Un point de terminaison de pare-feu est une ressource Cloud Next Generation Firewall qui offre des fonctionnalités de protection avancées de couche 7, telles que le service de filtrage d'URL et le service de détection et de prévention des intrusions, sur votre réseau.
Cette page fournit une présentation détaillée des points de terminaison de pare-feu et de leurs fonctionnalités.
Spécifications
Un point de terminaison de pare-feu est une ressource zonale que vous pouvez configurer au niveau de l'organisation ou du projet.
Points de terminaison de pare-feu au niveau de l'organisation : les administrateurs de l'organisation créent et gèrent ces points de terminaison pour gérer la sécurité de manière centralisée dans toute l'organisation.
Points de terminaison de pare-feu au niveau du projet (aperçu) : les administrateurs de projet créent et gèrent ces points de terminaison dans un projet. Vous pouvez associer n'importe quel réseau VPC de l'organisation à un point de terminaison au niveau du projet. Créez des points de terminaison de pare-feu au niveau du projet si vous ne pouvez pas obtenir les autorisations au niveau de l'organisation pour créer des points de terminaison de pare-feu au niveau de l'organisation.
Les points de terminaison de pare-feu effectuent une inspection de pare-feu de couche 7 sur le trafic intercepté.
Cloud Next Generation Firewall utilise la technologie d'interception de paquets de Google Cloudpour rediriger de manière transparente le trafic des charges de travail Google Cloud dans un réseau cloud privé virtuel (VPC) vers les points de terminaison de pare-feu.
L'interception des paquets est une fonctionnalité Google Cloud qui insère de manière transparente les dispositifs réseau dans le chemin du trafic réseau sélectionné, sans modifier leurs règles de routage existantes.
Cloud NGFW redirige le trafic de charge de travail d'un réseau VPC vers le point de terminaison de pare-feu uniquement si l'inspection de couche 7 est configurée pour être appliquée à ce flux.
Cloud NGFW ajoute un identifiant de réseau VPC à chaque paquet redirigé vers le point de terminaison de pare-feu pour l'inspection de couche 7. Si vous disposez de plusieurs réseaux VPC avec des plages d'adresses IP qui se chevauchent, cet identifiant réseau permet de garantir que chaque paquet redirigé est correctement associé à son réseau VPC.
Vous pouvez créer un point de terminaison de pare-feu dans une zone et l'associer à un ou plusieurs réseaux VPC pour surveiller les charges de travail de la même zone. Si votre réseau VPC couvre plusieurs zones, vous pouvez associer un point de terminaison de pare-feu dans chaque zone. Si vous n'associez pas de point de terminaison de pare-feu à un réseau VPC dans une zone spécifique, aucune inspection de couche 7 n'est effectuée sur le trafic de charge de travail de cette zone.
Vous utilisez une association de point de terminaison de pare-feu pour associer un point de terminaison de pare-feu à un réseau VPC.
Le point de terminaison et les charges de travail pour lesquelles vous souhaitez activer l'inspection de couche 7 doivent se trouver dans la même zone. La création du point de terminaison de pare-feu dans la même zone que les charges de travail présente les avantages suivants :
Latence réduite. Comme les points de terminaison de pare-feu peuvent intercepter, inspecter et réinjecter le trafic dans le réseau, la latence est plus faible que pour des points de terminaison de pare-feu situés dans des zones différentes.
Aucun trafic entre zones. Conserver le trafic dans la même zone permet de réduire les coûts.
Trafic plus fiable. Conserver le trafic dans la même zone élimine le risque de pannes entre différentes zones.
Les points de terminaison de pare-feu peuvent traiter jusqu'à 2 Gbit/s de trafic avec l'inspection TLS (Transport Layer Security) et 10 Gbit/s de trafic sans inspection TLS. Un trafic excessif peut surcharger le point de terminaison et entraîner une perte de paquets. Pour surveiller l'utilisation de la capacité du point de terminaison de pare-feu, consultez les métriques de sécurité réseau
firewall_endpoint.Étant donné que le point de terminaison ne transfère pas les messages non approuvés, un point de terminaison surchargé peut supprimer le trafic légitime s'il ne peut pas l'inspecter.
