Un point de terminaison de pare-feu est une ressource zonale qui fournit une inspection de couche 7 pour le trafic réseau. Créez des points de terminaison de pare-feu pour appliquer des stratégies de sécurité avancées, telles que la détection et la prévention des intrusions.
Après avoir créé un point de terminaison de pare-feu, créez une association de points de terminaison de pare-feu pour associer le point de terminaison à un ou plusieurs réseaux VPC dans la même zone. Si l'inspection de couche 7 est activée dans la stratégie de pare-feu associée à votre réseau VPC, le trafic correspondant est intercepté et transféré de manière transparente vers le point de terminaison de pare-feu.
Vous pouvez créer un point de terminaison de pare-feu avec ou sans prise en charge des trames géantes. Pour en savoir plus sur les tailles de paquets acceptées par les points de terminaison de pare-feu, consultez la section Taille de paquet acceptée.
Cette page explique comment créer un point de terminaison de pare-feu et l'associer à un réseau cloud privé virtuel (VPC) à l'aide de la Google Cloud console, Google Cloud CLI ou de Terraform.
Avant de commencer
Avant de configurer des points de terminaison et des associations de pare-feu, procédez comme suit :
- Assurez-vous de disposer d'un réseau VPC et d'un sous-réseau.
- Activez les API requises :
- API Compute Engine (API Compute Engine) dans votre Google Cloud projet.
- API Network Security dans le Google Cloud projet que vous souhaitez utiliser pour la facturation.
- API Certificate Authority Service dans votre Google Cloud project.
- Installez gcloud CLI si vous souhaitez exécuter
gclouddes exemples de ligne de commande.
Rôles et autorisations
Pour obtenir les autorisations nécessaires pour créer des points de terminaison de pare-feu, demandez à votre administrateur de vous accorder les rôles IAM (Identity and Access Management) requis sur votre organisation ou votre projet. Pour en savoir plus, consultez Gérer l'accès.
Pour vérifier la progression des opérations répertoriées sur cette page, assurez-vous que
votre compte utilisateur dispose du
rôle Utilisateur de réseau Compute
(roles/compute.networkUser), qui inclut les autorisations suivantes :
networksecurity.operations.getnetworksecurity.operations.list
Quotas
Pour afficher les quotas des points de terminaison et des associations de pare-feu, consultez la page Quotas et limites.
Créer un point de terminaison de pare-feu
Vous créez un point de terminaison de pare-feu dans une zone spécifique. Pour garantir une inspection appropriée du trafic et éviter les échecs de routage, créez le point de terminaison de pare-feu dans la même zone que les charges de travail que vous souhaitez inspecter.
Vous pouvez créer un point de terminaison de pare-feu au niveau de l'organisation ou du projet. Les points de terminaison au niveau de l'organisation n'acceptent que les groupes de profils de sécurité au niveau de l'organisation. Les points de terminaison au niveau du projet acceptent les groupes de profils de sécurité au niveau de l'organisation et du projet.
Console
Dans la Google Cloud console, accédez à la page Points de terminaison de pare-feu.
Dans le menu de sélection du projet, sélectionnez votre organisation ou le projet.
Si vous avez sélectionné l'organisation, cliquez sur Créer un point de terminaison au niveau de l'organisation.
Si vous avez sélectionné un projet, dans la section Points de terminaison de pare-feu situés dans ce projet, cliquez sur Créer un point de terminaison au niveau du projet.
Dans la liste Région, sélectionnez la région dans laquelle vous souhaitez créer le point de terminaison de pare-feu.
Dans la liste Zone, sélectionnez la zone dans laquelle vous souhaitez créer le point de terminaison de pare-feu.
Saisissez un nom dans le champ Nom.
Si vous créez un point de terminaison au niveau de l'organisation, dans la liste Billing project, sélectionnez le Google Cloud projet que vous souhaitez utiliser pour facturer le point de terminaison de pare-feu.
Cliquez sur Continuer.
Si vous souhaitez que le point de terminaison prenne en charge les trames géantes, cochez la case Activer la prise en charge des trames géantes. Sinon, décochez-la.
Cliquez sur Continuer.
Si vous souhaitez ajouter une association de points de terminaison de pare-feu, cliquez sur Ajouter une association de points de terminaison. Sinon, ignorez cette étape.
