ファイアウォール エンドポイントの概要

ファイアウォール エンドポイントは、ネットワークで URL フィルタリング サービスや侵入検知および防止サービスなどのレイヤ 7 の高度な保護機能を有効にする Cloud Next Generation Firewall リソースです。 このページでは、ファイアウォール エンドポイントとその機能について詳しく説明します。

仕様

  • ファイアウォール エンドポイントは、組織レベルまたはプロジェクト レベルで構成できるゾーンリソースです。

    • 組織レベルのファイアウォール エンドポイント: 組織全体またはフォルダレベルで ポリシーを作成して管理するために使用します。

    • プロジェクト レベルのファイアウォール エンドポイント: 特定のプロジェクト内で ポリシーを作成して管理するために使用します。

  • ファイアウォール エンドポイントは、インターセプトされたトラフィックに対してレイヤ 7 ファイアウォール検査を実行します。

  • Cloud Next Generation Firewall は、 Google Cloudのパケット インターセプト テクノロジー を使用して、 Google Cloud ワークロードが配置されている Virtual Private Cloud(VPC)ネットワークからファイアウォール エンドポイントにトラフィックを透過的にリダイレクトします。

    パケット インターセプトは、既存のルーティング ポリシーを変更することなく、選択したネットワーク トラフィックのパスにネットワーク アプライアンスを透過的に挿入する Google Cloud の機能です。

  • Cloud NGFW は、レイヤ 7 検査がこのフローに適用されるように構成されている場合にのみ、VPC ネットワーク内のワークロード トラフィックをファイアウォール エンドポイントにリダイレクトします。

  • Cloud NGFW は、レイヤ 7 検査のためにファイアウォール エンドポイントにリダイレクトされる各パケットに VPC ネットワーク識別子を追加します。IP アドレス範囲が重複する複数の VPC ネットワークがある場合、このネットワーク識別子により、リダイレクトされる各パケットが VPC ネットワークに正しく関連付けられます。

  • ゾーンにファイアウォール エンドポイントを作成して 1 つ以上の VPC ネットワークに接続すると、同じゾーン内のワークロードをモニタリングできます。VPC ネットワークが複数のゾーンにまたがっている場合は、各ゾーンに 1 つのファイアウォール エンドポイントを接続できます。特定のゾーンの VPC ネットワークにファイアウォール エンドポイントを接続しないと、そのゾーンのワークロード トラフィックにレイヤ 7 検査は実行されません。

    ファイアウォール エンドポイントの関連付けを使用して、ファイアウォール エンドポイントを VPC ネットワークに接続します。

  • レイヤ 7 検査を有効にするエンドポイントとワークロードは、同じゾーンに存在する必要があります。ワークロードと同じゾーンにファイアウォール エンドポイントを作成すると、次の利点があります。

    • レイテンシの短縮。ファイアウォール エンドポイントは、トラフィックをインターセプト、検査、再挿入できるため、異なるゾーンにあるファイアウォール エンドポイントよりもレイテンシが低くなります。

    • ゾーン間トラフィックがない。トラフィックを同じゾーン内に維持することで、コストが削減されます。

    • トラフィックの信頼性が向上。トラフィックを同じゾーン内に維持することで、ゾーンをまたいだサービスの停止のリスクを回避できます。

  • ファイアウォール エンドポイントは、Transport Layer Security(TLS)インスペクションで最大 2 Gbps のトラフィック、TLS インスペクションなしで 10 Gbps のトラフィックを処理できます。 トラフィックが多すぎると、エンドポイントが過負荷になり、パケット損失が発生する可能性があります。 ファイアウォール エンドポイントの容量使用率をモニタリングするには、 firewall_endpoint ネットワーク セキュリティ指標をご覧ください。

  • エンドポイントは承認されていないメッセージを転送しないため、過負荷のエンドポイントはトラフィックを検査できない場合、正当なトラフィックをドロップする可能性があります。

  • ファイアウォール エンドポイントの接続ごとのスループットは、TLS インスペクションありで最大 250 Mbps、TLS インスペクションなしで最大 1.25 Gbps です。

  • サイズが最大 8,588 バイトのジャンボ フレームを処理するファイアウォール エンドポイントを作成できます。または、ジャンボ フレームをサポートしないエンドポイントを作成することもできます。詳細については、 サポートされているパケットサイズをご覧ください。

  • ファイアウォール エンドポイントを削除できるのは、関連付けられている VPC ネットワークがない場合のみです。

  • Google は、ファイアウォール エンドポイントのインフラストラクチャ、ロード バランシング、自動スケーリング、ライフサイクルを管理します。ファイアウォール エンドポイントを作成すると、Google は一連の専用仮想マシン(VM)インスタンスを提供します。これにより、トラフィックの信頼性、パフォーマンス、セキュリティの分離を確保し、証明書を管理できます。

  • Google では、ファイアウォール エンドポイントに適切なフェイルオーバー メカニズムを使用して高可用性を実現しています。これにより、接続された VPC ネットワーク内のすべての VM インスタンスに対して信頼性の高いファイアウォール保護が保証されます。

  • プロジェクト レベルのファイアウォール エンドポイントは、顧客管理の暗号鍵(CMEK)をサポートしています。CMEK を使用すると、独自の暗号鍵を使用してファイアウォール インフラストラクチャ内の保存データを保護できます。詳細については、 顧客管理の暗号鍵 をご覧ください

ファイアウォール エンドポイントの関連付け

ファイアウォール エンドポイントの関連付けは、ファイアウォール エンドポイントを同じゾーン内の VPC ネットワークにリンクします。この関連付けを定義すると、Cloud NGFW は、レイヤ 7 検査を必要とする VPC ネットワーク内のゾーン ワークロード トラフィックを、接続されたファイアウォール エンドポイントに転送します。