Les points de terminaison de pare-feu peuvent avoir un débit maximal par connexion de 250 Mbit/s de trafic avec inspection TLS et de 1,25 Gbit/s de trafic sans inspection TLS.
Vous pouvez créer un point de terminaison de pare-feu qui traite les trames géantes jusqu'à 8 500 octets. Vous pouvez également créer un point de terminaison sans prise en charge des trames jumbo. Pour en savoir plus, consultez Taille de paquet acceptée.
Vous ne pouvez supprimer un point de terminaison de pare-feu que lorsqu'aucun réseau VPC ne lui est associé.
Google gère l'infrastructure, l'équilibrage de charge, l'autoscaling et le cycle de vie des points de terminaison de pare-feu. Lorsque vous créez un point de terminaison de pare-feu, Google fournit un ensemble d'instances de machines virtuelles (VM) dédiées qui veillent à assurer la fiabilité, les performances et l'isolation de sécurité de votre trafic, ainsi que la gestion des certificats.
Google offre une haute disponibilité à l'aide de mécanismes de basculement appropriés pour les points de terminaison de pare-feu, ce qui garantit une protection fiable pour toutes les instances de VM couvertes par le pare-feu dans le réseau VPC rattaché.
Associations de points de terminaison de pare-feu
Une association de point de terminaison de pare-feu associe un point de terminaison de pare-feu à un réseau VPC dans la même zone. Une fois que vous avez défini cette association, Cloud NGFW transfère le trafic de charge de travail zonal de votre réseau VPC nécessitant une inspection de couche 7 au point de terminaison de pare-feu rattaché.
Vous pouvez associer un réseau VPC à un point de terminaison de pare-feu au niveau de l'organisation ou du projet (aperçu). Pour associer un réseau VPC, tenez compte des points suivants :
Association entre projets : si le point de terminaison et le réseau VPC se trouvent dans des projets différents, les deux projets doivent appartenir à la même organisation.
Limite zonale : associez un réseau VPC à un seul point de terminaison de pare-feu par zone. Cette limite inclut les points de terminaison au niveau de l'organisation et au niveau du projet.
Interception du trafic par les points de terminaison de pare-feu au niveau du projet
Pour intercepter et inspecter le trafic à l'aide d'un point de terminaison de pare-feu au niveau du projet, assurez-vous que les conditions suivantes sont remplies :
- Un réseau VPC dans la zone de l'instance de VM est associé au point de terminaison de pare-feu cible.
- Le trafic correspond à une règle de stratégie de pare-feu avec l'action
apply_security_profile_group. - Le groupe de profils de sécurité existe dans le même projet que le point de terminaison du pare-feu.
Taille de paquet acceptée
Un point de terminaison de pare-feu prend en charge ou non les trames géantes.
Un point de terminaison de pare-feu compatible avec les trames géantes peut accepter des paquets jusqu'à 8 500 octets.
Cloud NGFW réserve 396 octets supplémentaires pour l'encapsulation GENEVE (nécessaire pour l'inspection des données) et pour d'autres extensions. Par conséquent, la taille totale des paquets de 8 896 octets correspond à l'unité de transmission maximale (MTU) la plus élevée que Google Cloud peut prendre en charge.
Un point de terminaison de pare-feu sans prise en charge des trames géantes peut accepter des paquets jusqu'à 1 460 octets.
Pour effectuer correctement l'inspection de couche 7, configurez les réseaux VPC associés au point de terminaison afin qu'ils respectent les limites de MTU suivantes :
Pour un point de terminaison compatible avec les trames géantes, assurez-vous que les réseaux VPC utilisent une MTU de 8 500 octets ou moins.
Pour un point de terminaison sans prise en charge des trames jumbo, assurez-vous que les réseaux VPC utilisent une MTU de 1 460 octets ou moins.