- Dans la liste Projet, sélectionnez le Google Cloud projet dans lequel vous souhaitez créer l'association de points de terminaison de pare-feu.
- Si l'API Compute Engine ou l'API Network Security n'est pas activée pour le Google Cloud projet, cliquez sur Activer.
- Dans la liste Réseau, sélectionnez le réseau que vous souhaitez associer au point de terminaison de pare-feu.
- Dans la liste Règle d'inspection TLS, sélectionnez la règle d'inspection TLS que vous souhaitez ajouter à cette association.
- Pour ajouter une autre association, cliquez sur Ajouter une association de points de terminaison.
Cliquez sur Créer.
gcloud
Pour créer un point de terminaison de pare-feu, exécutez la gcloud network-security
firewall-endpoints create
commande :
gcloud network-security firewall-endpoints create NAME \
--organization ORGANIZATION_ID | --project PROJECT_ID \
--location LOCATION \
[--billing-project QUOTA_PROJECT_ID] \
[--enable-jumbo-frames]
Remplacez les éléments suivants :
NAME: nom du point de terminaison de pare-feu.ORGANIZATION_ID: ID de l'organisation. Utilisez cet indicateur pour créer un point de terminaison de pare-feu au niveau de l'organisation.PROJECT_ID: ID du projet. Utilisez cet indicateur pour créer un point de terminaison de pare-feu au niveau du projet.LOCATION: zone dans laquelle créer le point de terminaison.QUOTA_PROJECT_ID: ID du projet de quota. N'utilisez cet indicateur que pour les points de terminaison de pare-feu au niveau de l'organisation.
Pour créer un point de terminaison de pare-feu qui accepte les trames géantes jusqu'à 8 500 octets, utilisez l'indicateur facultatif --enable-jumbo-frames. Ignorez cet indicateur pour créer un point de terminaison sans prise en charge des trames géantes. Pour
en savoir plus sur les tailles de paquets acceptées par les points de terminaison de pare-feu, consultez la section
Taille de paquet acceptée.
Pour associer le point de terminaison de pare-feu à un réseau VPC, consultez Créer des associations de points de terminaison de pare-feu.
Terraform
Utilisez la ressource Terraform google_network_security_firewall_endpoint.
resource "google_network_security_firewall_endpoint" "default" {
name = "my-firewall-endpoint"
parent = "organizations/123456789"
location = "us-central1-a"
billing_project_id = "my-project-name"
enable_jumbo_frames = true
}
Pour créer un point de terminaison de pare-feu qui accepte les trames géantes jusqu'à 8 500 octets, définissez le champ enable_jumbo_frames sur true. Pour créer un point de terminaison de pare-feu qui n'accepte pas les trames géantes, définissez ce champ sur false. Pour
en savoir plus sur les tailles de paquets acceptées par les points de terminaison de pare-feu, consultez la section
Taille de paquet acceptée.
Pour savoir comment appliquer ou supprimer une configuration Terraform, consultez la page Commandes Terraform de base.
Créer une association de point de terminaison de pare-feu
Une association de point de terminaison de pare-feu connecte un point de terminaison de pare-feu à un réseau VPC dans une zone spécifique. Cette association garantit que le trafic correspondant à une règle d'interception pour le réseau associé dans cette zone est inspecté par le point de terminaison de pare-feu.
Assurez-vous de disposer d'un point de terminaison de pare-feu avant de créer une association.
Exigences concernant les associations
Lorsque vous configurez des associations de points de terminaison, respectez les exigences suivantes :
- Contraintes de zone : vous devez créer l'association dans la même zone que le point de terminaison de pare-feu. Pour une inspection efficace du trafic, créez des associations dans les zones où vos instances de calcul sont déployées.
- Un point de terminaison par zone : dans une seule zone, vous ne pouvez associer un réseau VPC qu'à un seul point de terminaison de pare-feu (au niveau du projet ou de l'organisation). Toutefois, vous pouvez associer un seul réseau VPC à différents points de terminaison de pare-feu dans plusieurs zones différentes.
- Associations entre projets : vous pouvez associer un réseau VPC à un point de terminaison de pare-feu dans un projet distinct. Si vous utilisez un point de terminaison au niveau du projet, le projet du point de terminaison doit résider dans la même organisation que le réseau VPC.
