Descripción general del extremo de firewall

El extremo de firewall es un recurso de Cloud Next Generation Firewall que habilita las funciones avanzadas de protección de la capa 7, como el servicio de filtrado de URL y el servicio de detección y prevención de intrusiones, en tu red. En esta página, se proporciona una descripción general detallada de los extremos de firewall y sus capacidades.

Especificaciones

  • Un extremo de firewall es un recurso zonal que puedes configurar a nivel de la organización o del proyecto.

    • Extremo de firewall a nivel de la organización: Úsalo para crear y administrar políticas en toda tu organización o a nivel de la carpeta.

    • Extremo de firewall a nivel del proyecto: Úsalo para crear y administrar políticas dentro de un proyecto específico.

  • Los extremos de firewall llevan a cabo una inspección de firewall de capa 7 en el tráfico interceptado.

  • Cloud Next Generation Firewall usa Google Cloud's la tecnología de interceptación de paquetes para redireccionar el tráfico con transparencia desde las Google Cloud cargas de trabajo en una red de nube privada virtual (VPC) a los extremos del firewall.

    La interceptación de paquetes es una Google Cloud capacidad que inserta de manera transparente dispositivos de red en la ruta del tráfico de red elegido sin modificar sus políticas de enrutamiento existentes.

  • Cloud NGFW redirecciona el tráfico de carga de trabajo en una red de VPC al extremo del firewall solo si la inspección de la capa 7 está configurada para aplicarse a este flujo.

  • Cloud NGFW agrega un identificador de red de VPC a cada paquete redireccionado al extremo de firewall para la inspección de la capa 7. Si tienes varias redes de VPC con rangos de direcciones IP superpuestos, este identificador de red ayuda a garantizar que cada paquete redireccionado esté asociado de forma correcta con su red de VPC.

  • Puedes crear un extremo de firewall en una zona y adjuntarlo a una o más redes de VPC para supervisar las cargas de trabajo en la misma zona. Si tu red de VPC abarca varias zonas, puedes conectar un extremo de firewall en cada zona. Si no conectas un extremo de firewall a una red de VPC en una zona específica, no se realiza ninguna inspección de capa 7 en el tráfico de carga de trabajo para esa zona.

    Usa la asociación de extremo de firewall para conectar un extremo de firewall a una red de VPC.

  • El extremo y las cargas de trabajo para las que deseas habilitar la inspección de capa 7 deben estar en la misma zona. Crear el extremo de firewall en la misma zona que las cargas de trabajo tiene los siguientes beneficios:

    • Menor latencia. Debido a que los extremos de firewall pueden interceptar, inspeccionar y restablecer el tráfico en la red, la latencia es menor que la de los extremos de firewall en diferentes zonas.

    • No hay tráfico entre zonas. Mantener el tráfico dentro de la misma zona garantiza costos más bajos.

    • Tráfico más confiable. Mantener el tráfico dentro de la misma zona quita el riesgo de interrupciones interzonales.

  • Los extremos de firewall pueden procesar hasta 2 Gbps de tráfico con una inspección de seguridad de la capa de transporte (TLS) y 10 Gbps de tráfico sin inspección de TLS. El tráfico excesivo puede sobrecargar el extremo y provocar pérdidas de paquetes. Para supervisar el uso de capacidad del extremo de firewall, consulta las métricas de seguridad de red firewall_endpoint.

  • Debido a que el extremo no reenvía mensajes no aprobados, un extremo sobrecargado puede descartar tráfico legítimo si no puede inspeccionarlo.

  • Los extremos de firewall pueden tener un máximo de rendimiento por conexión de 250 Mbps de tráfico con inspección de TLS y 1.25 Gbps de tráfico sin inspección de TLS.

  • Puedes crear un extremo de firewall que procese tramas jumbo de hasta 8,588 bytes de tamaño. Como alternativa, puedes crear un extremo sin compatibilidad con tramas jumbo. Para obtener más información, consulta Tamaño de paquete admitido.

  • Puedes borrar un extremo de firewall solo cuando no haya redes de VPC asociadas.

  • Google administra la infraestructura, el balanceo de cargas, el ajuste de escala automático y el ciclo de vida de los extremos del firewall. Cuando creas un extremo de firewall, Google proporciona un conjunto de instancias de máquina virtual (VM) dedicadas, lo que garantiza la confiabilidad, el rendimiento y el aislamiento de seguridad para el tráfico, junto con la administración de certificados.

  • Google proporciona alta disponibilidad mediante el uso de mecanismos de conmutación por error adecuados para los extremos de firewall, lo que garantiza una protección de firewall confiable para todas las instancias de VM cubiertas dentro de la red de VPC conectada.

  • Los extremos de firewall a nivel del proyecto admiten claves de encriptación administradas por el cliente (CMEK). Puedes usar CMEK para proteger los datos en reposo dentro de la infraestructura de firewall con tus propias claves de encriptación. Para obtener más información, consulta Claves de encriptación administradas por el cliente.

Asociaciones de extremo de firewall

La asociación del extremo de firewall vincula un extremo de firewall a una red de VPC en la misma zona. Después de definir esta asociación, Cloud NGFW reenvía el tráfico de carga de trabajo zonal en tu red de VPC que requiere la inspección de la capa 7 al extremo del firewall adjunto.

