del tráfico de red seleccionado sin modificar sus políticas de enrutamiento.
Cloud NGFW redirige el tráfico de la carga de trabajo de una red de VPC al endpoint del firewall solo si se ha configurado la inspección de la capa 7 para que se aplique a este flujo.
Cloud NGFW añade un identificador de red de VPC a cada paquete redirigido al endpoint del cortafuegos para la inspección de la capa 7. Si tienes varias redes de VPC con intervalos de direcciones IP superpuestos, este identificador de red te ayudará a asegurarte de que cada paquete redirigido se asocie correctamente a su red de VPC.
Puedes crear un endpoint de cortafuegos en una zona y asociarlo a una o varias redes de VPC para monitorizar las cargas de trabajo de esa zona. Si tu red VPC abarca varias zonas, puedes adjuntar un endpoint de firewall en cada zona. Si no adjuntas un endpoint de firewall a una red VPC de una zona específica, no se realizará ninguna inspección de capa 7 en el tráfico de la carga de trabajo de esa zona.
Puedes usar la asociación de endpoints de cortafuegos para adjuntar un endpoint de cortafuegos a una red de VPC.
El endpoint y las cargas de trabajo para las que quieras habilitar la inspección de la capa 7 deben estar en la misma zona. Crear el endpoint de cortafuegos en la misma zona que las cargas de trabajo tiene las siguientes ventajas:
Latencia más baja. Como los endpoints de cortafuegos pueden interceptar, inspeccionar y volver a insertar el tráfico en la red, la latencia es menor que la de los endpoints de cortafuegos de otras zonas.
No hay tráfico entre zonas. Si el tráfico se mantiene en la misma zona, los costes serán más bajos.
Tráfico más fiable. Si el tráfico se mantiene en la misma zona, se elimina el riesgo de que se produzcan interrupciones entre zonas.
Los endpoints de firewall pueden procesar hasta 2 Gbps de tráfico con la inspección de Seguridad en la capa de transporte (TLS) y 10 Gbps de tráfico sin la inspección de TLS. Si envías más tráfico, puede producirse una pérdida de paquetes. Para monitorizar la utilización de la capacidad del endpoint del firewall, consulta las
firewall_endpointmétricas de seguridad de red.Los endpoints de cortafuegos pueden tener un rendimiento máximo por conexión de 250 Mbps de tráfico con inspección TLS y de 1,25 Gbps de tráfico sin inspección TLS.
Puedes crear un endpoint de cortafuegos que procese tramas jumbo de hasta 8500 bytes. También puedes crear un endpoint sin compatibilidad con jumbo frame. Para obtener más información, consulta Tamaño de paquete admitido.
Solo puede eliminar un endpoint de firewall si no hay redes VPC asociadas a él.
Google gestiona la infraestructura, el balanceo de carga, el autoescalado y el ciclo de vida de los endpoints del cortafuegos. Cuando creas un endpoint de cortafuegos, Google proporciona un conjunto de instancias de máquina virtual (VM) dedicadas, lo que garantiza la fiabilidad, el rendimiento y el aislamiento de seguridad de tu tráfico, así como la gestión de certificados.
Google ofrece alta disponibilidad mediante el uso de mecanismos de conmutación por error adecuados para los endpoints del cortafuegos, lo que garantiza una protección fiable del cortafuegos para todas las instancias de VM cubiertas por la red VPC adjunta.
Asociaciones de endpoints de cortafuegos
La asociación de endpoints de cortafuegos vincula un endpoint de cortafuegos a una red de VPC de la misma zona. Una vez que hayas definido esta asociación, Cloud NGFW reenviará el tráfico de la carga de trabajo zonal de tu red VPC que requiera una inspección de capa 7 al endpoint de cortafuegos asociado.
Tamaño de paquete admitido
Un endpoint de cortafuegos admite o no admite tramas jumbo.
Un endpoint de cortafuegos que admita tramas jumbo puede aceptar paquetes de hasta 8500 bytes.
Cloud NGFW reserva 396 bytes adicionales para la encapsulación GENEVE (necesaria para la inspección de datos) y para otras extensiones. Por lo tanto, el tamaño total del paquete de 8896 bytes coincide con la unidad de transmisión máxima (MTU) más alta posible que admite Google Cloud .
