ファイアウォール エンドポイントは、ネットワークで URL フィルタリング サービスや侵入検知および防止サービスなどのレイヤ 7 の高度な保護機能を有効にする Cloud Next Generation Firewall リソースです。 このページでは、ファイアウォール エンドポイントとその機能について詳しく説明します。
仕様
ファイアウォール エンドポイントは、組織レベルまたはプロジェクト レベルで構成できるゾーンリソースです。
組織レベルのファイアウォール エンドポイント: 組織全体またはフォルダレベルで ポリシーを作成して管理するために使用します。
プロジェクト レベルのファイアウォール エンドポイント: 特定のプロジェクト内で ポリシーを作成して管理するために使用します。
ファイアウォール エンドポイントは、インターセプトされたトラフィックに対してレイヤ 7 ファイアウォール検査を実行します。
Cloud Next Generation Firewall は、 Google Cloudのパケット インターセプト テクノロジー を使用して、 Google Cloud ワークロードが配置されている Virtual Private Cloud(VPC)ネットワークからファイアウォール エンドポイントにトラフィックを透過的にリダイレクトします。
パケット インターセプトは、既存のルーティング ポリシーを変更することなく、選択したネットワーク トラフィックのパスにネットワーク アプライアンスを透過的に挿入する Google Cloud の機能です。
Cloud NGFW は、レイヤ 7 検査がこのフローに適用されるように構成されている場合にのみ、VPC ネットワーク内のワークロード トラフィックをファイアウォール エンドポイントにリダイレクトします。
Cloud NGFW は、レイヤ 7 検査のためにファイアウォール エンドポイントにリダイレクトされる各パケットに VPC ネットワーク識別子を追加します。IP アドレス範囲が重複する複数の VPC ネットワークがある場合、このネットワーク識別子により、リダイレクトされる各パケットが VPC ネットワークに正しく関連付けられます。
ゾーンにファイアウォール エンドポイントを作成して 1 つ以上の VPC ネットワークに接続すると、同じゾーン内のワークロードをモニタリングできます。VPC ネットワークが複数のゾーンにまたがっている場合は、各ゾーンに 1 つのファイアウォール エンドポイントを接続できます。特定のゾーンの VPC ネットワークにファイアウォール エンドポイントを接続しないと、そのゾーンのワークロード トラフィックにレイヤ 7 検査は実行されません。
ファイアウォール エンドポイントの関連付けを使用して、ファイアウォール エンドポイントを VPC ネットワークに接続します。
レイヤ 7 検査を有効にするエンドポイントとワークロードは、同じゾーンに存在する必要があります。ワークロードと同じゾーンにファイアウォール エンドポイントを作成すると、次の利点があります。
レイテンシの短縮。ファイアウォール エンドポイントは、トラフィックをインターセプト、検査、再挿入できるため、異なるゾーンにあるファイアウォール エンドポイントよりもレイテンシが低くなります。
ゾーン間トラフィックがない。トラフィックを同じゾーン内に維持することで、コストが削減されます。
トラフィックの信頼性が向上。トラフィックを同じゾーン内に維持することで、ゾーンをまたいだサービスの停止のリスクを回避できます。
ファイアウォール エンドポイントは、Transport Layer Security(TLS)インスペクションで最大 2 Gbps のトラフィック、TLS インスペクションなしで 10 Gbps のトラフィックを処理できます。 トラフィックが多すぎると、エンドポイントが過負荷になり、パケット損失が発生する可能性があります。 ファイアウォール エンドポイントの容量使用率をモニタリングするには、
firewall_endpointネットワーク セキュリティ指標をご覧ください。エンドポイントは承認されていないメッセージを転送しないため、過負荷のエンドポイントはトラフィックを検査できない場合、正当なトラフィックをドロップする可能性があります。
ファイアウォール エンドポイントの接続ごとのスループットは、TLS インスペクションありで最大 250 Mbps、TLS インスペクションなしで最大 1.25 Gbps です。
サイズが最大 8,588 バイトのジャンボ フレームを処理するファイアウォール エンドポイントを作成できます。または、ジャンボ フレームをサポートしないエンドポイントを作成することもできます。詳細については、 サポートされているパケットサイズをご覧ください。
ファイアウォール エンドポイントを削除できるのは、関連付けられている VPC ネットワークがない場合のみです。
Google は、ファイアウォール エンドポイントのインフラストラクチャ、ロード バランシング、自動スケーリング、ライフサイクルを管理します。ファイアウォール エンドポイントを作成すると、Google は一連の専用仮想マシン(VM)インスタンスを提供します。これにより、トラフィックの信頼性、パフォーマンス、セキュリティの分離を確保し、証明書を管理できます。
Google では、ファイアウォール エンドポイントに適切なフェイルオーバー メカニズムを使用して高可用性を実現しています。これにより、接続された VPC ネットワーク内のすべての VM インスタンスに対して信頼性の高いファイアウォール保護が保証されます。
プロジェクト レベルのファイアウォール エンドポイントは、顧客管理の暗号鍵(CMEK)をサポートしています。CMEK を使用すると、独自の暗号鍵を使用してファイアウォール インフラストラクチャ内の保存データを保護できます。詳細については、 顧客管理の暗号鍵 をご覧ください。
