Un point de terminaison de pare-feu est une ressource Cloud Next Generation Firewall qui offre des fonctionnalités de protection avancées de couche 7, telles que la prévention des intrusions, sur votre réseau.
Cette page fournit une présentation détaillée des points de terminaison de pare-feu et de leurs fonctionnalités.
Spécifications
Un point de terminaison de pare-feu est une ressource organisationnelle créée au niveau de la zone.
Les points de terminaison de pare-feu effectuent une inspection de pare-feu de couche 7 sur le trafic intercepté.
Cloud Next Generation Firewall utilise la technologie d'interception de paquets de Google Cloud pour rediriger de manière transparente le trafic des charges de travail Google Cloud dans un réseau cloud privé virtuel (VPC) vers les points de terminaison de pare-feu.
L'interception des paquets est une fonctionnalité Google Cloud qui insère de manière transparente les dispositifs réseau dans le chemin du trafic réseau sélectionné, sans modifier leurs règles de routage existantes.
Cloud NGFW redirige le trafic de charge de travail d'un réseau VPC vers le point de terminaison de pare-feu uniquement si l'inspection de couche 7 est configurée pour être appliquée à ce flux.
Cloud NGFW ajoute un identifiant de réseau VPC à chaque paquet redirigé vers le point de terminaison de pare-feu pour l'inspection de couche 7. Si vous disposez de plusieurs réseaux VPC avec des plages d'adresses IP qui se chevauchent, cet identifiant réseau permet de garantir que chaque paquet redirigé est correctement associé à son réseau VPC.
Vous pouvez créer un point de terminaison de pare-feu dans une zone et l'associer à un ou plusieurs réseaux VPC pour surveiller les charges de travail de la même zone. Si votre réseau VPC couvre plusieurs zones, vous pouvez associer un point de terminaison de pare-feu dans chaque zone. Si vous n'associez pas de point de terminaison de pare-feu à un réseau VPC dans une zone spécifique, aucune inspection de couche 7 n'est effectuée sur le trafic de charge de travail de cette zone.
Vous utilisez une association de point de terminaison de pare-feu pour associer un point de terminaison de pare-feu à un réseau VPC.
Le point de terminaison et les charges de travail pour lesquelles vous souhaitez activer l'inspection de couche 7 doivent se trouver dans la même zone. La création du point de terminaison de pare-feu dans la même zone que les charges de travail présente les avantages suivants :
Latence réduite. Comme les points de terminaison de pare-feu peuvent intercepter, inspecter et réinjecter le trafic dans le réseau, la latence est plus faible que pour des points de terminaison de pare-feu situés dans des zones différentes.
Aucun trafic entre zones. Conserver le trafic dans la même zone permet de réduire les coûts.
Trafic plus fiable. Conserver le trafic dans la même zone élimine le risque de pannes entre différentes zones.
Les points de terminaison de pare-feu peuvent traiter jusqu'à 2 Gbit/s de trafic avec l'inspection TLS (Transport Layer Security) et 10 Gbit/s de trafic sans inspection TLS. L'envoi d'autres trafics peut entraîner une perte de paquets. Pour surveiller l'utilisation de la capacité du point de terminaison de pare-feu, consultez la page Métriques sur les points de terminaison de pare-feu.
Vous ne pouvez supprimer un point de terminaison de pare-feu que lorsqu'aucun réseau VPC ne lui est associé.
Google gère l'infrastructure, l'équilibrage de charge, l'autoscaling et le cycle de vie des points de terminaison de pare-feu. Lorsque vous créez un point de terminaison de pare-feu, Google fournit un ensemble d'instances de machines virtuelles (VM) dédiées qui veillent à assurer la fiabilité, les performances et l'isolation de sécurité de votre trafic, ainsi que la gestion des certificats.
Google offre une haute disponibilité à l'aide de mécanismes de basculement appropriés pour les points de terminaison de pare-feu, ce qui garantit une protection fiable pour toutes les instances de VM couvertes par le pare-feu dans le réseau VPC rattaché.
Associations de points de terminaison de pare-feu
Une association de point de terminaison de pare-feu associe un point de terminaison de pare-feu à un réseau VPC dans la même zone. Une fois que vous avez défini cette association, Cloud NGFW transfère le trafic de charge de travail zonal de votre réseau VPC nécessitant une inspection de couche 7 au point de terminaison de pare-feu rattaché.
Rôles de gestion de l'authentification et des accès (IAM)
Les rôles IAM (Identity and Access Management) régissent les actions suivantes pour la gestion des points de terminaison de pare-feu :
- Créer un point de terminaison de pare-feu dans une organisation
- Modifier ou supprimer un point de terminaison de pare-feu
- Afficher les détails d'un point de terminaison de pare-feu
- Afficher tous les points de terminaison de pare-feu configurés dans une organisation
Le tableau suivant décrit les rôles nécessaires pour chaque étape.
| Aptitude | Rôle nécessaire |
|---|---|
| Créer un nouveau point de terminaison de pare-feu | Rôle compute.networkAdmin sur l'organisation où le point de terminaison de pare-feu est créé. |
| Modifier un point de terminaison de pare-feu existant | Rôle compute.networkAdmin sur l'organisation. |
| Afficher les détails du point de terminaison de pare-feu dans une organisation | L'un des rôles suivants pour l'organisation : compute.networkAdmin compute.networkUser compute.networkViewer |
| Afficher tous les points de terminaison de pare-feu dans une organisation | L'un des rôles suivants pour l'organisation : compute.networkAdmin compute.networkUser compute.networkViewer |
Les rôles IAM régissent les actions suivantes pour les associations de points de terminaison de pare-feu :
- Créer une association de point de terminaison de pare-feu dans un projet
- Modifier ou supprimer une association de point de terminaison de pare-feu
- Afficher les détails d'une association de point de terminaison de pare-feu
- Afficher toutes les associations de points de terminaison de pare-feu configurées dans un projet
Le tableau suivant décrit les rôles nécessaires pour chaque étape.
| Aptitude | Rôle nécessaire |
|---|---|
| Créer une association de point de terminaison de pare-feu |
Rôle compute.networkAdmin sur le projet dans lequel l'association de point de terminaison de pare-feu est créée. Rôle compute.networkUser sur l'organisation, qui représente les autorisations d'associer le VPC (dont l'utilisateur est un administrateur) au point de terminaison (qui est une ressource appartenant à l'organisation, pas nécessairement au propriétaire du VPC). |
| Modifier (mettre à jour ou supprimer) les associations de points de terminaison de pare-feu | Rôle compute.networkAdmin sur le projet où se trouve le réseau VPC. |
| Afficher les détails de l'association de points de terminaison de pare-feu dans un projet | L'un des rôles suivants pour l'organisation : compute.networkAdmin compute.networkViewer compute.networkUser |
| Afficher toutes les associations de points de terminaison de pare-feu dans un projet | L'un des rôles suivants pour l'organisation : compute.networkAdmin compute.networkViewer compute.networkUser |
Quotas
Pour afficher les quotas associés aux points de terminaison de pare-feu, consultez la section Quotas et limites.
Tarification
La tarification des points de terminaison de pare-feu est décrite dans la section Tarifs de Cloud Next Generation Firewall Enterprise.
Étapes suivantes
- Configurer le service de prévention des intrusions
- Créer et gérer des points de terminaison de pare-feu
- Créer et gérer des associations de points de terminaison de pare-feu