נקודת קצה של חומת אש היא משאב של Cloud Next Generation Firewall, שמאפשר יכולות הגנה מתקדמות ברמה 7, כמו שירות סינון כתובות URL ושירות גילוי ומניעת חדירות ברשת.
בדף הזה מפורטת סקירה כללית של נקודות קצה של חומת אש והיכולות שלהן.
מפרטים
נקודת קצה של חומת אש היא משאב של תחום מוגדר שאפשר להגדיר ברמת הארגון או ברמת הפרויקט.
נקודות קצה של חומת אש ברמת הארגון: אדמינים בארגון יוצרים ומנהלים את נקודות הקצה האלה כדי לנהל את האבטחה באופן מרכזי בארגון.
נקודות קצה של חומת אש ברמת הפרויקט (גרסת Preview): אדמינים של פרויקטים יוצרים ומנהלים את נקודות הקצה האלה בתוך פרויקט. אפשר לשייך כל רשת VPC בארגון לנקודת קצה ברמת הפרויקט. אם אין לכם הרשאות ברמת הארגון ליצירת נקודות קצה של חומת אש ברמת הארגון, תוכלו ליצור נקודות קצה של חומת אש ברמת הפרויקט.
נקודות קצה של חומת אש מבצעות בדיקה של חומת אש בשכבה 7 בתנועה שיירטה.
Cloud Next Generation Firewall משתמשת בטכנולוגיית יירוט החבילות של Google Cloudכדי להפנות מחדש את התעבורה באופן שקוף מעומסי העבודה של Google Cloud ברשת של ענן וירטואלי פרטי (VPC) לנקודות הקצה של חומת האש.
חטיפת מנות היא Google Cloud יכולת שמוסיפה באופן שקוף מכשירי רשת לנתיב של תנועת רשת נבחרת בלי לשנות את מדיניות הניתוב הקיימת שלהם.
Cloud NGFW מפנה את תעבורת עומס העבודה ברשת VPC לנקודת הקצה של חומת האש רק אם בדיקת Layer 7 מוגדרת כך שתחול על הזרימה הזו.
Cloud NGFW מוסיף מזהה של רשת VPC לכל מנה שהופנתה לנקודת הקצה של חומת האש לבדיקה בשכבה 7. אם יש לכם כמה רשתות VPC עם טווחי כתובות IP חופפים, מזהה הרשת הזה עוזר לוודא שכל מנה שהופנתה מחדש משויכת לרשת ה-VPC שלה בצורה נכונה.
אפשר ליצור נקודת קצה של חומת אש באזור מסוים ולצרף אותה לרשתות VPC אחת או יותר כדי לעקוב אחרי עומסי עבודה באותו אזור. אם רשת ה-VPC שלכם משתרעת על פני כמה אזורים, אתם יכולים לצרף נקודת קצה אחת של חומת אש לכל אזור. אם לא מצרפים נקודת קצה של חומת אש לרשת VPC באזור מסוים, לא מתבצעת בדיקה בשכבה 7 של תעבורת העומס באזור הזה.
כדי לצרף נקודת קצה של חומת אש לרשת VPC, משתמשים בשיוך של נקודת קצה של חומת אש.
נקודת הקצה ועומסי העבודה שרוצים להפעיל עבורם בדיקה בשכבה 7 צריכים להיות באותו אזור. ליצירת נקודת הקצה של חומת האש באותו אזור שבו נמצאים עומסי העבודה יש את היתרונות הבאים:
זמן אחזור נמוך יותר. מכיוון שנקודות קצה של חומת אש יכולות ליירט, לבדוק ולהחדיר מחדש את התעבורה בחזרה לרשת, זמן האחזור נמוך יותר מזה של נקודות קצה של חומת אש באזורים שונים.
אין תנועה בין אזורים. כדי להבטיח עלויות נמוכות יותר, חשוב לשמור על התנועה באותו אזור.
תנועה אמינה יותר. השארת התנועה באותו אזור מסירה את הסיכון להפסקות שירות חוצות אזורים.
נקודות קצה של חומת אש יכולות לעבד עד 2Gbps של תעבורת נתונים עם בדיקת Transport Layer Security (TLS), ו-10Gbps של תעבורת נתונים ללא בדיקת TLS. תנועה מוגזמת עלולה לגרום לעומס יתר בנקודת הקצה ולאובדן מנות. כדי לעקוב אחרי ניצול הקיבולת של נקודת הקצה של חומת האש, אפשר לעיין במאמר בנושא מדדי אבטחת רשת של
firewall_endpoint.מכיוון שנקודת הקצה לא מעבירה הודעות שלא אושרו, יכול להיות שנקודת קצה עמוסה מדי תפסיק תנועה לגיטימית אם היא לא תוכל לבדוק את התנועה.
