נקודת קצה של חומת אש היא משאב של Cloud Next Generation Firewall, שמאפשר יכולות הגנה מתקדמות ברמה 7, כמו שירות סינון כתובות URL ושירות גילוי ומניעת חדירות ברשת. בדף הזה מפורטת סקירה כללית של נקודות קצה של חומת אש והיכולות שלהן.
מפרטים
נקודת קצה של חומת אש היא משאב של תחום מוגדר שאפשר להגדיר ברמת הארגון או ברמת הפרויקט.
נקודת קצה של חומת אש ברמת הארגון: משתמשים באפשרות הזו כדי ליצור ולנהל מדיניות ברמת הארגון או ברמת התיקייה.
נקודת קצה של חומת אש ברמת הפרויקט: משתמשים בה כדי ליצור ולנהל מדיניות בפרויקט ספציפי.
נקודות קצה של חומת אש מבצעות בדיקה של חומת אש בשכבה 7 בתנועה שיירטה.
Cloud Next Generation Firewall משתמשת בטכנולוגיית יירוט החבילות של Google Cloudכדי להפנות מחדש את התעבורה באופן שקוף מעומסי העבודה של Google Cloud ברשת של ענן וירטואלי פרטי (VPC) לנקודות הקצה של חומת האש.
חטיפת מנות היא Google Cloud יכולת שמוסיפה באופן שקוף מכשירי רשת לנתיב של תנועת רשת נבחרת בלי לשנות את מדיניות הניתוב הקיימת שלהם.
Cloud NGFW מפנה את תעבורת עומס העבודה ברשת VPC לנקודת הקצה של חומת האש רק אם בדיקת Layer 7 מוגדרת כך שתחול על הזרימה הזו.
Cloud NGFW מוסיף מזהה של רשת VPC לכל מנה שהופנתה לנקודת הקצה של חומת האש לבדיקה בשכבה 7. אם יש לכם כמה רשתות VPC עם טווחי כתובות IP חופפים, מזהה הרשת הזה עוזר לוודא שכל מנה חבילה שמופנית מחדש משויכת לרשת ה-VPC שלה.
אפשר ליצור נקודת קצה של חומת אש באזור מסוים ולצרף אותה לרשתות VPC אחת או יותר כדי לעקוב אחרי עומסי עבודה באותו אזור. אם רשת ה-VPC שלכם משתרעת על פני כמה אזורים, אתם יכולים לצרף נקודת קצה אחת של חומת אש בכל אזור. אם לא מצרפים נקודת קצה של חומת אש לרשת VPC באזור מסוים, לא מתבצעת בדיקה בשכבה 7 של תעבורת העומס באזור הזה.
כדי לצרף נקודת קצה של חומת אש לרשת VPC, משתמשים בשיוך של נקודת קצה של חומת אש.
נקודת הקצה ועומסי העבודה שרוצים להפעיל עבורם בדיקה של Layer 7 צריכים להיות באותו אזור. ליצירת נקודת הקצה של חומת האש באותו אזור שבו נמצאים עומסי העבודה יש את היתרונות הבאים:
זמן אחזור נמוך יותר. מכיוון שנקודות קצה של חומת אש יכולות ליירט, לבדוק ולהחדיר מחדש את התעבורה בחזרה לרשת, זמן האחזור נמוך יותר מזה של נקודות קצה של חומת אש באזורים שונים.
אין תנועה בין אזורים. כדי להבטיח עלויות נמוכות יותר, חשוב שהתנועה תישאר באותו אזור.
תנועה אמינה יותר. השארת התנועה באותו אזור מסירה את הסיכון להפסקות שירות חוצות אזורים.
נקודות קצה של חומת אש יכולות לעבד עד 2Gbps של תעבורת נתונים עם בדיקת Transport Layer Security (TLS), ו-10Gbps של תעבורת נתונים בלי בדיקת TLS. תנועה מוגזמת עלולה לגרום לעומס יתר בנקודת הקצה ולאובדן מנות. כדי לעקוב אחרי ניצול הקיבולת של נקודת הקצה של חומת האש, אפשר לעיין במאמר בנושא מדדי אבטחת רשת של
firewall_endpoint.מכיוון שנקודת הקצה לא מעבירה הודעות שלא אושרו, יכול להיות שנקודת קצה עמוסה מדי תפסיק תנועה לגיטימית אם היא לא תוכל לבדוק את התנועה.
