יצירה של נקודות קצה לחומת האש ושיוך של נקודות קצה

נקודת קצה של חומת אש היא משאב אזורי שמספק בדיקה בשכבה 7 של התעבורה ברשת. יצירת נקודות קצה של חומת אש כדי לאכוף כללי מדיניות מתקדמים בנושא אבטחה, כמו זיהוי פריצות ומניעתן.

אחרי שיוצרים נקודת קצה של חומת אש, יוצרים שיוך של נקודת קצה של חומת אש כדי לשייך את נקודת הקצה לרשת VPC אחת או יותר באותו אזור. אם בדיקת Layer 7 מופעלת במדיניות חומת האש שמשויכת לרשת ה-VPC, תעבורת הנתונים שתואמת למדיניות הזו תיעצר באופן שקוף ותועבר לנקודת הקצה של חומת האש.

אפשר ליצור נקודת קצה של חומת אש עם תמיכה ב-jumbo frame או בלי תמיכה כזו. מידע על גדלי המנות שנתמכים בנקודות קצה של חומת אש זמין במאמר גודל מנות נתמך.

בדף הזה מוסבר איך ליצור נקודת קצה (endpoint) של חומת אש ולשייך אותה לרשת של ענן וירטואלי פרטי (VPC) באמצעות מסוף Google Cloud , Google Cloud CLI או Terraform.

לפני שמתחילים

לפני שמגדירים נקודות קצה של חומת אש ושיוכים, צריך לבצע את הפעולות הבאות:

  1. מוודאים שיש רשת VPC ורשת משנה.
  2. מפעילים את ממשקי ה-API הנדרשים:
  3. אם רוצים להריץ דוגמאות של שורת פקודה, צריך להתקין את ה-CLI של gcloud.gcloud

תפקידים והרשאות

כדי לקבל את ההרשאות שנדרשות ליצירת נקודות קצה של חומת אש, צריך לבקש מהאדמין להקצות לכם את תפקידי ניהול הזהויות והרשאות הגישה (IAM) הנדרשים בארגון או בפרויקט. מידע נוסף מופיע במאמר בנושא ניהול גישה.

כדי לבדוק את התקדמות הפעולות שמפורטות בדף הזה, צריך לוודא שלחשבון המשתמש שלכם יש את התפקיד Compute Network User ‏(roles/compute.networkUser), שכולל את ההרשאות הבאות:

  • networksecurity.operations.get
  • networksecurity.operations.list

מכסות

כדי לראות את המכסות של נקודות קצה של חומות אש ושיוכים, אפשר לעיין במאמר מכסות ומגבלות.

יצירת נקודת קצה של חומת אש

יוצרים נקודת קצה של חומת אש באזור ספציפי. כדי להבטיח בדיקה תקינה של התנועה ולמנוע כשלים בניתוב, צריך ליצור את נקודת הקצה של חומת האש באותו אזור שבו נמצאות עומסי העבודה שרוצים לבדוק.

אפשר ליצור נקודת קצה של חומת אש ברמת הארגון או ברמת הפרויקט. נקודות קצה ברמת הארגון תומכות רק בקבוצות של פרופילי אבטחה ברמת הארגון. נקודות קצה ברמת הפרויקט תומכות בקבוצות של פרופילי אבטחה ברמת הארגון וברמת הפרויקט.

המסוף

  1. נכנסים לדף Firewall endpoints במסוף Google Cloud .

    לדף Firewall endpoints

  2. בתפריט לבחירת פרויקטים, בוחרים את הארגון או את הפרויקט.

  3. אם בחרתם את הארגון, לוחצים על יצירת נקודת קצה ברמת הארגון.

    אם בחרתם פרויקט, בקטע Firewall endpoints located in this project (נקודות קצה של חומת אש שנמצאות בפרויקט הזה), לוחצים על Create project-level endpoint (יצירת נקודת קצה ברמת הפרויקט).

  4. ברשימה Region, בוחרים את האזור שבו רוצים ליצור את נקודת הקצה של חומת האש.

  5. ברשימה Zone, בוחרים את התחום שבו רוצים ליצור את נקודת הקצה של חומת האש.

  6. מזינים שם בשדה Name.

  7. אם יוצרים נקודת קצה ברמת הארגון, ברשימה Billing project בוחרים את הפרויקט שבו רוצים להשתמש לחיוב נקודת הקצה של חומת האש. Google Cloud

  8. לוחצים על Continue.

  9. אם רוצים שנקודת הקצה תתמוך ב-jumbo frames, מסמנים את התיבה Enable jumbo frames support. אחרת, מבטלים את הסימון של התיבה הזו.

  10. לוחצים על Continue.

