Vista geral do ponto final da firewall (original) (raw)
O ponto final da firewall é um recurso da firewall de nova geração da nuvem que permite capacidades de proteção avançadas da camada 7, como o serviço de filtragem de URLs e o serviço de deteção e prevenção de intrusões na sua rede.
Esta página oferece uma vista geral detalhada dos pontos finais da firewall e das respetivas capacidades.
Especificações
- Um ponto final de firewall é um recurso organizacional criado ao nível da zona.
- Os pontos finais da firewall executam a inspeção da firewall da camada 7 no tráfego intercetado.
- A firewall de nova geração da nuvem usa a tecnologia de interceção de pacotes para redirecionar de forma transparente o tráfego dos workloads numa rede de nuvem virtual privada (VPC) para os pontos finais da firewall. Google CloudGoogle Cloud
A interceção de pacotes é uma Google Cloud capacidade que insere de forma transparente dispositivos de rede no caminho do tráfego de rede selecionado sem modificar as respetivas políticas de encaminhamento existentes. - O NGFW na nuvem redireciona o tráfego de carga de trabalho numa rede VPC para o ponto final da firewall apenas se a inspeção da camada 7 estiver configurada para ser aplicada a este fluxo.
- O NGFW da nuvem adiciona um identificador de rede VPC a cada pacote redirecionado para o ponto final da firewall para inspeção da camada 7. Se tiver várias redes VPC com intervalos de endereços IP sobrepostos, este identificador de rede ajuda a garantir que cada pacote redirecionado está corretamente associado à respetiva rede VPC.
- Pode criar um ponto final de firewall numa zona e anexá-lo a uma ou mais redes VPC para monitorizar cargas de trabalho na mesma zona. Se a sua rede VPC abranger várias zonas, pode anexar um ponto final de firewall em cada zona. Se não anexar um ponto final de firewall a uma rede VPC numa zona específica, não é realizada nenhuma inspeção da camada 7 no tráfego da carga de trabalho para essa zona.
Use a associação de pontos finais de firewallpara anexar um ponto final de firewall a uma rede VPC. - O ponto final e as cargas de trabalho para os quais quer ativar a inspeção da camada 7 têm de estar na mesma zona. A criação do ponto final da firewall na mesma zona que as cargas de trabalho tem as seguintes vantagens:
- Latência mais baixa. Uma vez que os pontos finais da firewall podem intercetar, inspecionar e reinjetar o tráfego na rede, a latência é inferior à dos pontos finais da firewall em zonas diferentes.
- Sem tráfego entre zonas. Manter o tráfego na mesma zona garante custos mais baixos.
- Tráfego mais fiável. Manter o tráfego na mesma zona remove o risco de interrupções entre zonas.
- Os pontos finais da firewall podem processar até 2 Gbps de tráfego com inspeção de Transport Layer Security (TLS) e 10 Gbps de tráfego sem inspeção de TLS. O envio de mais tráfego pode resultar na perda de pacotes. Para monitorizar a utilização da capacidade do ponto final da firewall, consulte as firewall_endpointmétricas de segurança de rede.
- Os pontos finais da firewall podem ter um débito máximo por ligação de 250 Mbps de tráfego com inspeção TLS e 1,25 Gbps de tráfego sem inspeção TLS.
- Pode criar um ponto final de firewall que processa frames jumbo com um tamanho máximo de 8500 bytes. Em alternativa, pode criar um ponto final sem suporte de jumbo frame. Para mais informações, consulte o artigoTamanho do pacote suportado.
- Só pode eliminar um ponto final da firewall quando não existirem redes de VPC associadas.
- A Google gere a infraestrutura, o equilíbrio de carga, o dimensionamento automático e o ciclo de vida dos pontos finais da firewall. Quando cria um ponto final de firewall, a Google fornece um conjunto de instâncias de máquinas virtuais (VMs) dedicadas, o que garante fiabilidade, desempenho e isolamento de segurança para o seu tráfego, juntamente com a gestão de certificados.
- A Google oferece elevada disponibilidade através da utilização de mecanismos de comutação por falha adequados para os pontos finais da firewall, o que garante uma proteção de firewall fiável para todas as instâncias de VM abrangidas na rede VPC anexada.
Associações de pontos finais de firewall
A associação de um ponto final de firewall associa um ponto final de firewall a uma rede VPC na mesma zona. Depois de definir esta associação, o Cloud NGFW encaminha o tráfego de carga de trabalho zonal na sua rede VPC que requer inspeção da camada 7 para o ponto final da firewall anexado.
Tamanho de pacote suportado
Um ponto final de firewall suporta ou não suporta frames jumbo.
- Um ponto final de firewall com suporte para frames jumbo pode aceitar pacotes até 8500 bytes.
O NGFW da nuvem reserva 396 bytes adicionais para aencapsulamento GENEVE(necessário para a inspeção de dados) e para outras extensões. Por conseguinte, o tamanho total do pacote de 8896 bytes corresponde à unidade de transmissão máxima (MTU) mais elevada possível que o Google Cloud suporta. - Um ponto final de firewall sem suporte de frames jumbo pode aceitar pacotes até 1460 bytes.