נקודות קצה של חומת אש יכולות להעביר תפוקה מקסימלית של 250Mbps של תעבורת נתונים לכל חיבור עם בדיקת TLS, ו-1.25Gbps של תעבורת נתונים ללא בדיקת TLS.
אתם יכולים ליצור נקודת קצה של חומת אש שמבצעת עיבוד של מסגרות ג'מבו בגודל של עד 8,588 בייט. אפשר גם ליצור נקודת קצה ללא תמיכה ב-jumbo frame. מידע נוסף זמין במאמר בנושא גודל מנות נתונים נתמך.
אפשר למחוק נקודת קצה של חומת אש רק אם לא משויכות אליה רשתות VPC.
Google מנהלת את התשתית, איזון העומסים, ההתאמה לעומס (autoscaling) ומחזור החיים של נקודות הקצה של חומת האש. כשיוצרים נקודת קצה של חומת אש, Google מספקת קבוצה של מכונות וירטואליות (VM) ייעודיות, כדי להבטיח אמינות, ביצועים ובידוד אבטחתי של התעבורה, וגם ניהול של אישורים.
Google מספקת זמינות גבוהה באמצעות מנגנוני מעבר לגיבוי (failover) מתאימים לנקודות הקצה של חומת האש. כך מובטחת הגנה מהימנה של חומת האש לכל המכונות הווירטואליות שנכללות ברשת ה-VPC המצורפת.
שיוכים של נקודות קצה לחומת אש
שיוך של נקודת קצה של חומת אש מקשר נקודת קצה של חומת אש לרשת VPC באותו אזור. אחרי שמגדירים את השיוך הזה, Cloud NGFW מעביר את תעבורת הנתונים של עומסי העבודה האזוריים ברשת ה-VPC שדורשת בדיקה של Layer 7 לנקודת הקצה של חומת האש המצורפת.
אפשר לשייך רשת VPC לנקודת קצה של חומת אש ברמת הארגון או ברמת הפרויקט (גרסת טרום-השקה (Preview)). כדי לשייך רשת VPC, כדאי לשקול את הנקודות הבאות:
שיוך בין פרויקטים: אם נקודת הקצה ורשת ה-VPC נמצאות בפרויקטים שונים, שני הפרויקטים צריכים להיות שייכים לאותו ארגון.
מגבלה אזורית: אפשר לשייך רשת VPC רק לנקודת קצה אחת של חומת אש לכל אזור. המגבלה הזו כוללת נקודות קצה ברמת הארגון וברמת הפרויקט.
יירוט תנועה על ידי נקודות קצה של חומת אש ברמת הפרויקט
כדי ליירט את התנועה ולבדוק אותה באמצעות נקודת קצה של חומת אש ברמת הפרויקט, צריך לוודא שמתקיימות הדרישות הבאות:
- רשת VPC באזור של המכונה הווירטואלית משויכת לנקודת הקצה של חומת האש.
- התעבורה תואמת לכלל מדיניות חומת אש עם הפעולה
apply_security_profile_group. - קבוצת פרופילי האבטחה קיימת באותו פרויקט כמו נקודת הקצה של חומת האש.
גודל החבילה הנתמך
נקודת קצה של חומת אש תומכת בפריים ג'מבו או לא תומכת בו.
נקודת קצה של חומת אש עם תמיכה ב-jumbo frame יכולה לקבל מנות (packets) בגודל של עד 8,588 בייט.
Cloud NGFW שומר 308 בייטים נוספים עבור GENEVE encapsulation (שנדרש לבדיקת נתונים) ועבור תוספים אחרים. לכן, גודל החבילה הכולל של 8,896 בייט תואם ליחידת השידור המקסימלית (MTU) הגבוהה ביותר שאפשרה לתמוך בה. Google Cloud
נקודת קצה של חומת אש ללא תמיכה ב-jumbo frame יכולה לקבל מנות (packets) של עד 1,460 בייט.
כדי לבצע בהצלחה בדיקה בשכבה 7, צריך להגדיר את רשתות ה-VPC שמשויכות לנקודת הקצה כך שיעמדו במגבלות ה-MTU הבאות:
בנקודת קצה עם תמיכה בפריימים גדולים, צריך לוודא שרשתות ה-VPC משתמשות ב-MTU של 8,588 בייט או פחות.