  11. אם רוצים להוסיף שיוך של נקודת קצה לחומת אש, לוחצים על הוספת שיוך של נקודת קצה. אחרת, מדלגים על השלב הזה.

    1. ברשימה Project, בוחרים את הפרויקט שבו רוצים ליצור את השיוך של נקודת הקצה של חומת האש. Google Cloud
    2. אם Compute Engine API או Network Security API לא מופעלים בפרויקט Google Cloud , לוחצים על Enable.
    3. ברשימה Network, בוחרים את הרשת שרוצים לשייך לנקודת הקצה של חומת האש.
    4. ברשימה TLS inspection policy, בוחרים את מדיניות הבדיקה של TLS שרוצים להוסיף לאסוציאציה הזו.
    5. כדי להוסיף עוד שיוך, לוחצים על הוספת שיוך של נקודת קצה.
  12. לוחצים על יצירה.

gcloud

כדי ליצור נקודת קצה של חומת אש, משתמשים בפקודה gcloud network-security firewall-endpoints create:

gcloud network-security firewall-endpoints create NAME \
    --organization ORGANIZATION_ID | --project PROJECT_ID \
    --location LOCATION \
    [--billing-project QUOTA_PROJECT_ID] \
    [--enable-jumbo-frames]

מחליפים את מה שכתוב בשדות הבאים:

  • NAME: השם של נקודת הקצה של חומת האש.

  • ORGANIZATION_ID: מזהה הארגון. משתמשים בדגל הזה כדי ליצור נקודת קצה של חומת אש ברמת הארגון.

  • PROJECT_ID: מזהה הפרויקט. משתמשים בדגל הזה כדי ליצור נקודת קצה של חומת אש ברמת הפרויקט.

  • LOCATION: האזור שבו רוצים ליצור את נקודת הקצה.

  • QUOTA_PROJECT_ID: מזהה הפרויקט של המכסה. אפשר להשתמש בדגל הזה רק לנקודות קצה של חומת אש ברמת הארגון.

כדי ליצור נקודת קצה של חומת אש שתומכת ב-jumbo frames בגודל של עד 8,500 בייט, משתמשים בדגל האופציונלי --enable-jumbo-frames. מדלגים על הדגל הזה כדי ליצור נקודת קצה ללא תמיכה בפריים ג'מבו. מידע על גדלי המנות שנתמכים בנקודות קצה של חומת אש זמין במאמר גודל מנות נתמך.

כדי לשייך את נקודת הקצה של חומת האש לרשת VPC, ראו יצירת שיוכים של נקודות קצה של חומת אש.

Terraform

משתמשים במשאב Terraform‏ google_network_security_firewall_endpoint.

resource "google_network_security_firewall_endpoint" "default" {
  name               = "my-firewall-endpoint"
  parent             = "organizations/123456789"
  location           = "us-central1-a"
  billing_project_id = "my-project-name"
  enable_jumbo_frames = true
}

כדי ליצור נקודת קצה של חומת אש שתומכת בפריימים גדולים (jumbo frames) בגודל של עד 8,500 בייט, מגדירים את השדה enable_jumbo_frames לערך true. כדי ליצור נקודת קצה של חומת אש שלא תומכת ב-jumbo frames, צריך להגדיר את השדה הזה ל-false. מידע על גדלי המנות שנתמכים בנקודות קצה של חומת אש זמין במאמר גודל מנות נתמך.

כדי ללמוד איך להחיל הגדרות ב-Terraform או להסיר אותן, ראו פקודות בסיסיות ב-Terraform.

יצירת שיוך של נקודת קצה לחומת אש

שיוך של נקודת קצה של חומת אש מקשר נקודת קצה של חומת אש לרשת VPC באזור ספציפי. השיוך הזה מבטיח שנקודת הקצה של חומת האש תבדוק את התנועה שתואמת לכלל יירוט ברשת המשויכת באזור הזה.

לפני שיוצרים שיוך, צריך לוודא שיש נקודת קצה של חומת אש.

דרישות השיוך

כשמגדירים שיוכים של נקודות קצה, צריך לעמוד בדרישות הבאות:

  • הגבלות אזור: צריך ליצור את השיוך באותו אזור שבו נמצאת נקודת הקצה של חומת האש. כדי לבצע בדיקה יעילה של התנועה, צריך ליצור שיוכים באזורים שבהם פריסת מופעי המחשוב מתבצעת.
  • נקודת קצה אחת לכל אזור: באזור יחיד, אפשר לשייך רשת VPC רק לנקודת קצה אחת של חומת אש (ברמת הפרויקט או ברמת הארגון). עם זאת, אפשר לשייך רשת VPC אחת לנקודות קצה שונות של חומת אש בכמה אזורים שונים.
  • שיוכים בין פרויקטים: אפשר לשייך רשת VPC לנקודת קצה של חומת אש בפרויקט נפרד. אם משתמשים בנקודת קצה ברמת הפרויקט, הפרויקט של נקודת הקצה חייב להיות באותו ארגון כמו רשת ה-VPC.
  • מיפוי משאבים: שיוך הוא משאב ברמת הפרויקט. אתם יוצרים את השיוך בתוך הפרויקט הספציפי שבו פריסת מכונות ה-Compute, גם אם השיוך מצביע על נקודת קצה של חומת אש ברמת הארגון.