Vous pouvez créer un point de terminaison de pare-feu avec ou sans prise en charge des trames géantes. Toutefois, vous ne pouvez pas reconfigurer un point de terminaison existant pour ajouter ou supprimer la prise en charge des trames jumbo. Pour ajouter ou supprimer la prise en charge des trames jumbo, supprimez le point de terminaison et recréez-le. Pour en savoir plus, consultez Créer un point de terminaison de pare-feu.
Rôles de gestion de l'authentification et des accès (IAM)
Les rôles IAM (Identity and Access Management) régissent les actions suivantes pour la gestion des points de terminaison de pare-feu :
- Créer un point de terminaison de pare-feu dans une organisation ou un projet
- Modifier ou supprimer un point de terminaison de pare-feu dans une organisation ou un projet
- Afficher les détails d'un point de terminaison de pare-feu dans une organisation ou un projet
- Afficher tous les points de terminaison de pare-feu configurés dans une organisation ou un projet
Pour gérer les points de terminaison au niveau de l'organisation, vous devez disposer du rôle d'administrateur de point de terminaison de pare-feu (roles/networksecurity.firewallEndpointAdmin) au niveau de l'organisation. Pour gérer les points de terminaison au niveau du projet, vous devez disposer du rôle Administrateur de points de terminaison de pare-feu (roles/networksecurity.firewallEndpointAdmin) au niveau du projet (Aperçu) ou de son organisation parente.
Le tableau suivant décrit les rôles nécessaires pour chaque étape.
| Aptitude | Rôle nécessaire |
|---|---|
| Créer un nouveau point de terminaison de pare-feu | L'un des rôles suivants dans l'organisation ou le projet où se trouve le point de terminaison de pare-feu :
|
| Modifier un point de terminaison de pare-feu existant | L'un des rôles suivants dans l'organisation ou le projet dans lequel le point de terminaison de pare-feu est créé :
|
| Afficher les détails du point de terminaison de pare-feu | L'un des rôles suivants dans l'organisation ou le projet où se trouve le point de terminaison de pare-feu :
|
| Afficher tous les points de terminaison de pare-feu | L'un des rôles suivants dans l'organisation ou le projet où se trouve le point de terminaison de pare-feu :
|
Les rôles IAM régissent les actions suivantes pour les associations de points de terminaison de pare-feu :
- Créer une association de point de terminaison de pare-feu dans un projet
- Modifier ou supprimer une association de point de terminaison de pare-feu
- Afficher les détails d'une association de point de terminaison de pare-feu
- Afficher toutes les associations de points de terminaison de pare-feu configurées dans un projet
Le tableau suivant décrit les rôles nécessaires pour chaque étape.
| Aptitude | Rôle nécessaire |
|---|---|
| Créer une association de point de terminaison de pare-feu | L'un des rôles suivants dans l'organisation ou le projet où l'association de point de terminaison de pare-feu existe :
|
| Modifier (mettre à jour ou supprimer) les associations de points de terminaison de pare-feu | L'un des rôles suivants sur le projet où se trouve le réseau VPC :
|
| Afficher les détails de l'association de points de terminaison de pare-feu dans un projet | L'un des rôles suivants dans l'organisation ou le projet ([Preview](https://cloud.google.com/products#product-launch-stages)) dans lequel l'association de point de terminaison de pare-feu est créée :
|
| Affichez toutes les associations de points de terminaison de pare-feu dans un projet. | L'un des rôles suivants dans l'organisation ou le projet ([Preview](https://cloud.google.com/products#product-launch-stages)) dans lequel l'association de point de terminaison de pare-feu est créée :
|
Quotas
Pour afficher les quotas associés aux points de terminaison de pare-feu, consultez la section Quotas et limites.
Étapes suivantes
- Configurer le service de filtrage d'URL
- Configurer le service de détection et de prévention des intrusions
- Créer et gérer des points de terminaison de pare-feu
- Créer et gérer des associations de points de terminaison de pare-feu