O endpoint de firewall é um recurso do Cloud Firewall que ativa recursos avançados de proteção da camada 7, como prevenção contra invasões, na sua rede.
Nesta página, você encontra informações detalhadas dos endpoints de firewall e dos recursos deles.
Especificações
Um endpoint de firewall é um recurso organizacional criado no nível zonal.
Os endpoints de firewall executam uma inspeção de firewall da camada 7 no tráfego interceptado.
O Cloud Firewall usa a tecnologia de interceptação de pacotes do Google Cloud para redirecionar de maneira transparente o tráfego das cargas de trabalho do Google Cloud em uma rede de nuvem privada virtual (VPC) para os endpoints de firewall.
A interceptação de pacotes é um recurso do Google Cloud que insere dispositivos de rede de maneira transparente no caminho do tráfego de rede selecionado, sem modificar as políticas de roteamento atuais.
O Cloud NGFW redirecionará o tráfego da carga de trabalho em uma rede VPC para o endpoint do firewall somente se a inspeção da camada 7 estiver configurada para ser aplicada a esse fluxo.
O Cloud NGFW adiciona um identificador de rede VPC a cada pacote redirecionado ao endpoint do firewall para inspeção da camada 7. Se você tiver várias redes VPC com intervalos de endereços IP sobrepostos, esse identificador de rede ajudará a garantir que cada pacote redirecionado esteja corretamente associado à respectiva rede VPC.
É possível criar um endpoint de firewall em uma zona e anexá-lo a uma ou mais redes VPC para monitorar cargas de trabalho na mesma zona. Se a rede VPC abrange várias zonas, é possível anexar um endpoint de firewall em cada zona. Se você não anexar um endpoint de firewall a uma rede VPC em uma zona específica, nenhuma inspeção da camada 7 será executada no tráfego de carga de trabalho dessa zona.
Use a associação de endpoints de firewall para anexar um endpoint de firewall a uma rede VPC.
O endpoint e as cargas de trabalho em que você quer ativar a inspeção da camada 7 precisam estar na mesma zona. A criação do endpoint de firewall na mesma zona das cargas de trabalho tem os seguintes benefícios:
Latência menor. Como os endpoints de firewall podem interceptar, inspecionar e reinjetar o tráfego na rede, a latência é menor do que a de endpoints de firewall em zonas diferentes.
Sem tráfego entre zonas. Manter o tráfego dentro da mesma zona garante custos menores.
Tráfego mais confiável. Manter o tráfego dentro da mesma zona remove o risco de interrupções entre zonas.
Os endpoints do firewall podem processar até 2 Gbps de tráfego com a inspeção Transport Layer Security (TLS) e 10 Gbps de tráfego sem inspeção TLS. O envio de mais tráfego pode resultar na perda de pacotes. Para monitorar a utilização da capacidade do endpoint de firewall, consulte Métricas do endpoint de firewall.
Só é possível excluir um endpoint de firewall quando não há redes VPC associadas a ele.
O Google gerencia a infraestrutura, o balanceamento de carga, o escalonamento automático e o ciclo de vida dos endpoints de firewall. Quando você cria um endpoint de firewall, o Google fornece um conjunto de instâncias de máquina virtual (VM) dedicadas que garantem confiabilidade, desempenho e isolamento de segurança para seu tráfego, com o gerenciamento de certificados.
O Google oferece alta disponibilidade usando mecanismos de failover apropriados para os endpoints de firewall, o que garante uma proteção de firewall confiável para todas as instâncias de VM cobertas na rede VPC anexada.
Associações de endpoint de firewall
A associação de endpoints de firewall vincula um endpoint de firewall a uma rede VPC na mesma zona. Depois que você define essa associação, o Cloud Firewall encaminha o tráfego da carga de trabalho zonal em sua rede VPC que requer a inspeção da camada 7 para o endpoint do firewall anexado.
Papéis do Identity and Access Management
Os papéis de Identity and Access Management (IAM) controlam as seguintes ações para gerenciar os endpoints de firewall:
- Como criar um endpoint de firewall em uma organização
- Como modificar ou excluir um endpoint de firewall
- Como visualizar detalhes de um endpoint de firewall
- Como visualizar todos os endpoints de firewall configurados em uma organização
Veja na tabela a seguir os papéis necessários para cada etapa.
| Habilidade | Papel necessário |
|---|---|
| Criar um novo endpoint de firewall | Papel compute.networkAdmin na organização em que o endpoint de firewall foi criado. |
| Modificar um endpoint de firewall existente | Papel compute.networkAdmin na organização. |
| Visualizar detalhes sobre o endpoint de firewall em uma organização | Qualquer um dos seguintes papéis na organização: compute.networkAdmin compute.networkUser compute.networkViewer |
| Visualizar todos os endpoints de firewall de uma organização | Qualquer um dos seguintes papéis na organização: compute.networkAdmin compute.networkUser compute.networkViewer |
Os papéis de IAM controlam as seguintes ações para as associações de endpoints de firewall:
- Como criar uma associação de endpoint de firewall em um projeto
- Como modificar ou excluir uma associação de endpoint de firewall
- Como visualizar detalhes de uma associação de endpoint de firewall
- Como visualizar todas as associações de endpoints de firewall configurados em um projeto
Veja na tabela a seguir os papéis necessários para cada etapa.
| Habilidade | Papel necessário |
|---|---|
| Criar uma associação de endpoint de firewall |
Papel compute.networkAdmin no projeto em que a associação de endpoint do firewall foi criada. Papel compute.networkUser na organização, que representa permissões para associar a VPC (que tem o usuário como administrador) ao endpoint (que é um recurso de propriedade de organização, não necessariamente de propriedade do proprietário da VPC). |
| Modificar (atualizar ou excluir) as associações de pontos de extremidade do firewall | Papel compute.networkAdmin no projeto em que a rede VPC existe. |
| Visualizar detalhes sobre a associação de endpoints de firewall em um projeto | Qualquer um dos seguintes papéis na organização: compute.networkAdmin compute.networkViewer compute.networkUser |
| Visualizar todas as associações de endpoints de firewall em um projeto | Qualquer um dos seguintes papéis na organização: compute.networkAdmin compute.networkViewer compute.networkUser |
Cotas
Para visualizar as cotas associadas aos endpoints de firewall, consulte Cotas e limites.
Preços
Os preços dos endpoints do firewall estão descritos na seção Preços de NGFW do Cloud.
A seguir
- Configurar o serviço de prevenção de invasões
- Criar e gerenciar endpoints de firewall
- Criar e gerenciar associações de endpoints de firewall