방화벽 엔드포인트는 네트워크에 URL 필터링 서비스, 침입 감지 및 방지 서비스와 같은 레이어 7 고급 보호 기능을 사용 설정하는 Cloud Next Generation Firewall 리소스입니다.
이 페이지에서는 방화벽 엔드포인트 개요와 해당 기능을 자세히 설명합니다.
사양
방화벽 엔드포인트는 조직 수준 또는 프로젝트 수준에서 구성할 수 있는 영역 리소스입니다.
조직 수준 방화벽 엔드포인트: 조직 관리자는 이러한 엔드포인트를 만들어 조직 전체에서 보안을 중앙 집중식으로 관리합니다.
프로젝트 수준 방화벽 엔드포인트 (미리보기): 프로젝트 관리자는 프로젝트 내에서 이러한 엔드포인트를 만들고 관리합니다. 조직의 모든 VPC 네트워크를 프로젝트 수준 엔드포인트와 연결할 수 있습니다. 조직 수준 방화벽 엔드포인트를 만들 수 있는 조직 수준 권한을 얻을 수 없는 경우 프로젝트 수준 방화벽 엔드포인트를 만듭니다.
방화벽 엔드포인트는 가로채기된 트래픽에서 레이어 7 방화벽 검사를 수행합니다.
Cloud Next Generation Firewall은 Google Cloud's 패킷 가로채기 기술 을 사용하여 Google Cloud Virtual Private Cloud (VPC) 네트워크의 워크로드에서 방화벽 엔드포인트로 트래픽을 투명하게 리디렉션합니다.
패킷 가로채기는 기존 라우팅 정책을 수정하지 않고 선택된 네트워크 트래픽 경로에 네트워크 어플라이언스를 투명하게 삽입하는 기능입니다. Google Cloud
Cloud NGFW는 레이어 7 검사가 이 흐름에 적용되도록 구성된 경우에만 VPC 네트워크의 워크로드 트래픽을 방화벽 엔드포인트로 리디렉션합니다.
Cloud NGFW는 레이어 7 검사를 위해 방화벽 엔드포인트에 리디렉션된 각 패킷에 VPC 네트워크 식별자를 추가합니다. IP 주소 범위가 겹치는 VPC 네트워크가 여러 개 있는 경우 이 네트워크 식별자는 리디렉션된 각 패킷이 해당 VPC 네트워크에 올바르게 연결되도록 보장합니다.
영역에서 방화벽 엔드포인트를 만들고 VPC 네트워크 하나 이상에 연결하여 동일한 영역의 워크로드를 모니터링할 수 있습니다. VPC 네트워크가 여러 영역에 걸쳐 있으면 영역마다 방화벽 엔드포인트 하나를 연결할 수 있습니다. 특정 영역의 VPC 네트워크에 방화벽 엔드포인트를 연결하지 않으면 해당 영역의 워크로드 트래픽에 대한 레이어 7 검사가 수행되지 않습니다.
방화벽 엔드포인트 연결을 사용하여 방화벽 엔드포인트를 VPC 네트워크에 연결합니다.
레이어 7 검사를 사용 설정하려는 엔드포인트와 워크로드가 같은 영역에 있어야 합니다. 워크로드와 동일한 영역에 방화벽 엔드포인트를 만들면 다음과 같은 이점이 있습니다.
짧은 지연 시간. 방화벽 엔드포인트는 트래픽을 가로채서 검사하고 네트워크로 다시 삽입할 수 있으므로 지연 시간이 다른 영역의 방화벽 엔드포인트보다 짧습니다.
영역 간 트래픽 없음. 트래픽을 같은 영역 내에 유지하면 비용이 절감됩니다.
보다 안정적인 트래픽. 트래픽을 같은 영역 내에 유지하면 영역 간 중단 위험이 사라집니다.
방화벽 엔드포인트는 전송 계층 보안 (TLS) 검사를 사용하여 트래픽을 최대 2Gbps까지 처리하고 TLS 검사 없이는 트래픽을 10Gbps까지 처리할 수 있습니다. 과도한 트래픽으로 인해 엔드포인트에 과부하가 발생하고 패킷이 손실될 수 있습니다. 방화벽 엔드포인트의 용량 이용률을 모니터링하려면
firewall_endpoint네트워크 보안 측정항목을 참조하세요.엔드포인트는 승인되지 않은 메시지를 전달하지 않으므로 과부하된 엔드포인트는 트래픽을 검사할 수 없는 경우 정상 트래픽을 삭제할 수 있습니다.
