Informações gerais sobre o endpoint de firewall

O endpoint de firewall é um recurso do Cloud Firewall que ativa recursos avançados de proteção da camada 7, como prevenção contra invasões, na sua rede.

Nesta página, você encontra informações detalhadas dos endpoints de firewall e dos recursos deles.

Especificações

  • Um endpoint de firewall é um recurso organizacional criado no nível zonal.

  • Os endpoints de firewall executam uma inspeção de firewall da camada 7 no tráfego interceptado.

  • O Cloud Firewall usa a tecnologia de interceptação de pacotes do Google Cloud para redirecionar de maneira transparente o tráfego das cargas de trabalho do Google Cloud em uma rede de nuvem privada virtual (VPC) para os endpoints de firewall.

    A interceptação de pacotes é um recurso do Google Cloud que insere dispositivos de rede de maneira transparente no caminho do tráfego de rede selecionado, sem modificar as políticas de roteamento atuais.

  • O Cloud NGFW redirecionará o tráfego da carga de trabalho em uma rede VPC para o endpoint do firewall somente se a inspeção da camada 7 estiver configurada para ser aplicada a esse fluxo.

  • O Cloud NGFW adiciona um identificador de rede VPC a cada pacote redirecionado ao endpoint do firewall para inspeção da camada 7. Se você tiver várias redes VPC com intervalos de endereços IP sobrepostos, esse identificador de rede ajudará a garantir que cada pacote redirecionado esteja corretamente associado à respectiva rede VPC.

  • É possível criar um endpoint de firewall em uma zona e anexá-lo a uma ou mais redes VPC para monitorar cargas de trabalho na mesma zona. Se a rede VPC abrange várias zonas, é possível anexar um endpoint de firewall em cada zona. Se você não anexar um endpoint de firewall a uma rede VPC em uma zona específica, nenhuma inspeção da camada 7 será executada no tráfego de carga de trabalho dessa zona.

    Use a associação de endpoints de firewall para anexar um endpoint de firewall a uma rede VPC.

  • O endpoint e as cargas de trabalho em que você quer ativar a inspeção da camada 7 precisam estar na mesma zona. A criação do endpoint de firewall na mesma zona das cargas de trabalho tem os seguintes benefícios:

    • Latência menor. Como os endpoints de firewall podem interceptar, inspecionar e reinjetar o tráfego na rede, a latência é menor do que a de endpoints de firewall em zonas diferentes.

    • Sem tráfego entre zonas. Manter o tráfego dentro da mesma zona garante custos menores.

    • Tráfego mais confiável. Manter o tráfego dentro da mesma zona remove o risco de interrupções entre zonas.

  • Os endpoints do firewall podem processar até 2 Gbps de tráfego com a inspeção Transport Layer Security (TLS) e 10 Gbps de tráfego sem inspeção TLS. O envio de mais tráfego pode resultar na perda de pacotes. Para monitorar a utilização da capacidade do endpoint de firewall, consulte Métricas do endpoint de firewall.

  • Só é possível excluir um endpoint de firewall quando não há redes VPC associadas a ele.

  • O Google gerencia a infraestrutura, o balanceamento de carga, o escalonamento automático e o ciclo de vida dos endpoints de firewall. Quando você cria um endpoint de firewall, o Google fornece um conjunto de instâncias de máquina virtual (VM) dedicadas que garantem confiabilidade, desempenho e isolamento de segurança para seu tráfego, com o gerenciamento de certificados.

  • O Google oferece alta disponibilidade usando mecanismos de failover apropriados para os endpoints de firewall, o que garante uma proteção de firewall confiável para todas as instâncias de VM cobertas na rede VPC anexada.

Associações de endpoint de firewall

A associação de endpoints de firewall vincula um endpoint de firewall a uma rede VPC na mesma zona. Depois que você define essa associação, o Cloud Firewall encaminha o tráfego da carga de trabalho zonal em sua rede VPC que requer a inspeção da camada 7 para o endpoint do firewall anexado.

Papéis do Identity and Access Management

Os papéis de Identity and Access Management (IAM) controlam as seguintes ações para gerenciar os endpoints de firewall:

  • Como criar um endpoint de firewall em uma organização
  • Como modificar ou excluir um endpoint de firewall
  • Como visualizar detalhes de um endpoint de firewall
  • Como visualizar todos os endpoints de firewall configurados em uma organização

Veja na tabela a seguir os papéis necessários para cada etapa.

Habilidade Papel necessário
Criar um novo endpoint de firewall Papel compute.networkAdmin na organização em que o endpoint de firewall foi criado.
Modificar um endpoint de firewall existente Papel compute.networkAdmin na organização.
Visualizar detalhes sobre o endpoint de firewall em uma organização Qualquer um dos seguintes papéis na organização:
compute.networkAdmin
compute.networkUser
compute.networkViewer
Visualizar todos os endpoints de firewall de uma organização Qualquer um dos seguintes papéis na organização:
compute.networkAdmin
compute.networkUser
compute.networkViewer

Os papéis de IAM controlam as seguintes ações para as associações de endpoints de firewall:

  • Como criar uma associação de endpoint de firewall em um projeto
  • Como modificar ou excluir uma associação de endpoint de firewall
  • Como visualizar detalhes de uma associação de endpoint de firewall
  • Como visualizar todas as associações de endpoints de firewall configurados em um projeto

Veja na tabela a seguir os papéis necessários para cada etapa.

Habilidade Papel necessário
Criar uma associação de endpoint de firewall

Papel compute.networkAdmin no projeto em que a associação de endpoint do firewall foi criada.

Papel compute.networkUser na organização, que representa permissões para associar a VPC (que tem o usuário como administrador) ao endpoint (que é um recurso de propriedade de organização, não necessariamente de propriedade do proprietário da VPC).

Modificar (atualizar ou excluir) as associações de pontos de extremidade do firewall Papel compute.networkAdmin no projeto em que a rede VPC existe.
Visualizar detalhes sobre a associação de endpoints de firewall em um projeto Qualquer um dos seguintes papéis na organização:
compute.networkAdmin
compute.networkViewer
compute.networkUser
Visualizar todas as associações de endpoints de firewall em um projeto Qualquer um dos seguintes papéis na organização:
compute.networkAdmin
compute.networkViewer
compute.networkUser

Cotas

Para visualizar as cotas associadas aos endpoints de firewall, consulte Cotas e limites.

Preços

Os preços dos endpoints do firewall estão descritos na seção Preços de NGFW do Cloud.

A seguir