Créer des points de terminaison de pare-feu et des associations de points de terminaison (original) (raw)

Cette page explique comment configurer un point de terminaison de pare-feu et l'associer à un réseau cloud privé virtuel (VPC) à l'aide de la Google Cloud console, de Google Cloud CLI ou de Terraform.

Vous créez un point de terminaison de pare-feu au niveau d'une zone, puis vous l'associez à un ou plusieurs réseaux VPC dans la même zone. Si l'inspection de couche 7 est activée dans la stratégie de pare-feu associée à votre réseau VPC, le trafic correspondant est intercepté et transféré de manière transparente vers le point de terminaison de pare-feu.

Vous pouvez créer un point de terminaison de pare-feu avec ou sans prise en charge des trames géantes. Pour en savoir plus sur les tailles de paquets compatibles avec les points de terminaison de pare-feu, consultez la sectionTaille de paquet compatible.

Avant de commencer

Avant de configurer des points de terminaison et des associations de pare-feu, procédez comme suit :

1. Assurez-vous de disposer d'un réseau VPCet d'un sous-réseau.
2. Activez les API requises :
   • API Compute Enginedans votre Google Cloud projet.
   • API Network Securitydans le Google Cloud projet que vous souhaitez utiliser pour la facturation.
   • API Certificate Authority Service dans votre Google Cloud project.
3. Installez gcloud CLI si vous souhaitez exécutergcloud des exemples de ligne de commande.

Rôles et autorisations

Pour obtenir les autorisations nécessaires pour créer des points de terminaison de pare-feu, demandez à votre administrateur de vous accorder lesrôles IAM (Identity and Access Management)requis sur votre organisation ou votre projet. Pour en savoir plus, consultezGérer l'accès.

Pour vérifier la progression des opérations répertoriées sur cette page, assurez-vous que votre compte utilisateur dispose durôle Utilisateur de réseau Compute(roles/compute.networkUser), qui inclut les autorisations suivantes :

• networksecurity.operations.get
• networksecurity.operations.list

Quotas

Pour afficher les quotas des points de terminaison et des associations de pare-feu, consultez la pageQuotas et limites.

Créez un point de terminaison de pare-feu dans une zone spécifique.

Point de terminaison au niveau de l'organisation

Vous pouvez créer un point de terminaison de pare-feu au niveau de l'organisation. Ces points de terminaison ne sont compatibles qu'avec les groupes de profils de sécurité au niveau de l'organisation.

Autorisations requises pour cette tâche

Pour effectuer cette tâche, vous devez disposer des autorisations suivantes ou détenir l'un des rôles IAM suivants sur votre organisation.

Autorisations

• networksecurity.firewallEndpoints.create

Rôles

• Administrateur de réseaux Compute (roles/compute.networkAdmin)
• Administrateur de points de terminaison de pare-feu (roles/networksecurity.firewallEndpointAdmin) accordé au niveau de l'organisation

Console

1. Dans la Google Cloud console, accédez à la page Points de terminaison de pare-feu.
   Accéder à la page "Points de terminaison de pare-feu"
2. Dans le menu de sélection du projet, sélectionnez votre organisation.
3. Cliquez sur Créer.
4. Dans la liste Région, sélectionnez la région dans laquelle vous souhaitez créer le point de terminaison de pare-feu.
5. Dans la liste Zone, sélectionnez la zone dans laquelle vous souhaitez créer le point de terminaison de pare-feu.
6. Saisissez un nom dans le champ Nom.
7. Dans la liste Projet de facturation, sélectionnez le Google Cloud projet que vous souhaitez utiliser pour facturer le point de terminaison de pare-feu.
8. Cliquez sur Continuer.
9. Si vous souhaitez que le point de terminaison soit compatible avec les trames géantes, cochez la case Activer la prise en charge des trames géantes . Sinon, décochez-la.
10. Cliquez sur Continuer.
11. Si vous souhaitez ajouter une association de points de terminaison de pare-feu, cliquez sur Ajouter une association de points de terminaison. Sinon, ignorez cette étape.
12. Dans la liste Projet, sélectionnez le Google Cloud projet dans lequel vous souhaitez créer l'association de points de terminaison de pare-feu.
13. Si l'API Compute Engine ou l'API Network Security n'est pas activée pour le Google Cloud projet, cliquez sur Activer.
14. Dans la liste Réseau, sélectionnez le réseau que vous souhaitez associer au point de terminaison de pare-feu.
15. Dans la liste Règle d'inspection TLS, sélectionnez la règle d'inspection TLS que vous souhaitez ajouter à cette association.
16. Pour ajouter une autre association, cliquez sur Ajouter une association de points de terminaison.
17. Cliquez sur Créer.

gcloud

Pour créer un point de terminaison de pare-feu, exécutez la gcloud network-security firewall-endpoints createcommande :

gcloud network-security firewall-endpoints create NAME
--organization ORGANIZATION_ID
--zone ZONE
--enable-jumbo-frames
--billing-project BILLING_PROJECT_ID

Remplacez les éléments suivants :

• NAME : nom du point de terminaison de pare-feu.
• ORGANIZATION_ID : organisation dans laquelle le point de terminaison est activé.
• ZONE : zone dans laquelle le point de terminaison est activé.
• BILLING_PROJECT_ID : ID du Google Cloud projet à utiliser pour la facturation du point de terminaison de pare-feu.

