Panoramica degli endpoint firewall (original) (raw)

L'endpoint firewall è una risorsa Cloud Next Generation Firewall che abilita funzionalità di protezione avanzata di livello 7, come il servizio di filtro URL e il servizio di rilevamento e prevenzione delle intrusioni, nella tua rete.

Questa pagina fornisce una panoramica dettagliata degli endpoint firewall e delle loro funzionalità.

Specifiche

• Un endpoint firewall è una risorsa di zona che puoi configurare a livello di organizzazione o di progetto.
  • Endpoint firewall a livello di organizzazione: gli amministratori dell'organizzazione creano e gestiscono questi endpoint per gestire la sicurezza a livello centrale in tutta l'organizzazione.
  • Endpoint firewall a livello di progetto (anteprima): gli amministratori del progetto creano e gestiscono questi endpoint all'interno di un progetto. Puoi associare qualsiasi rete VPC nell'organizzazione a un endpoint a livello di progetto. Crea endpoint firewall a livello di progetto se non puoi ottenere le autorizzazioni a livello di organizzazione per creare endpoint firewall a livello di organizzazione.
• Gli endpoint firewall eseguono l'ispezione firewall di livello 7 sul traffico intercettato.
• Cloud Next Generation Firewall utilizza Google Cloud's la tecnologia di intercettazione dei pacchetti per reindirizzare in modo trasparente il traffico dai Google Cloud workload in una rete Virtual Private Cloud (VPC) agli endpoint firewall.
  L'intercettazione dei pacchetti è una Google Cloud funzionalità che inserisce in modo trasparente le appliance di rete nel percorso del traffico di rete selezionato senza modificare le policy di routing esistenti.
• Cloud NGFW reindirizza il traffico dei workload in una rete VPC all'endpoint firewall solo se l'ispezione di livello 7 è configurata per essere applicata a questo flusso.
• Cloud NGFW aggiunge un identificatore di rete VPC a ogni pacchetto reindirizzato all'endpoint firewall per l'ispezione di livello 7. Se hai più reti VPC con intervalli di indirizzi IP sovrapposti, questo identificatore di rete consente di garantire che ogni pacchetto reindirizzato sia associato correttamente alla relativa rete VPC.
• Puoi creare un endpoint firewall in una zona e collegarlo a una o più reti VPC per monitorare i workload nella stessa zona. Se la tua rete VPC si estende su più zone, puoi collegare un endpoint firewall in ogni zona. Se non colleghi un endpoint firewall a una rete VPC in una zona specifica, non viene eseguita alcuna ispezione di livello 7 sul traffico dei workload per quella zona.
  Utilizza l'associazione di endpoint firewall per collegare un endpoint firewall a una rete VPC.
• L'endpoint e i workload per i quali vuoi abilitare l'ispezione di livello 7 devono trovarsi nella stessa zona. La creazione dell'endpoint firewall nella stessa zona dei workload offre i seguenti vantaggi:
  • Latenza inferiore. Poiché gli endpoint firewall possono intercettare, ispezionare e reinserire il traffico nella rete, la latenza è inferiore a quella degli endpoint firewall in zone diverse.
  • Nessun traffico tra zone. Mantenere il traffico all'interno della stessa zona garantisce costi inferiori.
  • Traffico più affidabile. Mantenere il traffico all'interno della stessa zona elimina il rischio di interruzioni tra zone.
• Gli endpoint firewall possono elaborare fino a 2 Gbps di traffico con l'ispezione TLS (Transport Layer Security) e 10 Gbps di traffico senza ispezione TLS. Il traffico eccessivo può sovraccaricare l'endpoint e causare perdite di pacchetti. Per monitorare l'utilizzo della capacità dell'endpoint firewall, consulta le metriche di sicurezza di retefirewall_endpoint.
• Poiché l'endpoint non inoltra i messaggi non approvati, un endpoint sovraccarico potrebbe eliminare il traffico legittimo se non riesce a ispezionarlo.
• Gli endpoint firewall possono avere una velocità effettiva massima per connessione di 250 Mbps di traffico con ispezione TLS e 1,25 Gbps di traffico senza ispezione TLS.
• Puoi creare un endpoint firewall che elabora frame jumbo di dimensioni fino a 8588 byte. In alternativa, puoi creare un endpoint senza supporto per i frame jumbo. Per ulteriori informazioni, vediDimensioni dei pacchetti supportate.
• Puoi eliminare un endpoint firewall solo se non sono associate reti VPC.
• Google gestisce l'infrastruttura, il bilanciamento del carico, lo scalabilità automatica e il ciclo di vita degli endpoint firewall. Quando crei un endpoint firewall, Google fornisce un insieme di istanze di macchine virtuali (VM) dedicate, che garantiscono affidabilità, prestazioni e isolamento della sicurezza per il tuo traffico, nonché la gestione dei certificati.
• Google fornisce alta disponibilità utilizzando meccanismi di failover appropriati per gli endpoint firewall, che garantiscono una protezione firewall affidabile per tutte le istanze VM coperte all'interno della rete VPC collegata.