נקודת קצה של חומת אש עם תמיכה ב-jumbo frame יכולה לקבל חבילות של עד 8,500 בייט בלבד. לחלופין, נקודת קצה של חומת אש ללא תמיכה ב-jumbo frame יכולה לקבל מנות עד 1,460 בייט. אם אתם צריכים שירות סינון כתובות URL או שירות לזיהוי ולמניעה של פריצות, מומלץ להגדיר את רשתות ה-VPC המשויכות כך שישתמשו במגבלות יחידת השידור המקסימלית (MTU) של 8,500 בייט ו-1,460 בייט. מידע נוסף זמין במאמר בנושא גודל מנות נתונים נתמך.

המסוף

  1. נכנסים לדף Firewall endpoints במסוף Google Cloud .

    לדף Firewall endpoints

  2. בתפריט לבחירת פרויקטים, בוחרים את הפרויקט הרצוי. Google Cloud

  3. לוחצים על Create endpoint association.

  4. ברשימה אזור, בוחרים את האזור שבו רוצים ליצור את השיוך של נקודת הקצה של חומת האש.

  5. ברשימה Zone, בוחרים את האזור שבו רוצים ליצור את השיוך של נקודת הקצה של חומת האש.

  6. ברשימה Firewall endpoint, בוחרים את נקודת הקצה של חומת האש שרוצים להוסיף לשיוך.

  7. ברשימה רשת, בוחרים את הרשת שרוצים להוסיף לאסוציאציה.

  8. ברשימה TLS inspection policy, בוחרים את מדיניות בדיקת ה-TLS שרוצים להוסיף לאסוציאציה הזו.

  9. לוחצים על יצירה.

gcloud

כדי ליצור שיוך של נקודת קצה לחומת אש, משתמשים בפקודה gcloud network-security firewall-endpoint-associations create.

נקודת קצה של חומת אש ברמת הארגון

gcloud network-security firewall-endpoint-associations \
    create NAME \
    --endpoint organizations/ORGANIZATION_ID/locations/LOCATION/firewallEndpoints/FIREWALL_ENDPOINT_NAME \
    --network projects/PROJECT_NAME/global/networks/NETWORK_NAME \
    --location LOCATION \
    --project PROJECT_ID \
    [ --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME ]

נקודת קצה של חומת אש ברמת הפרויקט

gcloud network-security firewall-endpoint-associations \
    create NAME \
    --endpoint projects/ENDPOINT_PROJECT_ID/locations/LOCATION/firewallEndpoints/FIREWALL_ENDPOINT_NAME \
    --network projects/PROJECT_NAME/global/networks/NETWORK_NAME \
    --location LOCATION \
    --project PROJECT_ID \
    [ --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME ]

מחליפים את מה שכתוב בשדות הבאים:

  • NAME: השם של השיוך של נקודת הקצה של חומת האש.

  • ORGANIZATION_ID: מזהה הארגון שבו קיימת נקודת הקצה של חומת האש. משתמשים בדגל הזה רק לנקודת קצה של חומת אש ברמת הארגון.

  • ENDPOINT_PROJECT_ID: מזהה הפרויקט שבו קיימת נקודת הקצה של חומת האש. אפשר להשתמש בדגל הזה רק בנקודת קצה של חומת אש ברמת הפרויקט.

  • LOCATION: האזור שבו קיימת נקודת הקצה של חומת האש.

  • FIREWALL_ENDPOINT_NAME: השם של נקודת הקצה של חומת האש.

  • PROJECT_NAME: שם הפרויקט של הרשת. Google Cloud

  • NETWORK_NAME: שם הרשת.

  • PROJECT_ID: מזהה הפרויקט ב- Google Cloud שבו נוצר השיוך. זה צריך להיות הפרויקט שבו רוצים ליירט את התנועה.

  • TLS_PROJECT_NAME: שם הפרויקט של מדיניות בדיקת ה-TLS. Google Cloud

  • REGION_NAME: שם האזור של מדיניות הבדיקה של TLS.

  • TLS_POLICY_NAME: השם של מדיניות הבדיקה של TLS.

    המדיניות הזו משמשת לבדיקת TLS של התנועה המוצפנת ברשת שצוינה. זהו ארגומנט אופציונלי.

המאמרים הבאים