VPC ネットワークは、組織レベルまたはプロジェクト レベルのファイアウォール エンドポイントに関連付けることができます。VPC ネットワークを関連付ける場合は、次の点を考慮してください。

  • プロジェクト間の関連付け: エンドポイントと VPC ネットワークが異なるプロジェクトにある場合、両方のプロジェクトが同じ 組織に属している必要があります。

  • ゾーンの上限: VPC ネットワークをゾーンごとに 1 つの ファイアウォール エンドポイントにのみ関連付けます。この上限には、組織レベルとプロジェクト レベルの両方のエンドポイントが含まれます。

プロジェクト レベルのファイアウォール エンドポイントによるトラフィック インターセプト

プロジェクト レベルのファイアウォール エンドポイントを使用してトラフィックをインターセプトして検査するには、次の要件を満たしていることを確認してください。

  • VM インスタンスのゾーン内の VPC ネットワークが、ターゲットのファイアウォール エンドポイントに関連付けられている。
  • トラフィックが、apply_security_profile_group アクションを含むファイアウォール ポリシー ルールに一致する。
  • セキュリティ プロファイル グループが、ファイアウォール エンドポイントと同じプロジェクトに存在する。

サポートされているパケットサイズ

ファイアウォール エンドポイントは、ジャンボ フレームをサポートしているか、サポートしていません。

  • ジャンボ フレームをサポートするファイアウォール エンドポイントは、最大 8,588 バイトのパケットを受け入れることができます。

    Cloud NGFW は、 GENEVE カプセル化 (データ検査に必要)とその他の拡張機能用に、追加の 308 バイトを予約します。したがって、合計 パケットサイズ 8,896 バイトは、 がサポートする可能な最大伝送 単位(MTU)と一致します。 Google Cloud

  • ジャンボ フレームをサポートしないファイアウォール エンドポイントは、最大 1,460 バイトのパケットを受け入れることができます。

レイヤ 7 検査を正常に実行するには、 エンドポイントに関連付けられた VPC ネットワークを構成して、 次の MTU 上限に従うようにします。

  • ジャンボ フレームをサポートするエンドポイントの場合は、VPC ネットワークで 8,588 バイト以下の MTU を使用していることを確認してください。

  • ジャンボ フレームをサポートしないエンドポイントの場合は、VPC ネットワークで 1,460 バイト以下の MTU を使用していることを確認してください。

ジャンボ フレームをサポートするファイアウォール エンドポイントと、サポートしないファイアウォール エンドポイントを作成できます。ただし、既存のエンドポイントを再構成して、ジャンボ フレームのサポートを追加または削除することはできません。ジャンボ フレームのサポートを追加または削除するには、エンドポイントを削除して再作成します。詳細については、 ファイアウォール エンドポイントを作成するをご覧ください。

IAM ロール

Identity and Access Management(IAM)ロールは、次のファイアウォール エンドポイント アクションを管理します。

  • 組織またはプロジェクトでのファイアウォール エンドポイントの作成
  • 組織またはプロジェクトでのファイアウォール エンドポイントの変更または削除
  • 組織またはプロジェクトでのファイアウォール エンドポイントの詳細の表示
  • 組織またはプロジェクトで構成されているすべてのファイアウォール エンドポイントの表示

次の表に、各ステップに必要なロールを示します。

機能 必要なロール
ファイアウォール エンドポイントを作成する 次のいずれかのロール:
ファイアウォール エンドポイントを変更する 次のいずれかのロール:
ファイアウォール エンドポイントを削除する 次のいずれかのロール:
ファイアウォール エンドポイントの詳細を表示する 次のいずれかのロール:
すべてのファイアウォール エンドポイントを表示する 次のいずれかのロール:

IAM ロールは、次のファイアウォール エンドポイントの関連付けアクションを管理します。

  • プロジェクトでのファイアウォール エンドポイントの関連付けの作成
  • ファイアウォール エンドポイントの関連付けの変更または削除
  • ファイアウォール エンドポイントの関連付けの詳細の表示
  • プロジェクトで構成されたすべてのファイアウォール エンドポイントの関連付けの表示

次の表に、各ステップに必要なロールを示します。

機能 必要なロール
ファイアウォール エンドポイントの関連付けの作成 次のいずれかのロール:
ファイアウォール エンドポイントの関連付けを変更する 次のいずれかのロール:
  • Compute ネットワーク管理者 (roles/compute.networkAdmin)
  • ファイアウォール エンドポイント管理者roles/networksecurity.firewallEndpointAdmin) 組織レベルのファイアウォール エンドポイントの関連付けの場合は組織レベルで、プロジェクト レベルのファイアウォール エンドポイントの関連付けの場合はプロジェクト レベルまたは組織レベルで付与されます。
ファイアウォール エンドポイントの関連付けを削除する 次のいずれかのロール:
  • Compute ネットワーク管理者 (roles/compute.networkAdmin)
  • ファイアウォール エンドポイント管理者roles/networksecurity.firewallEndpointAdmin) 組織レベルのファイアウォール エンドポイントの関連付けの場合は組織レベルで、プロジェクト レベルのファイアウォール エンドポイントの関連付けの場合はプロジェクト レベルまたは組織レベルで付与されます。
プロジェクト内のファイアウォール エンドポイントの関連付けの詳細を表示する 次のいずれかのロール:
プロジェクト内のすべてのファイアウォール エンドポイントの関連付けを表示する。 次のいずれかのロール:

割り当て

ファイアウォール エンドポイントに関連付けられた割り当てを表示するには、割り当てと上限をご覧ください。

次のステップ