Endpoint firewall adalah resource Cloud Next Generation Firewall yang memungkinkan kemampuan perlindungan tingkat lanjut Layer 7, seperti layanan pemfilteran URL dan layanan deteksi dan pencegahan penyusupan, di jaringan Anda.
Halaman ini memberikan ringkasan mendetail tentang endpoint firewall dan kemampuannya.
Spesifikasi
Endpoint firewall adalah resource organisasi yang dibuat di tingkat zona.
Endpoint firewall melakukan pemeriksaan firewall Layer 7 pada traffic yang dicegat.
Cloud Next Generation Firewall menggunakan teknologi pencegatan paket Google Clouduntuk mengalihkan traffic secara transparan dari workload Google Cloud di jaringan Virtual Private Cloud (VPC) ke endpoint firewall.
Penyadapan paket adalah kemampuan yang secara transparan menyisipkan peralatan jaringan di jalur traffic jaringan yang dipilih tanpa mengubah kebijakan pemilihan rute yang ada. Google Cloud
Cloud NGFW mengalihkan traffic beban kerja di jaringan VPC ke endpoint firewall hanya jika pemeriksaan Lapisan 7 dikonfigurasi untuk diterapkan ke alur ini.
Cloud NGFW menambahkan ID jaringan VPC ke setiap paket yang dialihkan ke endpoint firewall untuk inspeksi Lapisan 7. Jika Anda memiliki beberapa jaringan VPC dengan rentang alamat IP yang tumpang-tindih, ID jaringan ini membantu memastikan bahwa setiap paket yang dialihkan dikaitkan dengan benar dengan jaringan VPC-nya.
Anda dapat membuat endpoint firewall di zona dan melampirkannya ke satu atau beberapa jaringan VPC untuk memantau workload di zona yang sama. Jika jaringan VPC mencakup beberapa zona, Anda dapat melampirkan satu endpoint firewall di setiap zona. Jika Anda tidak melampirkan endpoint firewall ke jaringan VPC di zona tertentu, tidak ada pemeriksaan Layer 7 yang dilakukan pada traffic workload untuk zona tersebut.
Anda menggunakan asosiasi endpoint firewall untuk melampirkan endpoint firewall ke jaringan VPC.
Endpoint dan workload yang ingin Anda aktifkan pemeriksaan Lapisan 7-nya harus berada di zona yang sama. Membuat endpoint firewall di zona yang sama dengan workload memiliki manfaat berikut:
Latensi yang lebih rendah. Karena endpoint firewall dapat mencegat, memeriksa, dan menyuntikkan kembali traffic ke dalam jaringan, latensi lebih rendah daripada endpoint firewall di zona yang berbeda.
Tidak ada traffic lintas zona. Menjaga traffic dalam zona yang sama memastikan biaya yang lebih rendah.
Traffic yang lebih andal. Mempertahankan traffic dalam zona yang sama akan menghilangkan risiko pemadaman lintas zona.
Endpoint firewall dapat memproses traffic hingga 2 Gbps dengan pemeriksaan Transport Layer Security (TLS), dan traffic 10 Gbps tanpa pemeriksaan TLS. Mengirim lebih banyak traffic dapat menyebabkan kehilangan paket. Untuk memantau pemanfaatan kapasitas endpoint firewall, lihat Metrik keamanan jaringan
firewall_endpoint.Endpoint firewall dapat memiliki throughput maksimum per koneksi sebesar 250 Mbps untuk traffic dengan pemeriksaan TLS dan 1,25 Gbps untuk traffic tanpa pemeriksaan TLS.
Anda dapat membuat endpoint firewall yang memproses frame jumbo hingga berukuran 8.500 byte. Atau, Anda dapat membuat endpoint tanpa dukungan frame jumbo. Untuk mengetahui informasi selengkapnya, lihat Ukuran paket yang didukung.
Anda dapat menghapus endpoint firewall hanya jika tidak ada jaringan VPC yang terkait dengannya.
Google mengelola infrastruktur, load balancing, penskalaan otomatis, dan siklus proses endpoint firewall. Saat Anda membuat endpoint firewall, Google menyediakan serangkaian instance virtual machine (VM) khusus, yang memastikan keandalan, performa, dan isolasi keamanan untuk traffic Anda, beserta pengelolaan sertifikat.
Google menyediakan ketersediaan tinggi dengan menggunakan mekanisme failover yang tepat untuk endpoint firewall, yang memastikan perlindungan firewall yang andal untuk semua instance VM yang tercakup dalam jaringan VPC terlampir.
