ファイアウォール エンドポイントは、ネットワークで URL フィルタリング サービスや侵入検知および防止サービスなどのレイヤ 7 の高度な保護機能を有効にする Cloud Next Generation Firewall リソースです。
このページでは、ファイアウォール エンドポイントとその機能について詳しく説明します。
仕様
ファイアウォール エンドポイントは、組織レベルまたはプロジェクト レベルで構成できるゾーンリソースです。
組織レベルのファイアウォール エンドポイント: 組織管理者は、組織全体でセキュリティを一元的に管理するために、これらのエンドポイントを作成して管理します。
プロジェクト レベルのファイアウォール エンドポイント(プレビュー): プロジェクト管理者は、プロジェクト内でこれらのエンドポイントを作成して管理します。組織内の任意の VPC ネットワークをプロジェクト レベルのエンドポイントに関連付けることができます。組織レベルのファイアウォール エンドポイントを作成するための組織レベルの権限を取得できない場合は、プロジェクト レベルのファイアウォール エンドポイントを作成します。
ファイアウォール エンドポイントは、インターセプトされたトラフィックに対してレイヤ 7 ファイアウォール検査を実行します。
Cloud Next Generation Firewall は、 Google Cloudのパケット インターセプト テクノロジー を使用して、 Google Cloud Virtual Private Cloud(VPC)ネットワーク内の ワークロードからファイアウォール エンドポイントにトラフィックを透過的にリダイレクトします。
パケット インターセプトは、既存のルーティング ポリシーを変更することなく、選択したネットワーク トラフィックのパスにネットワーク アプライアンスを透過的に挿入する Google Cloud の機能です。
Cloud NGFW は、レイヤ 7 検査がこのフローに適用されるように構成されている場合にのみ、VPC ネットワーク内のワークロード トラフィックをファイアウォール エンドポイントにリダイレクトします。
Cloud NGFW は、レイヤ 7 検査のためにファイアウォール エンドポイントにリダイレクトされる各パケットに VPC ネットワーク識別子を追加します。IP アドレス範囲が重複する複数の VPC ネットワークがある場合、このネットワーク識別子により、リダイレクトされる各パケットが VPC ネットワークに正しく関連付けられます。
ゾーンにファイアウォール エンドポイントを作成して 1 つ以上の VPC ネットワークに接続すると、同じゾーン内のワークロードをモニタリングできます。VPC ネットワークが複数のゾーンにまたがっている場合は、各ゾーンに 1 つのファイアウォール エンドポイントを接続できます。特定のゾーンの VPC ネットワークにファイアウォール エンドポイントを接続しないと、そのゾーンのワークロード トラフィックにレイヤ 7 検査は実行されません。
ファイアウォール エンドポイントの関連付けを使用して、ファイアウォール エンドポイントを VPC ネットワークに接続します。
レイヤ 7 検査を有効にするエンドポイントとワークロードは、同じゾーンに存在する必要があります。ワークロードと同じゾーンにファイアウォール エンドポイントを作成すると、次の利点があります。
レイテンシの短縮。ファイアウォール エンドポイントは、トラフィックをインターセプト、検査、再挿入できるため、異なるゾーンにあるファイアウォール エンドポイントよりもレイテンシが低くなります。
ゾーン間トラフィックがない。トラフィックを同じゾーン内に維持することで、コストが削減されます。
トラフィックの信頼性が向上。トラフィックを同じゾーン内に維持することで、ゾーンをまたいだサービスの停止のリスクを回避できます。
ファイアウォール エンドポイントは、Transport Layer Security(TLS)インスペクションで最大 2 Gbps のトラフィック、TLS インスペクションなしで 10 Gbps のトラフィックを処理できます。 トラフィックが多すぎると、エンドポイントが過負荷になり、パケットロスが発生する可能性があります。 ファイアウォール エンドポイントの容量使用率をモニタリングするには、
firewall_endpointネットワーク セキュリティ指標をご覧ください。エンドポイントは承認されていないメッセージを転送しないため、過負荷のエンドポイントはトラフィックを検査できない場合、正当なトラフィックをドロップする可能性があります。
