ファイアウォール エンドポイントは、ネットワークで侵入防止などのレイヤ 7 の高度な保護機能を有効にするクラウドの次世代ファイアウォール リソースです。
このページでは、ファイアウォール エンドポイントとその機能について詳しく説明します。
仕様
ファイアウォール エンドポイントは、ゾーンレベルで作成される組織リソースです。
ファイアウォール エンドポイントは、インターセプトされたトラフィックに対してレイヤ 7 ファイアウォール検査を実行します。
Cloud Next Generation Firewall は、Google Cloud のパケット インターセプト テクノロジーを使用して、Virtual Private Cloud(VPC)ネットワーク内の Google Cloud ワークロードからファイアウォール エンドポイントにトラフィックを透過的にリダイレクトします。
パケット インターセプトは、既存のルーティング ポリシーを変更することなく、選択したネットワーク トラフィックのパスにネットワーク アプライアンスを透過的に挿入する Google Cloud の機能です。
Cloud NGFW は、レイヤ 7 検査がこのフローに適用されるように構成されている場合にのみ、VPC ネットワーク内のワークロード トラフィックをファイアウォール エンドポイントにリダイレクトします。
Cloud NGFW は、レイヤ 7 検査のためにファイアウォール エンドポイントにリダイレクトされる各パケットに VPC ネットワーク識別子を追加します。IP アドレス範囲が重複する複数の VPC ネットワークがある場合、このネットワーク識別子により、リダイレクトされる各パケットが VPC ネットワークに正しく関連付けられます。
ゾーンにファイアウォール エンドポイントを作成して 1 つ以上の VPC ネットワークに接続すると、同じゾーン内のワークロードをモニタリングできます。VPC ネットワークが複数のゾーンにまたがっている場合は、各ゾーンに 1 つのファイアウォール エンドポイントを接続できます。特定のゾーンの VPC ネットワークにファイアウォール エンドポイントを接続しないと、そのゾーンのワークロード トラフィックにレイヤ 7 検査は実行されません。
ファイアウォール エンドポイントの関連付けを使用して、ファイアウォール エンドポイントを VPC ネットワークに接続します。
レイヤ 7 検査を有効にするエンドポイントとワークロードは、同じゾーンに存在する必要があります。ワークロードと同じゾーンにファイアウォール エンドポイントを作成すると、次の利点があります。
レイテンシの短縮。ファイアウォール エンドポイントは、トラフィックをインターセプト、検査、再挿入できるため、異なるゾーンにあるファイアウォール エンドポイントよりもレイテンシが低くなります。
ゾーン間トラフィックがない。トラフィックを同じゾーン内に維持することで、コストが削減されます。
トラフィックの信頼性が向上。トラフィックを同じゾーン内に維持することで、ゾーンをまたいだサービスの停止のリスクを回避できます。
ファイアウォール エンドポイントは、Transport Layer Security(TLS)インスペクションで最大 2 Gbps のトラフィック、TLS インスペクションなしで 10 Gbps のトラフィックを処理できます。トラフィックを多く送信すると、パケットロスが発生する可能性があります。ファイアウォール エンドポイントの容量使用率をモニタリングするには、ファイアウォール エンドポイントの指標をご覧ください。
ファイアウォール エンドポイントを削除できるのは、関連付けられている VPC ネットワークがない場合のみです。
Google は、ファイアウォール エンドポイントのインフラストラクチャ、ロード バランシング、自動スケーリング、ライフサイクルを管理します。ファイアウォール エンドポイントを作成すると、Google は一連の専用仮想マシン(VM)インスタンスを提供します。これにより、トラフィックの信頼性、パフォーマンス、セキュリティの分離を確保し、証明書を管理できます。
Google では、ファイアウォール エンドポイントに適切なフェイルオーバー メカニズムを使用して高可用性を実現しています。これにより、接続された VPC ネットワーク内のすべての VM インスタンスに対して信頼性の高いファイアウォール保護が保証されます。
ファイアウォール エンドポイントの関連付け
ファイアウォール エンドポイントの関連付けは、ファイアウォール エンドポイントを同じゾーン内の VPC ネットワークにリンクします。この関連付けを定義すると、Cloud NGFW は、レイヤ 7 検査を必要とする VPC ネットワーク内のゾーン ワークロード トラフィックを、接続されたファイアウォール エンドポイントに転送します。
Identity and Access Management ロール
Identity and Access Management(IAM)ロールは、ファイアウォール エンドポイントを管理するための次の操作を管理します。
- 組織でのファイアウォール エンドポイントの作成
- ファイアウォール エンドポイントの変更または削除
- ファイアウォール エンドポイントの詳細の表示
- 組織で構成されているすべてのファイアウォール エンドポイントの表示
次の表に、各ステップに必要なロールを示します。
| 機能 | 必要なロール |
|---|---|
| 新しいファイアウォール エンドポイントを作成する | ファイアウォール エンドポイントが作成される組織に対する compute.networkAdmin ロール。 |
| 既存のファイアウォール エンドポイントを変更する | 組織に対する compute.networkAdmin ロール。 |
| 組織内のファイアウォール エンドポイントの詳細を表示する | 組織に対する次のいずれかのロール: compute.networkAdmin compute.networkUser compute.networkViewer |
| 組織内のすべてのファイアウォール エンドポイントを表示する | 組織に対する次のいずれかのロール: compute.networkAdmin compute.networkUser compute.networkViewer |
IAM ロールは、ファイアウォール エンドポイントの関連付けに関して次のアクションを管理します。
- プロジェクトでのファイアウォール エンドポイントの関連付けの作成
- ファイアウォール エンドポイントの関連付けの変更または削除
- ファイアウォール エンドポイントの関連付けの詳細の表示
- プロジェクトで構成されたすべてのファイアウォール エンドポイントの関連付けの表示
次の表に、各ステップに必要なロールを示します。
| 機能 | 必要なロール |
|---|---|
| ファイアウォール エンドポイントの関連付けを作成する |
ファイアウォール エンドポイントの関連付けが作成されるプロジェクトに対する compute.networkAdmin ロール。 組織に対する compute.networkUser ロール。これは、ユーザーが管理者である VPC をエンドポイントに関連付ける権限を表します。エンドポイントは組織固有のリソースですが、VPC オーナーによって所有されているとは限りません。 |
| ファイアウォール エンドポイントの関連付けを変更する(更新または削除) | VPC ネットワークが存在するプロジェクトに対する compute.networkAdmin ロール。 |
| プロジェクト内のファイアウォール エンドポイントの関連付けの詳細を表示する | 組織に対する次のいずれかのロール: compute.networkAdmin compute.networkViewer compute.networkUser |
| プロジェクト内のすべてのファイアウォール エンドポイントの関連付けを表示する | 組織に対する次のいずれかのロール: compute.networkAdmin compute.networkViewer compute.networkUser |
割り当て
ファイアウォール エンドポイントに関連付けられた割り当てを表示するには、割り当てと上限をご覧ください。
料金
ファイアウォール エンドポイントの料金については、Cloud NGFW の料金をご覧ください。