ファイアウォール エンドポイントの概要

ファイアウォール エンドポイントは、ネットワークで侵入防止などのレイヤ 7 の高度な保護機能を有効にするクラウドの次世代ファイアウォール リソースです。

このページでは、ファイアウォール エンドポイントとその機能について詳しく説明します。

仕様

  • ファイアウォール エンドポイントは、ゾーンレベルで作成される組織リソースです。

  • ファイアウォール エンドポイントは、インターセプトされたトラフィックに対してレイヤ 7 ファイアウォール検査を実行します。

  • Cloud Next Generation Firewall は、Google Cloud のパケット インターセプト テクノロジーを使用して、Virtual Private Cloud(VPC)ネットワーク内の Google Cloud ワークロードからファイアウォール エンドポイントにトラフィックを透過的にリダイレクトします。

    パケット インターセプトは、既存のルーティング ポリシーを変更することなく、選択したネットワーク トラフィックのパスにネットワーク アプライアンスを透過的に挿入する Google Cloud の機能です。

  • Cloud NGFW は、レイヤ 7 検査がこのフローに適用されるように構成されている場合にのみ、VPC ネットワーク内のワークロード トラフィックをファイアウォール エンドポイントにリダイレクトします。

  • Cloud NGFW は、レイヤ 7 検査のためにファイアウォール エンドポイントにリダイレクトされる各パケットに VPC ネットワーク識別子を追加します。IP アドレス範囲が重複する複数の VPC ネットワークがある場合、このネットワーク識別子により、リダイレクトされる各パケットが VPC ネットワークに正しく関連付けられます。

  • ゾーンにファイアウォール エンドポイントを作成して 1 つ以上の VPC ネットワークに接続すると、同じゾーン内のワークロードをモニタリングできます。VPC ネットワークが複数のゾーンにまたがっている場合は、各ゾーンに 1 つのファイアウォール エンドポイントを接続できます。特定のゾーンの VPC ネットワークにファイアウォール エンドポイントを接続しないと、そのゾーンのワークロード トラフィックにレイヤ 7 検査は実行されません。

    ファイアウォール エンドポイントの関連付けを使用して、ファイアウォール エンドポイントを VPC ネットワークに接続します。

  • レイヤ 7 検査を有効にするエンドポイントとワークロードは、同じゾーンに存在する必要があります。ワークロードと同じゾーンにファイアウォール エンドポイントを作成すると、次の利点があります。

    • レイテンシの短縮。ファイアウォール エンドポイントは、トラフィックをインターセプト、検査、再挿入できるため、異なるゾーンにあるファイアウォール エンドポイントよりもレイテンシが低くなります。

    • ゾーン間トラフィックがない。トラフィックを同じゾーン内に維持することで、コストが削減されます。

    • トラフィックの信頼性が向上。トラフィックを同じゾーン内に維持することで、ゾーンをまたいだサービスの停止のリスクを回避できます。

  • ファイアウォール エンドポイントは、Transport Layer Security(TLS)インスペクションで最大 2 Gbps のトラフィック、TLS インスペクションなしで 10 Gbps のトラフィックを処理できます。トラフィックを多く送信すると、パケットロスが発生する可能性があります。ファイアウォール エンドポイントの容量使用率をモニタリングするには、ファイアウォール エンドポイントの指標をご覧ください。

  • ファイアウォール エンドポイントを削除できるのは、関連付けられている VPC ネットワークがない場合のみです。

  • Google は、ファイアウォール エンドポイントのインフラストラクチャ、ロード バランシング、自動スケーリング、ライフサイクルを管理します。ファイアウォール エンドポイントを作成すると、Google は一連の専用仮想マシン(VM)インスタンスを提供します。これにより、トラフィックの信頼性、パフォーマンス、セキュリティの分離を確保し、証明書を管理できます。

  • Google では、ファイアウォール エンドポイントに適切なフェイルオーバー メカニズムを使用して高可用性を実現しています。これにより、接続された VPC ネットワーク内のすべての VM インスタンスに対して信頼性の高いファイアウォール保護が保証されます。

ファイアウォール エンドポイントの関連付け

ファイアウォール エンドポイントの関連付けは、ファイアウォール エンドポイントを同じゾーン内の VPC ネットワークにリンクします。この関連付けを定義すると、Cloud NGFW は、レイヤ 7 検査を必要とする VPC ネットワーク内のゾーン ワークロード トラフィックを、接続されたファイアウォール エンドポイントに転送します。

Identity and Access Management ロール

Identity and Access Management(IAM)ロールは、ファイアウォール エンドポイントを管理するための次の操作を管理します。

  • 組織でのファイアウォール エンドポイントの作成
  • ファイアウォール エンドポイントの変更または削除
  • ファイアウォール エンドポイントの詳細の表示
  • 組織で構成されているすべてのファイアウォール エンドポイントの表示

次の表に、各ステップに必要なロールを示します。

機能 必要なロール
新しいファイアウォール エンドポイントを作成する ファイアウォール エンドポイントが作成される組織に対する compute.networkAdmin ロール。
既存のファイアウォール エンドポイントを変更する 組織に対する compute.networkAdmin ロール。
組織内のファイアウォール エンドポイントの詳細を表示する 組織に対する次のいずれかのロール:
compute.networkAdmin
compute.networkUser
compute.networkViewer
組織内のすべてのファイアウォール エンドポイントを表示する 組織に対する次のいずれかのロール:
compute.networkAdmin
compute.networkUser
compute.networkViewer

IAM ロールは、ファイアウォール エンドポイントの関連付けに関して次のアクションを管理します。

  • プロジェクトでのファイアウォール エンドポイントの関連付けの作成
  • ファイアウォール エンドポイントの関連付けの変更または削除
  • ファイアウォール エンドポイントの関連付けの詳細の表示
  • プロジェクトで構成されたすべてのファイアウォール エンドポイントの関連付けの表示

次の表に、各ステップに必要なロールを示します。

機能 必要なロール
ファイアウォール エンドポイントの関連付けを作成する

ファイアウォール エンドポイントの関連付けが作成されるプロジェクトに対する compute.networkAdmin ロール。

組織に対する compute.networkUser ロール。これは、ユーザーが管理者である VPC をエンドポイントに関連付ける権限を表します。エンドポイントは組織固有のリソースですが、VPC オーナーによって所有されているとは限りません。

ファイアウォール エンドポイントの関連付けを変更する(更新または削除) VPC ネットワークが存在するプロジェクトに対する compute.networkAdmin ロール。
プロジェクト内のファイアウォール エンドポイントの関連付けの詳細を表示する 組織に対する次のいずれかのロール:
compute.networkAdmin
compute.networkViewer
compute.networkUser
プロジェクト内のすべてのファイアウォール エンドポイントの関連付けを表示する 組織に対する次のいずれかのロール:
compute.networkAdmin
compute.networkViewer
compute.networkUser

割り当て

ファイアウォール エンドポイントに関連付けられた割り当てを表示するには、割り当てと上限をご覧ください。

料金

ファイアウォール エンドポイントの料金については、Cloud NGFW の料金をご覧ください。

次のステップ