ファイアウォール エンドポイントは、接続ごとに最大 250 Mbps のトラフィック(TLS インスペクションあり)と 1.25 Gbps のトラフィック(TLS インスペクションなし)のスループットを実現できます。
サイズが最大 8,500 バイトのジャンボ フレームを処理するファイアウォール エンドポイントを作成できます。または、ジャンボ フレームをサポートしないエンドポイントを作成することもできます。詳細については、 サポートされているパケットサイズをご覧ください。
ファイアウォール エンドポイントを削除できるのは、関連付けられている VPC ネットワークがない場合のみです。
Google は、ファイアウォール エンドポイントのインフラストラクチャ、ロード バランシング、自動スケーリング、ライフサイクルを管理します。ファイアウォール エンドポイントを作成すると、Google は一連の専用仮想マシン(VM)インスタンスを提供します。これにより、トラフィックの信頼性、パフォーマンス、セキュリティの分離を確保し、証明書を管理できます。
Google では、ファイアウォール エンドポイントに適切なフェイルオーバー メカニズムを使用して高可用性を実現しています。これにより、接続された VPC ネットワーク内のすべての VM インスタンスに対して信頼性の高いファイアウォール保護が保証されます。
ファイアウォール エンドポイントの関連付け
ファイアウォール エンドポイントの関連付けは、ファイアウォール エンドポイントを同じゾーン内の VPC ネットワークにリンクします。この関連付けを定義すると、Cloud NGFW は、レイヤ 7 検査を必要とする VPC ネットワーク内のゾーン ワークロード トラフィックを、接続されたファイアウォール エンドポイントに転送します。
VPC ネットワークを組織レベルまたはプロジェクト レベルのファイアウォール エンドポイント(プレビュー)に関連付けることができます。VPC ネットワークを関連付ける際は、次の点を考慮してください。
プロジェクト間の関連付け: エンドポイントと VPC ネットワークが異なるプロジェクトにある場合、両方のプロジェクトが同じ 組織に属している必要があります。
ゾーンの上限: VPC ネットワークをゾーンごとに 1 つの ファイアウォール エンドポイントにのみ関連付けます。この上限には、組織レベルとプロジェクト レベルの両方のエンドポイントが含まれます。
プロジェクト レベルのファイアウォール エンドポイントによるトラフィック インターセプト
プロジェクト レベルのファイアウォール エンドポイントを使用してトラフィックをインターセプトして検査するには、次の要件を満たしていることを確認します。
- VM インスタンスのゾーン内の VPC ネットワークが、ターゲット ファイアウォール エンドポイントに関連付けられている。
- トラフィックが、
apply_security_profile_groupアクションを含むファイアウォール ポリシー ルールと一致する。 - セキュリティ プロファイル グループが、ファイアウォール エンドポイントと同じプロジェクトに存在する。
サポートされているパケットサイズ
ファイアウォール エンドポイントは、ジャンボ フレームをサポートしているか、サポートしていません。
ジャンボ フレームをサポートするファイアウォール エンドポイントは、最大 8,500 バイトのパケットを受け入れることができます。
Cloud NGFW は、 GENEVE カプセル化 (データ検査に必要)とその他の拡張機能用に、追加の 396 バイトを予約します。したがって、合計 パケットサイズ 8,896 バイトは、 がサポートする最大伝送 単位(MTU)の最大値と一致します。 Google Cloud
ジャンボ フレームをサポートしないファイアウォール エンドポイントは、最大 1,460 バイトのパケットを受け入れることができます。
レイヤ 7 検査を正常に実行するには、 エンドポイントに関連付けられた VPC ネットワークを構成して、 次の MTU 上限に従うようにします。
ジャンボ フレームをサポートするエンドポイントの場合は、VPC ネットワークで 8,500 バイト以下の MTU を使用していることを確認します。
ジャンボ フレームをサポートしないエンドポイントの場合は、VPC ネットワークで 1,460 バイト以下の MTU を使用していることを確認します。