Pour créer un point de terminaison de pare-feu compatible avec les trames géantes jusqu'à 8 500 octets, utilisez l'indicateur facultatif --enable-jumbo-frames. Ignorez cet indicateur pour créer un point de terminaison sans prise en charge des trames géantes. Pour en savoir plus sur les tailles de paquets compatibles avec les points de terminaison de pare-feu, consultez la sectionTaille de paquet compatible.

Pour associer le point de terminaison de pare-feu à un réseau VPC, consultezCréer des associations de points de terminaison de pare-feu.

Terraform

Utilisez la ressource Terraform google_network_security_firewall_endpoint.

resource "google_network_security_firewall_endpoint" "default" { name = "my-firewall-endpoint" parent = "organizations/123456789" location = "us-central1-a" billing_project_id = "my-project-name" enable_jumbo_frames = true }

Pour créer un point de terminaison de pare-feu compatible avec les trames géantes jusqu'à 8 500 octets, définissez le champ enable_jumbo_frames sur true. Pour créer un point de terminaison de pare-feu qui n'est pas compatible avec les trames géantes, définissez ce champ sur false. Pour en savoir plus sur les tailles de paquets compatibles avec les points de terminaison de pare-feu, consultez la sectionTaille de paquet compatible.

Pour savoir comment appliquer ou supprimer une configuration Terraform, consultez la pageCommandes Terraform de base.

Point de terminaison au niveau du projet

Vous pouvez créer un point de terminaison de pare-feu au niveau du projet. Ces points de terminaison sont compatibles avec les groupes de profils de sécurité au niveau de l'organisation et du projet.

Autorisations requises pour cette tâche

Pour effectuer cette tâche, vous devez disposer des autorisations suivantes ou détenir l'un des rôles IAM suivants sur votre projet.

Autorisations

• networksecurity.firewallEndpoints.create

Rôles

• Administrateur de réseaux Compute (roles/compute.networkAdmin)
• Administrateur de points de terminaison de pare-feu (roles/networksecurity.firewallEndpointAdmin) accordé au niveau du projet ou de l'organisation

gcloud

Pour créer un point de terminaison de pare-feu, exécutez la gcloud beta network-security firewall-endpoints createcommande :

gcloud beta network-security firewall-endpoints create NAME
--project PROJECT_ID
--zone ZONE
--enable-jumbo-frames

Remplacez les éléments suivants :

• NAME : nom du point de terminaison de pare-feu.
• PROJECT_ID: projet dans lequel le point de terminaison est activé.
• ZONE : zone dans laquelle le point de terminaison est activé.

Pour créer un point de terminaison de pare-feu compatible avec les trames géantes jusqu'à 8 500 octets, utilisez l'indicateur facultatif --enable-jumbo-frames. Ignorez cet indicateur pour créer un point de terminaison sans prise en charge des trames géantes. Pour en savoir plus sur les tailles de paquets compatibles avec les points de terminaison de pare-feu, consultez la sectionTaille de paquet compatible.

Pour associer le point de terminaison de pare-feu à un réseau VPC, consultezCréer des associations de points de terminaison de pare-feu.

Créer une association de point de terminaison de pare-feu

Une association de point de terminaison de pare-feu connecte un point de terminaison de pare-feu à un réseau VPC dans une zone spécifique. Cette association garantit que le trafic correspondant à une règle d'interception pour le réseau associé dans cette zone est inspecté par le point de terminaison de pare-feu.

Assurez-vous de disposer d'un point de terminaison de pare-feuavant de créer une association.

Exigences concernant les associations

Lorsque vous configurez des associations de points de terminaison, respectez les exigences suivantes :

• Contraintes de zone : vous devez créer l'association dans la même zone que le point de terminaison de pare-feu. Pour une inspection efficace du trafic, créez des associations dans les zones où vos instances de calcul sont déployées.
• Un point de terminaison par zone : dans une seule zone, vous ne pouvez associer un réseau VPC qu'à un seul point de terminaison de pare-feu (au niveau du projet (aperçu) ou de l'organisation). Toutefois, vous pouvez associer un seul réseau VPC à différents points de terminaison de pare-feu dans plusieurs zones différentes.
• Associations entre projets : vous pouvez associer un réseau VPC à un point de terminaison de pare-feu dans un projet distinct.
  • Si vous utilisez un point de terminaison au niveau du projet (aperçu), le projet du point de terminaison doit résider dans la même organisation que le réseau VPC.
• Mappage des ressources : une association est une ressource au niveau du projet. Vous créez l'association dans le projet spécifique où vos instances de calcul sont déployées, même si l'association pointe vers un point de terminaison de pare-feu au niveau de l'organisation.