- Mappage des ressources : une association est une ressource au niveau du projet. Vous créez l'association dans le projet spécifique où vos instances de calcul sont déployées, même si l'association pointe vers un point de terminaison de pare-feu au niveau de l'organisation.
Un point de terminaison de pare-feu avec prise en charge des trames géantes ne peut accepter que des paquets de 8 500 octets maximum. Un point de terminaison de pare-feu sans prise en charge des trames géantes ne peut accepter que des paquets de 1 460 octets maximum. Si vous avez besoin d'un service de filtrage d'URL ou d'un service de détection et de prévention des intrusions, nous vous recommandons de configurer les réseaux VPC associés pour qu'ils utilisent les limites d'unité de transmission maximale (MTU) de 8 500 octets et de 1 460 octets. Pour en savoir plus, consultez la section Taille de paquet acceptée.
Console
Dans la Google Cloud console, accédez à la page Points de terminaison de pare-feu.
Dans le menu de sélection du projet, sélectionnez votre Google Cloud projet.
Cliquez sur Créer une association de point de terminaison.
Dans la liste Région, sélectionnez la région dans laquelle vous souhaitez créer l'association de point de terminaison de pare-feu.
Dans la liste Zone, sélectionnez la zone dans laquelle vous souhaitez créer l'association de points de terminaison de pare-feu.
Dans la liste Point de terminaison de pare-feu, sélectionnez le point de terminaison de pare-feu que vous souhaitez ajouter à l'association.
Dans la liste Réseau, sélectionnez le réseau que vous souhaitez ajouter à l'association.
Dans la liste Règle d'inspection TLS, sélectionnez la règle d'inspection TLS que vous souhaitez ajouter à cette association.
Cliquez sur Créer.
gcloud
Pour créer une association de points de terminaison de pare-feu, exécutez la
gcloud network-security firewall-endpoint-associations create commande.
Point de terminaison de pare-feu au niveau de l'organisation
gcloud network-security firewall-endpoint-associations \
create NAME \
--endpoint organizations/ORGANIZATION_ID/locations/LOCATION/firewallEndpoints/FIREWALL_ENDPOINT_NAME \
--network projects/PROJECT_NAME/global/networks/NETWORK_NAME \
--location LOCATION \
--project PROJECT_ID \
[ --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME ]
Point de terminaison de pare-feu au niveau du projet
gcloud network-security firewall-endpoint-associations \
create NAME \
--endpoint projects/ENDPOINT_PROJECT_ID/locations/LOCATION/firewallEndpoints/FIREWALL_ENDPOINT_NAME \
--network projects/PROJECT_NAME/global/networks/NETWORK_NAME \
--location LOCATION \
--project PROJECT_ID \
[ --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME ]
Remplacez les éléments suivants :
NAME: nom de l'association de point de terminaison de pare-feu.ORGANIZATION_ID: ID de l'organisation dans laquelle le point de terminaison de pare-feu existe. N'utilisez cet indicateur que pour un point de terminaison de pare-feu au niveau de l'organisation.ENDPOINT_PROJECT_ID: ID du projet dans lequel le point de terminaison de pare-feu existe. N'utilisez cet indicateur que pour un point de terminaison de pare-feu au niveau du projet.LOCATION: zone dans laquelle le point de terminaison de pare-feu existe.FIREWALL_ENDPOINT_NAME: nom du point de terminaison de pare-feu.PROJECT_NAME:nom du Google Cloud projet du réseau.NETWORK_NAME: nom du réseau.PROJECT_ID:ID du Google Cloud projet dans lequel l' association est créée. Il doit s'agir du projet dans lequel vous souhaitez intercepter le trafic.TLS_PROJECT_NAME:nom du Google Cloud projet de la règle d'inspection TLS.REGION_NAME: nom de la région de la règle d'inspection TLS.TLS_POLICY_NAME: nom de la règle d'inspection TLS.Cette règle est utilisée pour l'inspection TLS du trafic chiffré sur le réseau spécifié. Cet argument est facultatif.
Étape suivante
- Utiliser des stratégies et des règles de pare-feu hiérarchiques
- Utiliser des stratégies et des règles de pare-feu de réseau globales