ジャンボ フレームをサポートするファイアウォール エンドポイントと、サポートしないファイアウォール エンドポイントを作成できます。ただし、既存のエンドポイントを再構成して、ジャンボ フレームのサポートを追加または削除することはできません。ジャンボ フレームのサポートを追加または削除するには、エンドポイントを削除して再作成します。詳細については、 ファイアウォール エンドポイントを作成するをご覧ください。
Identity and Access Management ロール
Identity and Access Management(IAM)ロールは、ファイアウォール エンドポイントを管理するための次の操作を管理します。
- 組織またはプロジェクトでのファイアウォール エンドポイントの作成
- 組織またはプロジェクトでのファイアウォール エンドポイントの変更または削除
- 組織またはプロジェクトでのファイアウォール エンドポイントの詳細の表示
- 組織またはプロジェクトで構成されているすべてのファイアウォール エンドポイントの表示
組織レベルのエンドポイントを管理するには、組織レベルでファイアウォール エンドポイント
管理者ロール
(roles/networksecurity.firewallEndpointAdmin)
が付与されている必要があります。プロジェクト レベルのエンドポイントを管理するには、プロジェクト レベル(プレビュー)またはその親組織でファイアウォール エンドポイント管理者ロール
(roles/networksecurity.firewallEndpointAdmin)
が付与されている必要があります。
次の表に、各ステップに必要なロールを示します。
| 機能 | 必要なロール |
|---|---|
| 新しいファイアウォール エンドポイントを作成する | ファイアウォール エンドポイントが存在する組織またはプロジェクトに対する次のいずれかのロール。
|
| 既存のファイアウォール エンドポイントを変更する | ファイアウォール エンドポイントが作成された組織またはプロジェクトに対する次のいずれかの
ロール。
|
| ファイアウォール エンドポイントの詳細を表示する | ファイアウォール エンドポイントが存在する組織またはプロジェクトに対する次のいずれかのロール。
|
| すべてのファイアウォール エンドポイントを表示する | ファイアウォール エンドポイントが存在する組織またはプロジェクトに対する次のいずれかのロール。
|
IAM ロールは、ファイアウォール エンドポイントの関連付けに関して次のアクションを管理します。
- プロジェクトでのファイアウォール エンドポイントの関連付けの作成
- ファイアウォール エンドポイントの関連付けの変更または削除
- ファイアウォール エンドポイントの関連付けの詳細の表示
- プロジェクトで構成されたすべてのファイアウォール エンドポイントの関連付けの表示
次の表に、各ステップに必要なロールを示します。
| 機能 | 必要なロール |
|---|---|
| ファイアウォール エンドポイントの関連付けを作成する | ファイアウォール エンドポイントの関連付けが存在する組織またはプロジェクトに対する次のいずれかのロール:
|
| ファイアウォール エンドポイントの関連付けを変更する(更新または削除) | VPC ネットワークが存在するプロジェクトに対する次のいずれかのロール。
|
| プロジェクト内のファイアウォール エンドポイントの関連付けの詳細を表示する | ファイアウォール エンドポイントの関連付けが作成される組織またはプロジェクト([プレビュー](https://cloud.google.com/products#product-launch-stages))に対する次のいずれかのロール。
|
| プロジェクト内のすべてのファイアウォール エンドポイントの関連付けを表示する。 | ファイアウォール エンドポイントの関連付けが作成される組織またはプロジェクト([プレビュー](https://cloud.google.com/products#product-launch-stages))に対する次のいずれかのロール。
|
割り当て
ファイアウォール エンドポイントに関連付けられた割り当てを表示するには、割り当てと上限をご覧ください。
料金
ファイアウォール エンドポイントの料金については、Cloud NGFW の料金をご覧ください。