Un point de terminaison de pare-feu compatible avec les trames géantes ne peut accepter que des paquets de 8 500 octets maximum. Un point de terminaison de pare-feu non compatible avec les trames géantes ne peut accepter que des paquets de 1 460 octets maximum. Si vous avez besoin d'un service de filtrage d'URL ou d'un service de détection et de prévention des intrusions, nous vous recommandons de configurer les réseaux VPC associés pour qu'ils utilisent les limites d'unité de transmission maximale (MTU)de 8 500 octets et 1 460 octets. Pour en savoir plus, consultez la sectionTaille de paquet compatible.

Autorisations requises pour cette tâche

Pour effectuer cette tâche, vous devez disposer des autorisations suivantes ou détenir l'un des rôles IAM suivants sur votre projet.

Autorisations

• networksecurity.firewallEndpointAssociations.create
• networksecurity.firewallEndpoints.use sur l'organisation ou le projet dans lequel le point de terminaison de pare-feu est créé.

Rôles

• Administrateur de réseaux Compute (roles/compute.networkAdmin)
• Administrateur de points de terminaison de pare-feu (roles/networksecurity.firewallEndpointAdmin) accordé au niveau de l'organisation ou du projet

Console

1. Dans la Google Cloud console, accédez à la page Points de terminaison de pare-feu.
   Accéder à la page "Points de terminaison de pare-feu"
2. Dans le menu de sélection du projet, sélectionnez votre Google Cloud projet.
3. Cliquez sur Créer une association de point de terminaison.
4. Dans la liste Région, sélectionnez la région dans laquelle vous souhaitez créer l'association de point de terminaison de pare-feu.
5. Dans la liste Zone, sélectionnez la zone dans laquelle vous souhaitez créer l'association de points de terminaison de pare-feu.
6. Dans la liste Point de terminaison de pare-feu, sélectionnez le point de terminaison de pare-feu que vous souhaitez ajouter à l'association.
7. Dans la liste Réseau, sélectionnez le réseau que vous souhaitez ajouter à l'association.
8. Dans la liste Règle d'inspection TLS, sélectionnez la règle d'inspection TLS que vous souhaitez ajouter à cette association.
9. Cliquez sur Créer.

gcloud

Pour créer une association de point de terminaison de pare-feu, exécutez lagcloud network-security firewall-endpoint-associations create commande.

Point de terminaison de pare-feu au niveau de l'organisation

gcloud network-security firewall-endpoint-associations
create NAME
--endpoint organizations/ORGANIZATION_ID/locations/ZONE/firewallEndpoints/FIREWALL_ENDPOINT_NAME
--network projects/PROJECT_NAME/global/networks/NETWORK_NAME
--zone ZONE
--project PROJECT_ID
[ --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME ]

Point de terminaison de pare-feu au niveau du projet

gcloud beta network-security firewall-endpoint-associations
create NAME
--endpoint projects/ENDPOINT_PROJECT_ID/locations/ZONE/firewallEndpoints/FIREWALL_ENDPOINT_NAME
--network projects/PROJECT_NAME/global/networks/NETWORK_NAME
--zone ZONE
--project PROJECT_ID
[ --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME ]

Remplacez les éléments suivants :

• NAME : nom de l'association de point de terminaison de pare-feu.
• ORGANIZATION_ID: identifiant de l'organisation dans laquelle le point de terminaison de pare-feu au niveau de l'organisation est créé.
• ENDPOINT_PROJECT_ID : ID du projet dans lequel le point de terminaison de pare-feu au niveau du projet est créé. Google Cloud
• ZONE : zone du point de terminaison de pare-feu.
• FIREWALL_ENDPOINT_NAME : nom du point de terminaison de pare-feu.
• PROJECT_NAME : le Google Cloud nom duprojet du réseau.
• NETWORK_NAME : nom du réseau.
• PROJECT_ID : ID du Google Cloud projet dans lequel l'association est créée. Il doit s'agir du projet dans lequel vous souhaitez intercepter le trafic.
• TLS_PROJECT_NAME : nom duprojet de Google Cloud la règle d'inspection TLS.
• REGION_NAME: nom de la région de la règle d'inspection TLS.
• TLS_POLICY_NAME: nom de la règle d'inspection TLS.
  Cette règle est utilisée pour l'inspection TLS du trafic chiffré sur le réseau spécifié. Cet argument est facultatif.

Étape suivante

• Utiliser des stratégies et des règles de pare-feu hiérarchiques
• Utiliser des stratégies et des règles de pare-feu de réseau globales