Para realizar a inspeção da camada 7 com êxito,configure as redes VPCassociadas ao ponto final para seguir estes limites de MTU:
- Para um ponto final com suporte de frames jumbo, certifique-se de que as redes VPC usam um MTU de 8500 bytes ou menos.
- Para um ponto final sem suporte de frames jumbo, certifique-se de que as redes VPC usam uma MTU de 1460 bytes ou menos.
Pode criar um ponto final de firewall com ou sem suporte de jumbo frames. No entanto, não pode reconfigurar um ponto final existente para adicionar ou remover o suporte de frames jumbo. Para adicionar ou remover o suporte de frames jumbo, elimine o ponto final e volte a criá-lo. Para mais informações, consulte o artigoCrie um ponto final da firewall.
Funções de gestão de identidade e de acesso
As funções de gestão de identidade e de acesso (IAM) regem as seguintes ações para gerir os pontos finais da firewall:
- Criar um ponto final de firewall numa organização
- Modificar ou eliminar um ponto final da firewall
- Ver detalhes de um ponto final de firewall
- Visualizar todos os pontos finais da firewall configurados numa organização
A tabela seguinte descreve as funções necessárias para cada passo.
| Capacidade | Função necessária |
|---|---|
| Crie um novo ponto final de firewall | Qualquer uma das seguintes funções na organização onde o ponto final da firewall é criado:Administrador de rede de computação (roles/compute.networkAdmin) Administrador de pontos finais de firewall (roles/networksecurity.firewallEndpointAdmin) |
| Modifique um ponto final da firewall existente | Qualquer uma das seguintes funções na organização:Administrador de rede de computação (roles/compute.networkAdmin) Administrador de pontos finais de firewall (roles/networksecurity.firewallEndpointAdmin) |
| Veja detalhes sobre o ponto final da firewall numa organização | Qualquer uma das seguintes funções na organização:Administrador da rede de computação (roles/compute.networkAdmin) Utilizador da rede de computação (roles/compute.networkUser) Visualizador da rede de computação (roles/compute.networkViewer) Administrador do ponto final do firewall (roles/networksecurity.firewallEndpointAdmin) |
| Veja todos os pontos finais da firewall numa organização | Qualquer uma das seguintes funções na organização:Administrador da rede de computação (roles/compute.networkAdmin) Utilizador da rede de computação (roles/compute.networkUser) Visualizador da rede de computação (roles/compute.networkViewer) Administrador do ponto final do firewall (roles/networksecurity.firewallEndpointAdmin) |
As funções de IAM regem as seguintes ações para as associações de pontos finais da firewall:
- Criar uma associação de ponto final de firewall num projeto
- Modificar ou eliminar uma associação de ponto final de firewall
- Ver detalhes de uma associação de ponto final de firewall
- Ver todas as associações de pontos finais de firewall configuradas num projeto
A tabela seguinte descreve as funções necessárias para cada passo.
| Capacidade | Função necessária |
|---|---|
| Crie uma associação de ponto final de firewall | Qualquer uma das seguintes funções no projeto onde a associação do ponto final da firewall é criada:Administrador de rede do Compute (roles/compute.networkAdmin) Utilizador de rede do Compute (roles/compute.networkUser) na organização, que representa autorizações para associar a VPC (da qual o utilizador é administrador) ao ponto final (que é um recurso pertencente à organização, não necessariamente pertencente ao proprietário da VPC). Firewall Administrador de pontos finais (roles/networksecurity.firewallEndpointAdmin) |
| Modifique (atualize ou elimine) as associações de pontos finais da firewall | Qualquer uma das seguintes funções no projeto onde a rede VPC existe:Administrador de rede de computação (roles/compute.networkAdmin) Administrador de pontos finais de firewall (roles/networksecurity.firewallEndpointAdmin) |
| Veja detalhes sobre a associação de pontos finais da firewall num projeto | Qualquer uma das seguintes funções na organização:Administrador da rede de computação (roles/compute.networkAdmin) Utilizador da rede de computação (roles/compute.networkUser) Visualizador da rede de computação (roles/compute.networkViewer) Administrador do ponto final do firewall (roles/networksecurity.firewallEndpointAdmin) |
| Veja todas as associações de pontos finais da firewall num projeto. | Qualquer uma das seguintes funções na organização:Administrador da rede de computação (roles/compute.networkAdmin) Utilizador da rede de computação (roles/compute.networkUser) Visualizador da rede de computação (roles/compute.networkViewer) Administrador do ponto final do firewall (roles/networksecurity.firewallEndpointAdmin) |
Quotas
Para ver as quotas associadas aos pontos finais da firewall, consulte o artigo Quotas e limites.
Preços
Os preços dos pontos finais da firewall são descritos nos preços do Cloud NGFW.