נקודות קצה של חומת אש יכולות להעביר תפוקה מקסימלית של 250Mbps של תעבורת נתונים לכל חיבור עם בדיקת TLS, ו-1.25Gbps של תעבורת נתונים ללא בדיקת TLS.
אפשר ליצור נקודת קצה של חומת אש שמבצעת עיבוד של מסגרות ג'מבו בגודל של עד 8,588 בייט. אפשר גם ליצור נקודת קצה ללא תמיכה ב-jumbo frame. מידע נוסף זמין במאמר בנושא גודל מנות נתונים נתמך.
אפשר למחוק נקודת קצה של חומת אש רק אם לא משויכות אליה רשתות VPC.
Google מנהלת את התשתית, איזון העומסים, ההתאמה לעומס (autoscaling) ומחזור החיים של נקודות הקצה של חומת האש. כשיוצרים נקודת קצה של חומת אש, Google מספקת קבוצה של מכונות וירטואליות (VM) ייעודיות, כדי להבטיח אמינות, ביצועים ובידוד אבטחה של התנועה, וגם ניהול אישורים.
Google מספקת זמינות גבוהה באמצעות מנגנוני מעבר לגיבוי (failover) מתאימים לנקודות הקצה של חומת האש. כך מובטחת הגנה מהימנה של חומת האש לכל המכונות הווירטואליות שנכללות ברשת ה-VPC המצורפת.
נקודות קצה של חומת אש ברמת הפרויקט תומכות במפתחות הצפנה בניהול הלקוח (CMEK). אתם יכולים להשתמש ב-CMEK כדי להגן על נתונים במצב מנוחה בתשתית של חומת האש באמצעות מפתחות הצפנה משלכם. מידע נוסף מופיע במאמר בנושא מפתחות הצפנה בניהול הלקוח.
שיוכים של נקודות קצה לחומת אש
שיוך של נקודת קצה של חומת אש מקשר נקודת קצה של חומת אש לרשת VPC באותו אזור. אחרי שמגדירים את השיוך הזה, Cloud NGFW מעביר את תעבורת הנתונים של עומסי העבודה האזוריים ברשת ה-VPC שדורשת בדיקה של Layer 7 לנקודת הקצה של חומת האש המצורפת.
אפשר לשייך רשת VPC לנקודת קצה של חומת אש ברמת הארגון או ברמת הפרויקט. כדי לשייך רשת VPC, כדאי לשקול את הנקודות הבאות:
שיוך בין פרויקטים: אם נקודת הקצה ורשת ה-VPC נמצאות בפרויקטים שונים, שני הפרויקטים צריכים להיות שייכים לאותו ארגון.
מגבלה אזורית: אפשר לשייך רשת VPC רק לנקודת קצה אחת של חומת אש לכל אזור. המגבלה הזו כוללת נקודות קצה ברמת הארגון וברמת הפרויקט.
יירוט תנועה על ידי נקודות קצה של חומת אש ברמת הפרויקט
כדי ליירט את התנועה ולבדוק אותה באמצעות נקודת קצה של חומת אש ברמת הפרויקט, צריך לוודא שמתקיימות הדרישות הבאות:
- רשת VPC באזור של המכונה הווירטואלית משויכת לנקודת הקצה של חומת האש של היעד.
- התנועה תואמת לכלל מדיניות חומת אש עם הפעולה
apply_security_profile_group. - קבוצת פרופילי האבטחה קיימת באותו פרויקט כמו נקודת הקצה של חומת האש.
גודל החבילה הנתמך
נקודת קצה של חומת אש תומכת בפריים ג'מבו או לא תומכת בו.
נקודת קצה של חומת אש עם תמיכה ב-jumbo frame יכולה לקבל מנות (packets) בגודל של עד 8,588 בייט.
