ファイアウォール エンドポイントの概要

ファイアウォール エンドポイントは、ネットワークで URL フィルタリング サービスや侵入検知 / 防止サービスなどのレイヤ 7 の高度な保護機能を有効にする Cloud Next Generation Firewall リソースです。

このページでは、ファイアウォール エンドポイントとその機能について詳しく説明します。

仕様

• ファイアウォール エンドポイントは、ゾーンレベルで作成される組織リソースです。

• ファイアウォール エンドポイントは、インターセプトされたトラフィックに対してレイヤ 7 ファイアウォール検査を実行します。

• Cloud Next Generation Firewall は、 Google Cloudのパケット インターセプト テクノロジーを使用して、Virtual Private Cloud（VPC）ネットワーク内の Google Cloud ワークロードからファイアウォール エンドポイントにトラフィックを透過的にリダイレクトします。

  パケット インターセプトは、既存のルーティング ポリシーを変更することなく、選択したネットワーク トラフィックのパスにネットワーク アプライアンスを透過的に挿入する機能です。 Google Cloud

• Cloud NGFW は、レイヤ 7 検査がこのフローに適用されるように構成されている場合にのみ、VPC ネットワーク内のワークロード トラフィックをファイアウォール エンドポイントにリダイレクトします。

• Cloud NGFW は、レイヤ 7 検査のためにファイアウォール エンドポイントにリダイレクトされる各パケットに VPC ネットワーク識別子を追加します。IP アドレス範囲が重複する複数の VPC ネットワークがある場合、このネットワーク識別子により、リダイレクトされる各パケットが VPC ネットワークに正しく関連付けられます。

• ゾーンにファイアウォール エンドポイントを作成して 1 つ以上の VPC ネットワークに接続すると、同じゾーン内のワークロードをモニタリングできます。VPC ネットワークが複数のゾーンにまたがっている場合は、各ゾーンに 1 つのファイアウォール エンドポイントを接続できます。特定のゾーンの VPC ネットワークにファイアウォール エンドポイントを接続しないと、そのゾーンのワークロード トラフィックにレイヤ 7 検査は実行されません。

  ファイアウォール エンドポイントの関連付けを使用して、ファイアウォール エンドポイントを VPC ネットワークに接続します。

• レイヤ 7 検査を有効にするエンドポイントとワークロードは、同じゾーンに存在する必要があります。ワークロードと同じゾーンにファイアウォール エンドポイントを作成すると、次の利点があります。

  • レイテンシの短縮。ファイアウォール エンドポイントは、トラフィックをインターセプト、検査、再挿入できるため、異なるゾーンにあるファイアウォール エンドポイントよりもレイテンシが低くなります。

  • ゾーン間トラフィックがない。トラフィックを同じゾーン内に維持することで、コストが削減されます。

  • トラフィックの信頼性が向上。トラフィックを同じゾーン内に維持することで、ゾーンをまたいだサービスの停止のリスクを回避できます。

• ファイアウォール エンドポイントは、Transport Layer Security（TLS）インスペクションで最大 2 Gbps のトラフィック、TLS インスペクションなしで 10 Gbps のトラフィックを処理できます。トラフィックを多く送信すると、パケットロスが発生する可能性があります。ファイアウォール エンドポイントの容量使用率をモニタリングするには、firewall_endpoint ネットワーク セキュリティ指標をご覧ください。

• ファイアウォール エンドポイントでは、TLS インスペクションありのトラフィックで接続あたり最大 250 Mbps、TLS インスペクションなしのトラフィックで接続あたり最大 1.25 Gbps のスループットを設定できます。

• サイズが最大 8,500 バイトのジャンボ フレームを処理するファイアウォール エンドポイントを作成できます。ジャンボ フレームをサポートしないエンドポイントを作成することもできます。詳細については、サポートされているパケットサイズをご覧ください。

• ファイアウォール エンドポイントを削除できるのは、関連付けられている VPC ネットワークがない場合のみです。

• Google は、ファイアウォール エンドポイントのインフラストラクチャ、ロード バランシング、自動スケーリング、ライフサイクルを管理します。ファイアウォール エンドポイントを作成すると、Google は一連の専用仮想マシン（VM）インスタンスを提供します。これにより、トラフィックの信頼性、パフォーマンス、セキュリティの分離を確保し、証明書を管理できます。

• Google では、ファイアウォール エンドポイントに適切なフェイルオーバー メカニズムを使用して高可用性を実現しています。これにより、接続された VPC ネットワーク内のすべての VM インスタンスに対して信頼性の高いファイアウォール保護が保証されます。

ファイアウォール エンドポイントの関連付け

ファイアウォール エンドポイントの関連付けは、ファイアウォール エンドポイントを同じゾーン内の VPC ネットワークにリンクします。この関連付けを定義すると、Cloud NGFW は、レイヤ 7 検査を必要とする VPC ネットワーク内のゾーン ワークロード トラフィックを、接続されたファイアウォール エンドポイントに転送します。

サポートされているパケットサイズ

ファイアウォール エンドポイントは、ジャンボ フレームをサポートするか、サポートしないかのいずれかです。

• ジャンボ フレームをサポートするファイアウォール エンドポイントは、最大 8,500 バイトのパケットを受け入れることができます。

  Cloud NGFW は、GENEVE カプセル化（データ検査に必要）とその他の拡張機能用に 396 バイトを追加で予約します。したがって、8,896 バイトの合計パケットサイズは、 Google Cloud がサポートする可能な最大伝送単位（MTU）と一致します。

