방화벽 엔드포인트는 네트워크에 침입 방지와 같은 레이어 7 고급 보호 기능을 사용 설정하는 Cloud Next Generation Firewall 리소스입니다.
이 페이지에서는 방화벽 엔드포인트 개요와 해당 기능을 자세히 설명합니다.
사양
방화벽 엔드포인트는 영역 수준에서 생성된 조직 리소스입니다.
방화벽 엔드포인트는 가로채기된 트래픽에서 레이어 7 방화벽 검사를 수행합니다.
Cloud Next Generation Firewall은 Google Cloud의 패킷 가로채기 기술을 사용하여 가상 프라이빗 클라우드(VPC) 네트워크의 Google Cloud 워크로드에서 방화벽 엔드포인트로 트래픽을 투명하게 리디렉션합니다.
패킷 가로채기는 기존 라우팅 정책을 수정하지 않고 선택된 네트워크 트래픽 경로에 네트워크 어플라이언스를 투명하게 삽입하는 Google Cloud 기능입니다.
Cloud NGFW는 레이어 7 검사가 이 흐름에 적용되도록 구성된 경우에만 VPC 네트워크의 워크로드 트래픽을 방화벽 엔드포인트로 리디렉션합니다.
Cloud NGFW는 레이어 7 검사를 위해 방화벽 엔드포인트에 리디렉션된 각 패킷에 VPC 네트워크 식별자를 추가합니다. IP 주소 범위가 겹치는 VPC 네트워크가 여러 개 있는 경우 이 네트워크 식별자는 리디렉션된 각 패킷이 해당 VPC 네트워크에 올바르게 연결되도록 보장합니다.
영역에서 방화벽 엔드포인트를 만들고 VPC 네트워크 하나 이상에 연결하여 동일한 영역의 워크로드를 모니터링할 수 있습니다. VPC 네트워크가 여러 영역에 걸쳐 있는 경우 각 영역에 하나의 방화벽 엔드포인트를 연결할 수 있습니다. 특정 영역의 VPC 네트워크에 방화벽 엔드포인트를 연결하지 않으면 해당 영역의 워크로드 트래픽에 대한 레이어 7 검사가 수행되지 않습니다.
방화벽 엔드포인트 연결을 사용하여 방화벽 엔드포인트를 VPC 네트워크에 연결합니다.
레이어 7 검사를 사용 설정하려는 엔드포인트와 워크로드가 같은 영역에 있어야 합니다. 워크로드와 동일한 영역에 방화벽 엔드포인트를 만들면 다음과 같은 이점이 있습니다.
짧은 지연 시간. 방화벽 엔드포인트는 트래픽을 가로채서 검사하고 네트워크로 다시 삽입할 수 있으므로 지연 시간이 다른 영역의 방화벽 엔드포인트보다 짧습니다.
영역 간 트래픽 없음. 트래픽을 같은 영역 내에 유지하면 비용이 절감됩니다.
보다 안정적인 트래픽. 트래픽을 같은 영역 내에 유지하면 영역 간 중단 위험이 사라집니다.
방화벽 엔드포인트는 전송 계층 보안(TLS) 검사를 사용하여 트래픽을 최대 2Gbps까지 처리하고 TLS 검사 없이는 트래픽을 10Gbps까지 처리할 수 있습니다. 더 많은 트래픽을 전송하면 패킷이 손실될 수 있습니다. 방화벽 엔드포인트의 용량 이용률을 모니터링하려면 방화벽 엔드포인트 측정항목을 참조하세요.
연결된 VPC 네트워크가 없는 경우에만 방화벽 엔드포인트를 삭제할 수 있습니다.
Google은 방화벽 엔드포인트의 인프라, 부하 분산, 자동 확장, 수명 주기를 관리합니다. 방화벽 엔드포인트를 만들 때 Google은 인증서 관리와 함께 트래픽의 안정성, 성능, 보안 격리를 보장하는 전용 가상 머신(VM) 인스턴스 집합을 제공합니다.
Google은 방화벽 엔드포인트에 적절한 장애 조치 메커니즘을 사용하여 고가용성을 제공하므로 연결된 VPC 네트워크 내에 있는 모든 VM 인스턴스에서 안정적인 방화벽 보호가 보장됩니다.
방화벽 엔드포인트 연결
방화벽 엔드포인트 연결은 방화벽 영역을 같은 영역의 VPC 네트워크에 연결합니다. 이 연결을 정의하면 Cloud NGFW에서 레이어 7 검사가 필요한 VPC 네트워크의 영역 워크로드 트래픽을 연결된 방화벽 엔드포인트로 전달합니다.
Identity and Access Management 역할
Identity and Access Management(IAM) 역할은 방화벽 엔드포인트를 관리할 수 있도록 다음 작업을 제어합니다.
- 조직에 방화벽 엔드포인트 만들기
- 방화벽 엔드포인트 수정 또는 삭제
- 방화벽 엔드포인트 세부정보 보기
- 조직에 구성된 모든 방화벽 엔드포인트 보기
다음 표에서는 각 단계에 필요한 역할을 설명합니다.
| 기능 | 필수 역할 |
|---|---|
| 새 방화벽 엔드포인트 만들기 | 방화벽 엔드포인트가 생성된 조직에 대한 compute.networkAdmin 역할 |
| 기존 방화벽 엔드포인트 수정 | 조직에 대한 compute.networkAdmin 역할 |
| 조직 내 방화벽 엔드포인트 세부정보 보기 | 조직에 대한 다음 역할 중 하나입니다. compute.networkAdmin compute.networkUser compute.networkViewer |
| 조직 내 모든 방화벽 엔드포인트 보기 | 조직에 대한 다음 역할 중 하나입니다. compute.networkAdmin compute.networkUser compute.networkViewer |
IAM 역할은 방화벽 엔드포인트 연결에 대한 다음 작업을 제어합니다.
- 프로젝트에 방화벽 엔드포인트 연결 만들기
- 방화벽 엔드포인트 연결 수정 또는 삭제
- 방화벽 엔드포인트 연결 세부정보 보기
- 프로젝트에 구성된 모든 방화벽 엔드포인트 연결 보기
다음 표에서는 각 단계에 필요한 역할을 설명합니다.
| 기능 | 필수 역할 |
|---|---|
| 방화벽 엔드포인트 연결 만들기 |
방화벽 엔드포인트 연결이 생성된 프로젝트에 대한 compute.networkAdmin 역할 VPC(사용자가 관리자임)를 엔드포인트(조직에서 소유한 리소스이지만 VPC 소유자가 소유할 필요는 없음)에 연결할 수 있는 권한을 나타내는 조직에 대한 compute.networkUser 역할 |
| 방화벽 엔드포인트 연결 수정(업데이트 또는 삭제) | VPC 네트워크가 있는 프로젝트에 대한 compute.networkAdmin 역할 |
| 프로젝트의 방화벽 엔드포인트 연결 세부정보 보기 | 조직에 대한 다음 역할 중 하나입니다. compute.networkAdmin compute.networkViewer compute.networkUser |
| 프로젝트의 모든 방화벽 엔드포인트 연결 보기 | 조직에 대한 다음 역할 중 하나입니다. compute.networkAdmin compute.networkViewer compute.networkUser |
할당량
방화벽 엔드포인트와 연결된 할당량을 보려면 할당량 및 한도를 참조하세요.
가격 책정
방화벽 엔드포인트 가격 책정 방식은 Cloud Next Generation Firewall Enterprise 가격 책정을 참조하세요.