Associazioni di endpoint firewall

L'associazione di endpoint firewall collega un endpoint firewall a una rete VPC nella stessa zona. Dopo aver definito questa associazione, Cloud NGFW inoltra il traffico dei workload a livello di zona nella rete VPC che richiede l'ispezione di livello 7 all'endpoint firewall collegato.

Puoi associare una rete VPC a un endpoint firewall a livello di organizzazione o a livello di progetto (anteprima). Per associare una rete VPC, tieni presente quanto segue:

• Associazione tra progetti: se l'endpoint e la rete VPC si trovano in progetti diversi, entrambi i progetti devono appartenere alla stessa organizzazione.
• Limite a livello di zona: associa una rete VPC a un solo endpoint firewall per zona. Questo limite include sia gli endpoint a livello di organizzazione sia quelli a livello di progetto.

Intercettazione del traffico da parte degli endpoint firewall a livello di progetto

Per intercettare e ispezionare il traffico utilizzando un endpoint firewall a livello di progetto, assicurati che siano soddisfatti i seguenti requisiti:

• Una rete VPC nella zona dell'istanza VM è associata all'endpoint firewall di destinazione.
• Il traffico corrisponde a una regola di policy del firewall con l'azione apply_security_profile_group.
• Il gruppo di profili di sicurezza esiste nello stesso progetto dell'endpoint firewall.

Dimensioni dei pacchetti supportate

Un endpoint firewall supporta o non supporta i frame jumbo.

• Un endpoint firewall con supporto per i frame jumbo può accettare pacchetti fino a 8588 byte.
  Cloud NGFW riserva altri 308 byte perl'incapsulamento GENEVE(necessario per l'ispezione dei dati) e per altre estensioni. Pertanto, la dimensione totale dei pacchetti di 8896 byte corrisponde all'unità massima di trasmissione (MTU) più elevata possibile che supporta. Google Cloud
• Un endpoint firewall senza supporto per i frame jumbo può accettare pacchetti fino a 1460 byte.

Per eseguire correttamente l'ispezione di livello 7,configura le reti VPCassociate all'endpoint in modo che rispettino questi limiti MTU:

• Per un endpoint con supporto per i frame jumbo, assicurati che le reti VPC utilizzino un MTU di 8588 byte o inferiore.
• Per un endpoint senza supporto per i frame jumbo, assicurati che le reti VPC utilizzino un MTU di 1460 byte o inferiore.

Puoi creare un endpoint firewall con o senza supporto per i frame jumbo. Tuttavia, non puoi riconfigurare un endpoint esistente per aggiungere o rimuovere il supporto per i frame jumbo. Per aggiungere o rimuovere il supporto per i frame jumbo, elimina l'endpoint e ricrealo. Per ulteriori informazioni, vediCreare un endpoint firewall.

Ruoli Identity and Access Management

I ruoli IAM (Identity and Access Management) regolano le seguenti azioni per la gestione degli endpoint firewall:

• Creazione di un endpoint firewall in un'organizzazione o in un progetto
• Modifica o eliminazione di un endpoint firewall in un'organizzazione o in un progetto
• Visualizzazione dei dettagli di un endpoint firewall in un'organizzazione o in un progetto
• Visualizzazione di tutti gli endpoint firewall configurati in un'organizzazione o in un progetto

Per gestire gli endpoint a livello di organizzazione, devi avere il ruolo Firewall Endpoint Admin (roles/networksecurity.firewallEndpointAdmin)concesso a livello di organizzazione. Per gestire gli endpoint a livello di progetto, devi avere il ruolo Firewall Endpoint Admin (roles/networksecurity.firewallEndpointAdmin)concesso a livello di progetto (anteprima) o alla relativa organizzazione principale.

La tabella seguente descrive i ruoli necessari per ogni passaggio.

I ruoli IAM regolano le seguenti azioni per le associazioni di endpoint firewall:

• Creazione di un'associazione di endpoint firewall in un progetto
• Modifica o eliminazione di un'associazione di endpoint firewall
• Visualizzazione dei dettagli di un'associazione di endpoint firewall
• Visualizzazione di tutte le associazioni di endpoint firewall configurate in un progetto

La tabella seguente descrive i ruoli necessari per ogni passaggio.

Quote

Per visualizzare le quote associate agli endpoint firewall, consulta Quote e limiti.

Passaggi successivi

• Configura il servizio di filtro URL
• Configura il servizio di rilevamento e prevenzione delle intrusioni
• Crea e gestisci gli endpoint firewall
• Crea e gestisci le associazioni di endpoint firewall