방화벽 엔드포인트는 연결당 최대 처리량이 TLS 검사를 사용하는 트래픽의 경우 250Mbps, TLS 검사를 사용하지 않는 트래픽의 경우 1.25Gbps일 수 있습니다.
크기가 최대 8,500바이트인 점보 프레임을 처리하는 방화벽 엔드포인트를 만들 수 있습니다. 또는 점보 프레임 지원 없이 엔드포인트를 만들 수 있습니다. 자세한 내용은 지원되는 패킷 크기를 참조하세요.
연결된 VPC 네트워크가 없는 경우에만 방화벽 엔드포인트를 삭제할 수 있습니다.
Google은 방화벽 엔드포인트의 인프라, 부하 분산, 자동 확장, 수명 주기를 관리합니다. 방화벽 엔드포인트를 만들 때 Google은 인증서 관리와 함께 트래픽의 안정성, 성능, 보안 격리를 보장하는 전용 가상 머신(VM) 인스턴스 집합을 제공합니다.
Google은 방화벽 엔드포인트에 적절한 장애 조치 메커니즘을 사용하여 고가용성을 제공하므로 연결된 VPC 네트워크 내에 있는 모든 VM 인스턴스에서 안정적인 방화벽 보호가 보장됩니다.
방화벽 엔드포인트 연결
방화벽 엔드포인트 연결은 방화벽 영역을 같은 영역의 VPC 네트워크에 연결합니다. 이 연결을 정의하면 Cloud NGFW에서 레이어 7 검사가 필요한 VPC 네트워크의 영역 워크로드 트래픽을 연결된 방화벽 엔드포인트로 전달합니다.
VPC 네트워크를 조직 수준 또는 프로젝트 수준 방화벽 엔드포인트 (미리보기)와 연결할 수 있습니다. VPC 네트워크를 연결하려면 다음을 고려하세요.
프로젝트 간 연결: 엔드포인트와 VPC 네트워크가 서로 다른 프로젝트에 있는 경우 두 프로젝트 모두 동일한 조직에 속해야 합니다.
영역 한도: 영역당 하나의 방화벽 엔드포인트에만 VPC 네트워크를 연결합니다. 이 한도에는 조직 수준 및 프로젝트 수준 엔드포인트가 모두 포함됩니다.
프로젝트 수준 방화벽 엔드포인트에 의한 트래픽 가로채기
프로젝트 수준 방화벽 엔드포인트를 사용하여 트래픽을 가로채고 검사하려면 다음 요구사항을 충족해야 합니다.
- VM 인스턴스의 영역에 있는 VPC 네트워크가 대상 방화벽 엔드포인트와 연결되어 있습니다.
- 트래픽이
apply_security_profile_group작업이 있는 방화벽 정책 규칙과 일치합니다. - 보안 프로필 그룹이 방화벽 엔드포인트와 동일한 프로젝트에 있습니다.
지원되는 패킷 크기
방화벽 엔드포인트는 점보 프레임을 지원하거나 지원하지 않습니다.
점보 프레임을 지원하는 방화벽 엔드포인트는 최대 8,500바이트의 패킷을 허용할 수 있습니다.
Cloud NGFW는 데이터 검사에 필요한 GENEVE 캡슐화 및 기타 확장을 위해 396바이트를 추가로 예약합니다. 따라서 총 패킷 크기 8,896바이트는 지원하는 최대 전송 단위 (MTU)와 일치합니다. Google Cloud
점보 프레임을 지원하지 않는 방화벽 엔드포인트는 최대 1,460바이트의 패킷을 허용할 수 있습니다.
레이어 7 검사를 성공적으로 수행하려면 엔드포인트와 연결된 VPC 네트워크가 다음 MTU 한도를 따르도록 구성하세요.
점보 프레임을 지원하는 엔드포인트의 경우 VPC 네트워크가 8,500바이트 이하의 MTU를 사용하는지 확인합니다.