Un endpoint de firewall sin compatibilidad con tramas jumbo puede aceptar paquetes de hasta 1460 bytes.
Cuando un endpoint recibe paquetes más grandes, Cloud NGFW no realiza el servicio de detección y prevención de intrusos. Por lo tanto, para ejecutar correctamente el servicio de detección y prevención de intrusiones y realizar una inspección de la capa 7, configura las redes de VPC asociadas al endpoint para que cumplan estos límites de MTU:
En el caso de los endpoints que admiten tramas jumbo, asegúrate de que las redes VPC usen una MTU de 8500 bytes o menos.
En el caso de los endpoints que no admiten tramas gigantes, asegúrate de que las redes VPC usen una MTU de 1460 bytes o menos.
Puedes crear un endpoint de cortafuegos con o sin compatibilidad con jumbo frames. Sin embargo, no puedes volver a configurar un endpoint para añadir o quitar la compatibilidad con tramas jumbo. Para añadir o quitar la compatibilidad con tramas jumbo, elimine el endpoint y vuelva a crearlo. Para obtener más información, consulta Crear un endpoint de firewall.
Roles de Gestión de Identidades y Accesos
Los roles de Gestión de Identidades y Accesos (IAM) rigen las siguientes acciones para gestionar los endpoints de firewall:
- Crear un endpoint de cortafuegos en una organización
- Modificar o eliminar un endpoint de firewall
- Ver los detalles de un endpoint de cortafuegos
- Ver todos los endpoints de cortafuegos configurados en una organización
En la siguiente tabla se describen los roles necesarios para cada paso.
| Habilidad | Rol necesario |
|---|---|
| Crear un nuevo endpoint de cortafuegos | Cualquiera de los siguientes roles en la organización en la que se crea el endpoint de cortafuegos:
Administrador de red de Compute ( |
| Modificar un endpoint de cortafuegos | Cualquiera de los siguientes roles en la organización:
Administrador de red de Compute ( |
| Ver los detalles del endpoint de cortafuegos de una organización | Cualquiera de los siguientes roles en la organización:
Administrador de red de Compute ( |
| Ver todos los endpoints de cortafuegos de una organización | Cualquiera de los siguientes roles en la organización:
Administrador de red de Compute ( |
Los roles de gestión de identidades y accesos controlan las siguientes acciones de las asociaciones de endpoints de cortafuegos:
- Crear una asociación de endpoint de cortafuegos en un proyecto
- Modificar o eliminar una asociación de endpoint de cortafuegos
- Ver los detalles de una asociación de endpoint de cortafuegos
- Ver todas las asociaciones de endpoints de cortafuegos configuradas en un proyecto
En la siguiente tabla se describen los roles necesarios para cada paso.
| Habilidad | Rol necesario |
|---|---|
| Crear una asociación de endpoint de cortafuegos | Cualquiera de los siguientes roles en el proyecto en el que se crea la asociación del endpoint de cortafuegos:
Administrador de redes de Compute
( |
| Modificar (actualizar o eliminar) las asociaciones de puntos finales de cortafuegos | Cualquiera de los siguientes roles en el proyecto en el que se encuentra la red de VPC:
Administrador de red de Compute ( |
| Ver los detalles de la asociación de endpoints de cortafuegos en un proyecto | Cualquiera de los siguientes roles en la organización:
Administrador de red de Compute ( |
| Ver todas las asociaciones de endpoints de cortafuegos de un proyecto. | Cualquiera de los siguientes roles en la organización:
Administrador de red de Compute ( |
Cuotas
Para ver las cuotas asociadas a los endpoints de firewall, consulta Cuotas y límites.
Precios
Los precios de los endpoints de cortafuegos se describen en la página Precios de Cloud NGFW.
Siguientes pasos
- Configurar el servicio de filtrado de URLs
- Configurar el servicio de detección y prevención de intrusos
- Crear y gestionar endpoints de cortafuegos
- Crear y gestionar asociaciones de endpoints de cortafuegos