אם נקודת הקצה לא תומכת ב-jumbo frame, צריך לוודא שרשתות ה-VPC משתמשות ב-MTU של 1,460 בייט או פחות.
אפשר ליצור נקודת קצה של חומת אש עם תמיכה ב-jumbo frame או בלי תמיכה כזו. עם זאת, אי אפשר להגדיר מחדש נקודת קצה קיימת כדי להוסיף תמיכה ב-jumbo frame או להסיר אותה. כדי להוסיף או להסיר תמיכה בפריים ג'מבו, צריך למחוק את נקודת הקצה וליצור אותה מחדש. מידע נוסף זמין במאמר יצירת נקודת קצה של חומת אש.
תפקידים בניהול זהויות והרשאות גישה (IAM)
תפקידים בניהול זהויות והרשאות גישה (IAM) קובעים את הפעולות הבאות לניהול נקודות הקצה של חומת האש:
- יצירת נקודת קצה של חומת אש בארגון או בפרויקט
- שינוי או מחיקה של נקודת קצה של חומת אש בארגון או בפרויקט
- הצגת פרטים של נקודת קצה של חומת אש בארגון או בפרויקט
- הצגת כל נקודות הקצה של חומת האש שהוגדרו בארגון או בפרויקט
כדי לנהל נקודות קצה ברמת הארגון, צריך לקבל את התפקיד Firewall Endpoint Admin (אדמין של נקודות קצה של חומת אש) (roles/networksecurity.firewallEndpointAdmin) ברמת הארגון. כדי לנהל נקודות קצה ברמת הפרויקט, צריך לקבל את התפקיד אדמין של נקודות קצה של חומת אש (roles/networksecurity.firewallEndpointAdmin) ברמת הפרויקט (גרסת Preview) או ברמת ארגון האב.
בטבלה הבאה מפורטים התפקידים שנדרשים בכל שלב.
| יכולת | תפקיד נדרש |
|---|---|
| יצירת נקודת קצה חדשה לחומת האש | אחד מהתפקידים הבאים בארגון או בפרויקט שבו קיימת נקודת הקצה של חומת האש:
|
| שינוי של נקודת קצה קיימת בחומת אש | אחד מהתפקידים הבאים בארגון או בפרויקט שבו נוצרת נקודת הקצה של חומת האש:
|
| הצגת פרטים על נקודת הקצה של חומת האש | אחד מהתפקידים הבאים בארגון או בפרויקט שבו קיים נקודת הקצה של חומת האש:
|
| הצגת כל נקודות הקצה של חומת האש | אחד מהתפקידים הבאים בארגון או בפרויקט שבו קיים נקודת הקצה של חומת האש:
|
תפקידי IAM קובעים את הפעולות הבאות לגבי שיוכים של נקודות קצה של חומת אש:
- יצירת שיוך של נקודת קצה של חומת אש בפרויקט
- שינוי או מחיקה של שיוך של נקודת קצה של חומת אש
- הצגת פרטים של שיוך נקודת קצה לחומת אש
- צפייה בכל השיוכים של נקודות קצה של חומת אש שהוגדרו בפרויקט
בטבלה הבאה מפורטים התפקידים שנדרשים בכל שלב.
| יכולת | תפקיד נדרש |
|---|---|
| יצירת שיוך של נקודת קצה לחומת אש | כל אחד מהתפקידים הבאים בארגון או בפרויקט שבהם קיים שיוך של נקודת הקצה של חומת האש:
|
| שינוי (עדכון או מחיקה) של שיוכי נקודות הקצה של חומת האש | אחד מהתפקידים הבאים בפרויקט שבו קיימת רשת ה-VPC:
|
| הצגת פרטים על שיוך נקודת קצה של חומת אש בפרויקט | אחד מהתפקידים הבאים בארגון או בפרויקט (Preview) שבו נוצר שיוך נקודת הקצה של חומת האש:
|
| צפייה בכל השיוכים של נקודות הקצה של חומת האש בפרויקט. | אחד מהתפקידים הבאים בארגון או בפרויקט (Preview) שבו נוצר שיוך של נקודת קצה של חומת האש:
|
מכסות
כדי לראות את המכסות שמשויכות לנקודות קצה של חומת אש, אפשר לעיין במאמר מכסות ומגבלות.
המאמרים הבאים
- הגדרת שירות סינון כתובות URL
- הגדרת שירות גילוי ומניעת חדירות
- יצירה וניהול של נקודות קצה של חומת אש
- יצירה וניהול של שיוכים של נקודות קצה לחומת אש