점보 프레임을 지원하지 않는 엔드포인트의 경우 VPC 네트워크가 1,460바이트 이하의 MTU를 사용하는지 확인합니다.
점보 프레임 지원 여부에 관계없이 방화벽 엔드포인트를 만들 수 있습니다. 그러나 기존 엔드포인트를 재구성하여 점보 프레임 지원을 추가하거나 삭제할 수는 없습니다. 점보 프레임 지원을 추가하거나 삭제하려면 엔드포인트를 삭제하고 다시 만드세요. 자세한 내용은 방화벽 엔드포인트 만들기를 참조하세요.
Identity and Access Management 역할
Identity and Access Management (IAM) 역할은 방화벽 엔드포인트를 관리할 수 있도록 다음 작업을 제어합니다.
- 조직 또는 프로젝트에 방화벽 엔드포인트 만들기
- 조직 또는 프로젝트에서 방화벽 엔드포인트 수정 또는 삭제
- 조직 또는 프로젝트에서 방화벽 엔드포인트 세부정보 보기
- 조직 또는 프로젝트에 구성된 모든 방화벽 엔드포인트 보기
조직 수준 엔드포인트를 관리하려면 조직 수준에서 방화벽 엔드포인트
관리자 역할
(roles/networksecurity.firewallEndpointAdmin)
을 부여받아야 합니다. 프로젝트 수준 엔드포인트를 관리하려면 프로젝트 수준(미리보기) 또는 상위 조직에서 방화벽 엔드포인트 관리자 역할 (roles/networksecurity.firewallEndpointAdmin)
을 부여받아야 합니다.
다음 표에서는 각 단계에 필요한 역할을 설명합니다.
| 기능 | 필수 역할 |
|---|---|
| 새 방화벽 엔드포인트 만들기 | 방화벽 엔드포인트가 있는 조직 또는 프로젝트에 대한 다음 역할 중 하나입니다.
|
| 기존 방화벽 엔드포인트 수정 | 방화벽 엔드포인트가 생성된 조직 또는 프로젝트에 대한 다음 역할 중 하나입니다.
|
| 방화벽 엔드포인트에 대한 세부정보 보기 | 방화벽 엔드포인트가 있는 조직 또는 프로젝트에 대한 다음 역할 중 하나입니다.
|
| 모든 방화벽 엔드포인트 보기 | 방화벽 엔드포인트가 있는 조직 또는 프로젝트에 대한 다음 역할 중 하나입니다.
|
IAM 역할은 방화벽 엔드포인트 연결에 대한 다음 작업을 제어합니다.
- 프로젝트에 방화벽 엔드포인트 연결 만들기
- 방화벽 엔드포인트 연결 수정 또는 삭제
- 방화벽 엔드포인트 연결 세부정보 보기
- 프로젝트에 구성된 모든 방화벽 엔드포인트 연결 보기
다음 표에서는 각 단계에 필요한 역할을 설명합니다.
| 기능 | 필수 역할 |
|---|---|
| 방화벽 엔드포인트 연결 만들기 | 방화벽 엔드포인트
연결이 있는 조직 또는 프로젝트에 대한 다음 역할 중 하나입니다.
|
| 방화벽 엔드포인트 연결 수정 (업데이트 또는 삭제) | VPC 네트워크가 있는 프로젝트에 대한 다음 역할 중 하나입니다.
|
| 프로젝트의 방화벽 엔드포인트 연결 세부정보 보기 | 방화벽 엔드포인트 연결이 생성된 조직 또는 프로젝트 ([미리보기](https://cloud.google.com/products#product-launch-stages))에 대한 다음 역할 중 하나입니다.
|
| 프로젝트의 모든 방화벽 엔드포인트 연결 보기 | 방화벽 엔드포인트 연결이 생성된 조직 또는 프로젝트 ([미리보기](https://cloud.google.com/products#product-launch-stages))에 대한 다음 역할 중 하나입니다.
|
할당량
방화벽 엔드포인트와 연결된 할당량을 보려면 할당량 및 한도를 참조하세요.
가격 책정
방화벽 엔드포인트 가격 책정 방식은 Cloud NGFW 가격 책정을 참조하세요.