L'endpoint firewall è una risorsa firewall di nuova generazione Cloud che abilita il livello 7 con funzionalità di protezione avanzate, come la prevenzione delle intrusioni nella rete.
Questa pagina fornisce una panoramica dettagliata degli endpoint firewall e dei loro le funzionalità di machine learning.
Specifiche
Un endpoint firewall è una risorsa organizzativa creata a livello di zona.
Gli endpoint firewall eseguono l'ispezione del firewall di livello 7 sull'intercettato per via del traffico.
Cloud Next Generation Firewall utilizza la tecnologia di intercettazione dei pacchetti di Google Cloud per reindirizzare trasparente il traffico dai carichi di lavoro Google Cloud in un la rete Virtual Private Cloud (VPC) agli endpoint firewall.
L'intercettazione dei pacchetti è una funzionalità di Google Cloud che inserisce in modo trasparente nel percorso del traffico di rete selezionato modificando i criteri di routing esistenti.
Cloud NGFW reindirizza il traffico dei carichi di lavoro in un dalla rete VPC all'endpoint firewall solo se il livello 7 l'ispezione è configurata per essere applicata a questo flusso.
Cloud NGFW aggiunge un identificatore di rete VPC a ogni pacchetto reindirizzato all'endpoint firewall per l'ispezione di livello 7. Se disponi più reti VPC con intervalli di indirizzi IP sovrapposti, questo identificatore di rete garantisce che ogni pacchetto reindirizzato sia associati alla sua rete VPC.
Puoi creare un endpoint firewall in una zona e collegarlo a uno o più Reti VPC per monitorare i carichi di lavoro nella stessa zona. Se le tue La rete VPC copre più zone, puoi collegare un firewall endpoint in ciascuna zona. Se non colleghi un endpoint firewall a un Rete VPC in una zona specifica, nessun livello 7 viene eseguita sul traffico dei carichi di lavoro per quella zona.
Utilizzi l'associazione degli endpoint firewall. per collegare un endpoint firewall a una rete VPC.
L'endpoint e i carichi di lavoro per i quali vuoi abilitare l'ispezione di livello 7 devono trovarsi nella stessa zona. Creazione dell'endpoint firewall nella stessa poiché i carichi di lavoro presentano i seguenti vantaggi:
Bassa latenza. Poiché gli endpoint firewall possono intercettare, ispezionare reiniettare il traffico nella rete, la latenza è inferiore di endpoint firewall in zone diverse.
Nessun traffico tra zone diverse. Mantenere il traffico all'interno della stessa zona riduce i costi.
Traffico più affidabile. Se mantieni il traffico all'interno della stessa zona, il rischio di interruzioni tra zone diverse.
Gli endpoint firewall possono elaborare fino a 2 Gbps di traffico con Transport Layer Ispezione di sicurezza (TLS) e 10 Gbps di traffico senza ispezione TLS. L'invio di una maggiore quantità di traffico può comportare la perdita di pacchetti. Per monitorare il firewall l'utilizzo della capacità dell'endpoint, metriche degli endpoint firewall.
Puoi eliminare un endpoint firewall solo quando non sono presenti reti VPC associate.
Google gestisce l'infrastruttura, il bilanciamento del carico, la scalabilità automatica ciclo di vita degli endpoint firewall. Quando crei un endpoint firewall, Google fornisce un insieme di istanze di macchine virtuali (VM) dedicate, garantisce l'isolamento di affidabilità, prestazioni e sicurezza per il tuo traffico, oltre alla gestione dei certificati.
Google offre alta disponibilità usando meccanismi di failover adeguati gli endpoint firewall, assicurando così una protezione firewall affidabile per tutti Istanze VM coperte all'interno della rete VPC collegata.
Associazioni di endpoint firewall
L'associazione degli endpoint firewall collega un endpoint firewall a un rete VPC nella stessa zona. Dopo aver definito questa associazione, Cloud NGFW inoltra il traffico dei carichi di lavoro a livello di zona una rete VPC che richiede l'ispezione di livello 7 all'infrastruttura dell'endpoint firewall.
Ruoli di Identity and Access Management
I ruoli IAM (Identity and Access Management) regolano le seguenti azioni per la gestione endpoint firewall:
- Creazione di un endpoint firewall in un'organizzazione
- Modifica o eliminazione di un endpoint firewall
- Visualizzazione dei dettagli di un endpoint firewall
- Visualizzazione di tutti gli endpoint firewall configurati in un'organizzazione
La tabella seguente descrive i ruoli necessari per ogni passaggio.
| Abilità | Ruolo necessario |
|---|---|
| Crea un nuovo endpoint firewall | compute.networkAdmin nell'organizzazione in cui viene creato l'endpoint firewall. |
| Modifica un endpoint firewall esistente | compute.networkAdmin dell'organizzazione. |
| Visualizza i dettagli sull'endpoint firewall in un'organizzazione | Uno dei seguenti ruoli per l'organizzazione: compute.networkAdmin compute.networkUser compute.networkViewer |
| Visualizza tutti gli endpoint firewall in un'organizzazione | Uno dei seguenti ruoli per l'organizzazione: compute.networkAdmin compute.networkUser compute.networkViewer |
I ruoli IAM regolano le seguenti azioni per associazioni di endpoint firewall:
- Creazione di un'associazione di endpoint firewall in un progetto
- Modifica o eliminazione di un'associazione di endpoint firewall
- Visualizzazione dei dettagli di un'associazione di endpoint firewall
- Visualizzazione di tutte le associazioni di endpoint firewall configurate in un progetto
La tabella seguente descrive i ruoli necessari per ogni passaggio.
| Abilità | Ruolo necessario |
|---|---|
| Crea un'associazione di endpoint firewall |
compute.networkAdmin sul progetto in cui viene creata l'associazione degli endpoint firewall. compute.networkUser nell'organizzazione, che rappresenta le autorizzazioni per associare VPC (di cui l'utente è amministratore) all'endpoint (una risorsa di proprietà dell'organizzazione, non necessariamente di proprietà del proprietario VPC). |
| Modificare (aggiornare o eliminare) le associazioni di endpoint firewall | compute.networkAdmin del progetto in cui esiste la rete VPC. |
| Visualizza i dettagli sull'associazione degli endpoint firewall in un progetto | Uno dei seguenti ruoli per l'organizzazione: compute.networkAdmin compute.networkViewer compute.networkUser |
| Visualizza tutte le associazioni di endpoint firewall in un progetto | Uno dei seguenti ruoli per l'organizzazione: compute.networkAdmin compute.networkViewer compute.networkUser |
Quote
Per visualizzare le quote associate agli endpoint firewall, consulta Quote e limiti.
Prezzi
I prezzi degli endpoint firewall sono descritti nei prezzi di Cloud Next Generation Firewall Enterprise.
Passaggi successivi
- Configura il servizio di prevenzione delle intrusioni
- Crea e gestisci gli endpoint firewall
- Crea e gestisci le associazioni di endpoint firewall