Puedes asociar una red de VPC con un extremo de firewall a nivel de la organización o del proyecto. Para asociar una red de VPC, ten en cuenta lo siguiente:

  • Asociación entre proyectos: Si el extremo y la red de VPC están en proyectos diferentes, ambos proyectos deben pertenecer a la misma organización.

  • Límite zonal: Asocia una red de VPC con solo un extremo de firewall por zona. Este límite incluye extremos a nivel de la organización y del proyecto.

Interceptación de tráfico por extremos de firewall a nivel del proyecto

Para interceptar e inspeccionar el tráfico con un extremo de firewall a nivel del proyecto, asegúrate de que se cumplan los siguientes requisitos:

  • Una red de VPC en la zona de la instancia de VM está asociada con el extremo de firewall de destino.
  • El tráfico coincide con una regla de política de firewall con la acción apply_security_profile_group.
  • El grupo de perfiles de seguridad existe en el mismo proyecto que el extremo de firewall.

Tamaño de paquete admitido

Un extremo de firewall admite o no tramas jumbo.

  • Un extremo de firewall con compatibilidad con tramas jumbo puede aceptar paquetes de hasta 8,588 bytes.

    Cloud NGFW reserva 308 bytes adicionales para el encapsulamiento de GENEVE (necesario para la inspección de datos) y para otras extensiones. Por lo tanto, el tamaño total del paquete de 8,896 bytes coincide con la unidad de transmisión máxima (MTU) más alta posible que admite. Google Cloud

  • Un extremo de firewall sin compatibilidad con tramas jumbo puede aceptar paquetes de hasta 1,460 bytes.

Para realizar la inspección de capa 7 de forma correcta, configura las redes de VPC asociadas con el extremo para que sigan estos límites de MTU:

  • Para un extremo con compatibilidad con tramas jumbo, asegúrate de que las redes de VPC usen una MTU de 8,588 bytes o menos.

  • Para un extremo sin compatibilidad con tramas jumbo, asegúrate de que las redes de VPC usen una MTU de 1,460 bytes o menos.

Puedes crear un extremo de firewall con o sin compatibilidad con tramas jumbo. Sin embargo, no puedes volver a configurar un extremo existente para agregar o quitar la compatibilidad con tramas jumbo. Para agregar o quitar la compatibilidad con tramas jumbo, borra el extremo y vuelve a crearlo. Para obtener más información, consulta Crea un extremo de firewall.

Funciones de IAM

Las funciones de Identity and Access Management (IAM) rigen las siguientes acciones de extremos de firewall:

  • Crea un extremo de firewall en una organización o un proyecto.
  • Modifica o borra un extremo de firewall en una organización o un proyecto.
  • Visualiza los detalles de un extremo de firewall en una organización o un proyecto.
  • Visualiza todos los extremos de firewall configurados en una organización o un proyecto.

En la siguiente tabla, se describen los roles necesarios para cada paso.

Capacidad Rol necesario
Crea un extremo de firewall Cualquiera de los siguientes roles:
Modifica un extremo de firewall Cualquiera de los siguientes roles:
Borra un extremo de firewall Cualquiera de los siguientes roles:
Visualiza detalles sobre el extremo de firewall Cualquiera de los siguientes roles:
Visualiza todos los extremos de firewall Cualquiera de los siguientes roles:

Los roles de IAM rigen las siguientes acciones de asociación de extremos de firewall:

  • Crea una asociación de extremo de firewall en un proyecto
  • Modifica o borra una asociación de extremo de firewall
  • Visualiza los detalles de una asociación de extremo de firewall
  • Visualiza todas las asociaciones de extremos de firewall configuradas en un proyecto

En la siguiente tabla, se describen los roles necesarios para cada paso.

Capacidad Rol necesario
Crear una asociación de extremo de firewall Cualquiera de los siguientes roles:
Modifica una asociación de extremo de firewall Cualquiera de los siguientes roles:
  • Administrador de la red de Compute (roles/compute.networkAdmin)
  • Administrador de extremo de firewall (roles/networksecurity.firewallEndpointAdmin) otorgado a nivel de la organización para asociaciones de extremos de firewall a nivel de la organización y a nivel del proyecto o de la organización para asociaciones de extremos de firewall a nivel del proyecto
Borra una asociación de extremo de firewall Cualquiera de los siguientes roles:
  • Administrador de la red de Compute (roles/compute.networkAdmin)
  • Administrador de extremo de firewall (roles/networksecurity.firewallEndpointAdmin) otorgado a nivel de la organización para asociaciones de extremos de firewall a nivel de la organización y a nivel del proyecto o de la organización para asociaciones de extremos de firewall a nivel del proyecto
Visualiza los detalles de la asociación de extremos de firewall en un proyecto Cualquiera de los siguientes roles:
Visualiza todas las asociaciones de extremos de firewall en un proyecto Cualquiera de los siguientes roles:

Cuotas

Para ver las cuotas asociadas con los extremos de firewall, consulta Cuotas y límites.

¿Qué sigue?