Cloud NGFW שומר 308 בייטים נוספים עבור GENEVE encapsulation (שנדרש לבדיקת נתונים) ועבור תוספים אחרים. לכן, גודל החבילה הכולל של 8,896 בייט תואם ליחידת השידור המקסימלית (MTU) הגבוהה ביותר שאפשרה לתמוך בה. Google Cloud
נקודת קצה של חומת אש ללא תמיכה ב-jumbo frame יכולה לקבל מנות (packets) של עד 1,460 בייט.
כדי לבצע בהצלחה בדיקה בשכבה 7, צריך להגדיר את רשתות ה-VPC שמשויכות לנקודת הקצה כך שיעמדו במגבלות ה-MTU הבאות:
בנקודת קצה עם תמיכה בפריימים גדולים, צריך לוודא שרשתות ה-VPC משתמשות ב-MTU של 8,588 בייט או פחות.
אם נקודת הקצה לא תומכת ב-jumbo frame, צריך לוודא שרשתות ה-VPC משתמשות ב-MTU של 1,460 בייט או פחות.
אפשר ליצור נקודת קצה של חומת אש עם תמיכה ב-jumbo frame או בלי תמיכה כזו. עם זאת, אי אפשר להגדיר מחדש נקודת קצה קיימת כדי להוסיף תמיכה ב-jumbo frame או להסיר אותה. כדי להוסיף או להסיר תמיכה בפריים ג'מבו, צריך למחוק את נקודת הקצה וליצור אותה מחדש. מידע נוסף זמין במאמר יצירת נקודת קצה של חומת אש.
תפקידי IAM
תפקידים בניהול זהויות והרשאות גישה (IAM) קובעים את הפעולות הבאות בנקודת הקצה של חומת האש:
- יצירת נקודת קצה של חומת אש בארגון או בפרויקט
- שינוי או מחיקה של נקודת קצה של חומת אש בארגון או בפרויקט
- הצגת פרטים של נקודת קצה של חומת אש בארגון או בפרויקט
- הצגת כל נקודות הקצה של חומת האש שהוגדרו בארגון או בפרויקט
בטבלה הבאה מפורטים התפקידים שנדרשים בכל שלב.
| יכולת | תפקיד נדרש |
|---|---|
| יצירת נקודת קצה של חומת אש | כל אחד מהתפקידים הבאים:
|
| שינוי של נקודת קצה בחומת אש | כל אחד מהתפקידים הבאים:
|
| מחיקת נקודת קצה של חומת אש | כל אחד מהתפקידים הבאים:
|
| הצגת פרטים על נקודת הקצה של חומת האש | כל אחד מהתפקידים הבאים:
|
| הצגת כל נקודות הקצה של חומת האש | כל אחד מהתפקידים הבאים:
|
תפקידי IAM קובעים את הפעולות הבאות שקשורות לשיוך של נקודות קצה לחומת אש:
- יצירת שיוך של נקודת קצה של חומת אש בפרויקט
- שינוי או מחיקה של שיוך של נקודת קצה של חומת אש
- הצגת פרטים של שיוך נקודת קצה לחומת אש
- צפייה בכל השיוכים של נקודות קצה של חומת אש שהוגדרו בפרויקט
בטבלה הבאה מפורטים התפקידים שנדרשים בכל שלב.
| יכולת | תפקיד נדרש |
|---|---|
| יצירת שיוך של נקודת קצה לחומת אש | כל אחד מהתפקידים הבאים:
|
| שינוי שיוך של נקודת קצה בחומת אש | כל אחד מהתפקידים הבאים:
|
| מחיקת שיוך של נקודת קצה לחומת אש | כל אחד מהתפקידים הבאים:
|
| הצגת פרטים על שיוך נקודת קצה של חומת אש בפרויקט | כל אחד מהתפקידים הבאים:
|
| צפייה בכל השיוכים של נקודות קצה של חומת אש בפרויקט. | כל אחד מהתפקידים הבאים:
|
מכסות
כדי לראות את המכסות שמשויכות לנקודות קצה של חומת אש, אפשר לעיין במאמר מכסות ומגבלות.
המאמרים הבאים
- הגדרת שירות סינון כתובות URL
- הגדרת שירות גילוי ומניעת חדירות
- יצירה וניהול של נקודות קצה של חומת אש
- יצירה וניהול של שיוכים של נקודות קצה לחומת אש