Asosiasi endpoint firewall
Asosiasi endpoint firewall menautkan endpoint firewall ke jaringan VPC di zona yang sama. Setelah Anda menentukan asosiasi ini, Cloud NGFW akan meneruskan traffic workload zonal di jaringan VPC Anda yang memerlukan pemeriksaan Lapisan 7 ke endpoint firewall yang terpasang.
Ukuran paket yang didukung
Endpoint firewall mendukung atau tidak mendukung frame jumbo.
Endpoint firewall dengan dukungan frame jumbo dapat menerima paket hingga 8.500 byte.
Cloud NGFW mencadangkan 396 byte tambahan untuk enkapsulasi GENEVE (diperlukan untuk inspeksi data) dan untuk ekstensi lainnya. Oleh karena itu, total ukuran paket 8.896 byte cocok dengan unit transmisi maksimum (MTU) tertinggi yang didukung oleh Google Cloud .
Endpoint firewall tanpa dukungan frame jumbo dapat menerima paket hingga 1.460 byte.
Saat endpoint menerima paket yang lebih besar, Cloud NGFW tidak melakukan layanan deteksi dan pencegahan penyusupan. Oleh karena itu, agar berhasil menjalankan layanan deteksi dan pencegahan intrusi serta melakukan inspeksi Layer 7, konfigurasi jaringan VPC yang terkait dengan endpoint agar mengikuti batas MTU berikut:
Untuk endpoint dengan dukungan frame jumbo, pastikan jaringan VPC menggunakan MTU 8.500 byte atau kurang.
Untuk endpoint tanpa dukungan frame jumbo, pastikan jaringan VPC menggunakan MTU 1.460 byte atau kurang.
Anda dapat membuat endpoint firewall dengan atau tanpa dukungan frame jumbo. Namun, Anda tidak dapat mengonfigurasi ulang endpoint yang ada untuk menambahkan atau menghapus dukungan frame jumbo. Untuk menambahkan atau menghapus dukungan frame jumbo, hapus endpoint dan buat ulang. Untuk mengetahui informasi selengkapnya, lihat Membuat endpoint firewall.
Peran Identity and Access Management
Peran Pengelolaan Akses dan Identitas (IAM) mengatur tindakan berikut untuk mengelola endpoint firewall:
- Membuat endpoint firewall dalam organisasi
- Mengubah atau menghapus endpoint firewall
- Melihat detail endpoint firewall
- Melihat semua endpoint firewall yang dikonfigurasi dalam organisasi
Tabel berikut menjelaskan peran yang diperlukan untuk setiap langkah.
| Kemampuan | Peran yang diperlukan |
|---|---|
| Membuat endpoint firewall baru | Salah satu peran berikut di organisasi tempat endpoint firewall dibuat:
Compute Network Admin ( |
| Mengubah endpoint firewall yang ada | Salah satu peran berikut di organisasi:
Compute Network Admin ( |
| Melihat detail tentang endpoint firewall dalam organisasi | Salah satu peran berikut di organisasi:
Compute Network Admin ( |
| Melihat semua endpoint firewall dalam organisasi | Salah satu peran berikut di organisasi:
Compute Network Admin ( |
Peran IAM mengatur tindakan berikut untuk asosiasi endpoint firewall:
- Membuat pengaitan endpoint firewall dalam project
- Mengubah atau menghapus pengaitan endpoint firewall
- Melihat detail asosiasi endpoint firewall
- Melihat semua pengaitan endpoint firewall yang dikonfigurasi dalam project
Tabel berikut menjelaskan peran yang diperlukan untuk setiap langkah.
| Kemampuan | Peran yang diperlukan |
|---|---|
| Membuat pengaitan endpoint firewall | Salah satu peran berikut di project tempat pengaitan endpoint firewall dibuat:
Compute Network Admin
( |
| Ubah (perbarui atau hapus) pengaitan endpoint firewall | Salah satu peran berikut di project tempat jaringan VPC berada:
Compute Network Admin ( |
| Melihat detail tentang asosiasi endpoint firewall dalam project | Salah satu peran berikut di organisasi:
Compute Network Admin ( |
| Melihat semua pengaitan endpoint firewall dalam project. | Salah satu peran berikut di organisasi:
Compute Network Admin ( |
Kuota
Untuk melihat kuota yang terkait dengan endpoint firewall, lihat Kuota dan batas.
Harga
Harga untuk endpoint firewall dijelaskan dalam harga Cloud NGFW.
Langkah berikutnya
- Mengonfigurasi layanan pemfilteran URL
- Mengonfigurasi layanan deteksi dan pencegahan penyusupan
- Membuat dan mengelola endpoint firewall
- Membuat dan mengelola pengaitan endpoint firewall