ファイアウォール エンドポイントの関連付け
ファイアウォール エンドポイントの関連付けは、ファイアウォール エンドポイントを同じゾーン内の VPC ネットワークにリンクします。この関連付けを定義すると、Cloud NGFW は、レイヤ 7 検査を必要とする VPC ネットワーク内のゾーン ワークロード トラフィックを、接続されたファイアウォール エンドポイントに転送します。
VPC ネットワークは、組織レベルまたはプロジェクト レベルのファイアウォール エンドポイントに関連付けることができます。VPC ネットワークを関連付ける場合は、次の点を考慮してください。
プロジェクト間の関連付け: エンドポイントと VPC ネットワークが異なるプロジェクトにある場合、両方のプロジェクトが同じ 組織に属している必要があります。
ゾーンの上限: VPC ネットワークをゾーンごとに 1 つの ファイアウォール エンドポイントにのみ関連付けます。この上限には、組織レベルとプロジェクト レベルの両方のエンドポイントが含まれます。
プロジェクト レベルのファイアウォール エンドポイントによるトラフィック インターセプト
プロジェクト レベルのファイアウォール エンドポイントを使用してトラフィックをインターセプトして検査するには、次の要件を満たしていることを確認してください。
- VM インスタンスのゾーン内の VPC ネットワークが、ターゲットのファイアウォール エンドポイントに関連付けられている。
- トラフィックが、
apply_security_profile_groupアクションを含むファイアウォール ポリシー ルールに一致する。 - セキュリティ プロファイル グループが、ファイアウォール エンドポイントと同じプロジェクトに存在する。
サポートされているパケットサイズ
ファイアウォール エンドポイントは、ジャンボ フレームをサポートしているか、サポートしていません。
ジャンボ フレームをサポートするファイアウォール エンドポイントは、最大 8,588 バイトのパケットを受け入れることができます。
Cloud NGFW は、 GENEVE カプセル化 (データ検査に必要)とその他の拡張機能用に、追加の 308 バイトを予約します。したがって、合計 パケットサイズ 8,896 バイトは、 がサポートする可能な最大伝送 単位(MTU)と一致します。 Google Cloud
ジャンボ フレームをサポートしないファイアウォール エンドポイントは、最大 1,460 バイトのパケットを受け入れることができます。
レイヤ 7 検査を正常に実行するには、 エンドポイントに関連付けられた VPC ネットワークを構成して、 次の MTU 上限に従うようにします。
ジャンボ フレームをサポートするエンドポイントの場合は、VPC ネットワークで 8,588 バイト以下の MTU を使用していることを確認してください。
ジャンボ フレームをサポートしないエンドポイントの場合は、VPC ネットワークで 1,460 バイト以下の MTU を使用していることを確認してください。
ジャンボ フレームをサポートするファイアウォール エンドポイントと、サポートしないファイアウォール エンドポイントを作成できます。ただし、既存のエンドポイントを再構成して、ジャンボ フレームのサポートを追加または削除することはできません。ジャンボ フレームのサポートを追加または削除するには、エンドポイントを削除して再作成します。詳細については、 ファイアウォール エンドポイントを作成するをご覧ください。
IAM ロール
Identity and Access Management(IAM)ロールは、次のファイアウォール エンドポイント アクションを管理します。
- 組織またはプロジェクトでのファイアウォール エンドポイントの作成
- 組織またはプロジェクトでのファイアウォール エンドポイントの変更または削除
- 組織またはプロジェクトでのファイアウォール エンドポイントの詳細の表示
- 組織またはプロジェクトで構成されているすべてのファイアウォール エンドポイントの表示
次の表に、各ステップに必要なロールを示します。
| 機能 | 必要なロール |
|---|---|
| ファイアウォール エンドポイントを作成する | 次のいずれかのロール:
|
| ファイアウォール エンドポイントを変更する | 次のいずれかのロール:
|
| ファイアウォール エンドポイントを削除する | 次のいずれかのロール:
|
| ファイアウォール エンドポイントの詳細を表示する | 次のいずれかのロール:
|
| すべてのファイアウォール エンドポイントを表示する | 次のいずれかのロール:
|
IAM ロールは、次のファイアウォール エンドポイントの関連付けアクションを管理します。
- プロジェクトでのファイアウォール エンドポイントの関連付けの作成
- ファイアウォール エンドポイントの関連付けの変更または削除
- ファイアウォール エンドポイントの関連付けの詳細の表示
- プロジェクトで構成されたすべてのファイアウォール エンドポイントの関連付けの表示
次の表に、各ステップに必要なロールを示します。
| 機能 | 必要なロール |
|---|---|
| ファイアウォール エンドポイントの関連付けの作成 | 次のいずれかのロール:
|
| ファイアウォール エンドポイントの関連付けを変更する | 次のいずれかのロール:
|
| ファイアウォール エンドポイントの関連付けを削除する | 次のいずれかのロール:
|
| プロジェクト内のファイアウォール エンドポイントの関連付けの詳細を表示する | 次のいずれかのロール:
|
| プロジェクト内のすべてのファイアウォール エンドポイントの関連付けを表示する。 | 次のいずれかのロール:
|
割り当て
ファイアウォール エンドポイントに関連付けられた割り当てを表示するには、割り当てと上限をご覧ください。