• ジャンボ フレームをサポートしていないファイアウォール エンドポイントは、最大 1,460 バイトのパケットを受け入れることができます。

エンドポイントが大きなパケットを受信すると、Cloud NGFW は侵入検知および防止サービスを実行しません。したがって、侵入検知と防止サービスを正常に実行し、レイヤ 7 インスペクションを実行するには、エンドポイントに関連付けられた VPC ネットワークを構成して、次の MTU 上限に従うようにします。

• ジャンボ フレームをサポートするエンドポイントの場合は、VPC ネットワークで 8,500 バイト以下の MTU が使用されていることを確認してください。

• ジャンボ フレームをサポートしていないエンドポイントの場合は、VPC ネットワークで 1,460 バイト以下の MTU が使用されていることを確認してください。

ジャンボ フレームのサポートの有無にかかわらず、ファイアウォール エンドポイントを作成できます。ただし、既存のエンドポイントを再構成して、ジャンボ フレームのサポートを追加または削除することはできません。ジャンボ フレームのサポートを追加または削除するには、エンドポイントを削除して再作成します。詳細については、ファイアウォール エンドポイントを作成するをご覧ください。

Identity and Access Management ロール

Identity and Access Management（IAM）ロールは、ファイアウォール エンドポイントを管理するための次の操作を管理します。

• 組織でのファイアウォール エンドポイントの作成
• ファイアウォール エンドポイントの変更または削除
• ファイアウォール エンドポイントの詳細の表示
• 組織で構成されているすべてのファイアウォール エンドポイントの表示

次の表に、各ステップに必要なロールを示します。

機能	必要なロール
新しいファイアウォール エンドポイントを作成する	ファイアウォール エンドポイントが作成された組織に対する次のいずれかのロール。 Compute ネットワーク管理者（roles/compute.networkAdmin） ファイアウォール エンドポイント管理者（roles/networksecurity.firewallEndpointAdmin）
既存のファイアウォール エンドポイントを変更する	組織に対する次のいずれかのロール: Compute ネットワーク管理者（roles/compute.networkAdmin） ファイアウォール エンドポイント管理者（roles/networksecurity.firewallEndpointAdmin）
組織内のファイアウォール エンドポイントの詳細を表示する	組織に対する次のいずれかのロール: Compute ネットワーク管理者（roles/compute.networkAdmin） Compute ネットワーク ユーザー（roles/compute.networkUser） Compute ネットワーク閲覧者（roles/compute.networkViewer） ファイアウォール エンドポイント管理者（roles/networksecurity.firewallEndpointAdmin）
組織内のすべてのファイアウォール エンドポイントを表示する	組織に対する次のいずれかのロール: Compute ネットワーク管理者（roles/compute.networkAdmin） Compute ネットワーク ユーザー（roles/compute.networkUser） Compute ネットワーク閲覧者（roles/compute.networkViewer） ファイアウォール エンドポイント管理者（roles/networksecurity.firewallEndpointAdmin）

IAM ロールは、ファイアウォール エンドポイントの関連付けに関して次のアクションを管理します。

• プロジェクトでのファイアウォール エンドポイントの関連付けの作成
• ファイアウォール エンドポイントの関連付けの変更または削除
• ファイアウォール エンドポイントの関連付けの詳細の表示
• プロジェクトで構成されたすべてのファイアウォール エンドポイントの関連付けの表示

次の表に、各ステップに必要なロールを示します。

機能	必要なロール
ファイアウォール エンドポイントの関連付けを作成する	ファイアウォール エンドポイントの関連付けが作成されるプロジェクトに対する次のいずれかのロール。 組織に対する Compute ネットワーク管理者（roles/compute.networkAdmin） Compute ネットワーク ユーザー（roles/compute.networkUser）ロール。これは、ユーザーが管理者である VPC をエンドポイントに関連付ける権限を表します。エンドポイントは組織固有のリソースですが、VPC オーナーによって所有されているとは限りません。 ファイアウォール エンドポイント管理者（roles/networksecurity.firewallEndpointAdmin）
ファイアウォール エンドポイントの関連付けを変更する（更新または削除）	VPC ネットワークが存在するプロジェクトに対する次のいずれかのロール。 Compute ネットワーク管理者（roles/compute.networkAdmin） ファイアウォール エンドポイント管理者（roles/networksecurity.firewallEndpointAdmin）
プロジェクト内のファイアウォール エンドポイントの関連付けの詳細を表示する	組織に対する次のいずれかのロール: Compute ネットワーク管理者（roles/compute.networkAdmin） Compute ネットワーク ユーザー（roles/compute.networkUser） Compute ネットワーク閲覧者（roles/compute.networkViewer） ファイアウォール エンドポイント管理者（roles/networksecurity.firewallEndpointAdmin）
プロジェクト内のすべてのファイアウォール エンドポイントの関連付けを表示します。	組織に対する次のいずれかのロール: Compute ネットワーク管理者（roles/compute.networkAdmin） Compute ネットワーク ユーザー（roles/compute.networkUser） Compute ネットワーク閲覧者（roles/compute.networkViewer） ファイアウォール エンドポイント管理者（roles/networksecurity.firewallEndpointAdmin）

割り当て

ファイアウォール エンドポイントに関連付けられた割り当てを表示するには、割り当てと上限をご覧ください。

料金

ファイアウォール エンドポイントの料金については、Cloud NGFW の料金をご覧ください。

次のステップ

• URL フィルタリング サービスを構成する
• 侵入検知および防止サービスを構成する
• ファイアウォール エンドポイントの作成と管理
• ファイアウォール エンドポイントの関連付けの作成と管理