Endpoint Firewall adalah resource Firewall Generasi Berikutnya yang mengaktifkan kemampuan perlindungan lanjutan Lapisan 7, seperti pencegahan penyusupan, di jaringan Anda.
Halaman ini memberikan ringkasan mendetail tentang endpoint firewall dan kemampuannya.
Spesifikasi
Endpoint firewall adalah resource organisasi yang dibuat di tingkat zona.
Endpoint firewall melakukan pemeriksaan firewall Lapisan 7 pada traffic yang disadap.
Cloud Next Generation Firewall menggunakan teknologi pencegatan paket Google Cloud untuk mengalihkan traffic secara transparan dari workload Google Cloud di jaringan Virtual Private Cloud (VPC) ke endpoint firewall.
Intersepsi paket adalah kemampuan Google Cloud yang secara transparan menyisipkan peralatan jaringan mode proxy di jalur traffic jaringan yang dipilih tanpa mengubah kebijakan perutean yang ada.
Cloud NGFW mengalihkan traffic workload dalam jaringan VPC ke endpoint firewall hanya jika pemeriksaan Lapisan 7 dikonfigurasi di aturan kebijakan firewall.
Cloud NGFW menambahkan ID jaringan VPC ke setiap paket yang dialihkan ke endpoint firewall untuk pemeriksaan Lapisan 7. Jika Anda memiliki beberapa jaringan VPC dengan rentang alamat IP yang tumpang-tindih, ID jaringan ini membantu memastikan setiap paket yang dialihkan dikaitkan dengan benar ke jaringan VPC-nya.
Anda dapat membuat endpoint firewall di suatu zona dan memasangnya ke satu atau beberapa jaringan VPC untuk memantau beban kerja di zona yang sama. Jika jaringan VPC Anda mencakup beberapa zona, Anda dapat memasang satu endpoint firewall dengan VPC di setiap zona.
Anda menggunakan pengaitan endpoint firewall untuk memasang endpoint firewall ke jaringan VPC.
Endpoint dan beban kerja yang ingin Anda aktifkan pemeriksaan Lapisan 7 harus berada di zona yang sama. Membuat endpoint firewall di zona yang sama dengan beban kerja memiliki manfaat sebagai berikut:
Latensi lebih rendah. Karena endpoint firewall dapat mencegat, memeriksa, dan menolak traffic kembali ke jaringan, latensi lebih rendah daripada latensi endpoint firewall di zona berbeda.
Tidak ada traffic lintas zona. Menjaga lalu lintas dalam zona yang sama memastikan biaya yang lebih rendah.
Lalu lintas yang lebih dapat diandalkan. Mempertahankan traffic dalam zona yang sama akan menghilangkan risiko pemadaman lintas zona.
Anda dapat menghapus endpoint firewall hanya jika tidak ada jaringan VPC yang terkait dengannya.
Google mengelola infrastruktur, load balancing, penskalaan otomatis, dan siklus proses endpoint firewall. Saat Anda membuat endpoint firewall, Google menyediakan serangkaian instance virtual machine (VM) khusus, yang memastikan keandalan, performa, dan isolasi keamanan untuk traffic Anda, beserta pengelolaan sertifikat.
Google memberikan ketersediaan tinggi menggunakan mekanisme failover yang tepat untuk endpoint firewall, yang memastikan perlindungan firewall yang andal untuk semua instance VM yang tercakup dalam jaringan VPC yang terpasang.
Pengaitan endpoint firewall
Pengaitan endpoint firewall menautkan endpoint firewall ke jaringan VPC di zona yang sama. Setelah Anda menentukan pengaitan ini, Cloud NGFW akan meneruskan traffic beban kerja zona di jaringan VPC Anda yang memerlukan pemeriksaan Lapisan 7 ke endpoint firewall yang terpasang.
Peran Identity and Access Management
Peran Identity and Access Management (IAM) mengatur tindakan berikut dalam mengelola endpoint firewall:
- Membuat endpoint firewall di organisasi
- Memodifikasi atau menghapus endpoint firewall
- Melihat detail endpoint firewall
- Melihat semua endpoint firewall yang dikonfigurasi dalam organisasi
Tabel berikut menjelaskan peran yang diperlukan untuk setiap langkah.
Kemampuan | Peran yang diperlukan |
---|---|
Membuat endpoint firewall baru | peran compute.networkAdmin di organisasi tempat endpoint firewall dibuat. |
Mengubah endpoint firewall yang ada | compute.networkAdmin di organisasi. |
Melihat detail tentang endpoint firewall dalam organisasi | Salah satu peran berikut untuk organisasi: compute.networkAdmin compute.networkUser compute.networkViewer |
Melihat semua endpoint firewall dalam organisasi | Salah satu peran berikut untuk organisasi: compute.networkAdmin compute.networkUser compute.networkViewer |
Peran IAM mengatur tindakan berikut untuk asosiasi endpoint firewall:
- Membuat pengaitan endpoint firewall dalam sebuah project
- Memodifikasi atau menghapus pengaitan endpoint firewall
- Melihat detail pengaitan endpoint firewall
- Melihat semua asosiasi endpoint firewall yang dikonfigurasi dalam sebuah project
Tabel berikut menjelaskan peran yang diperlukan untuk setiap langkah.
Kemampuan | Peran yang diperlukan |
---|---|
Membuat pengaitan endpoint firewall |
Peran compute.networkAdmin pada project tempat pengaitan endpoint firewall dibuat. Peran compute.networkUser pada organisasi, yang mewakili izin untuk mengaitkan VPC (pengguna sebagai administratornya) ke endpoint (yang merupakan resource milik organisasi, tidak harus dimiliki oleh pemilik VPC). |
Mengubah (memperbarui atau menghapus) pengaitan endpoint firewall | compute.networkAdmin pada project tempat jaringan VPC berada. |
Melihat detail tentang pengaitan endpoint firewall dalam sebuah project | Salah satu peran berikut untuk organisasi: compute.networkAdmin compute.networkViewer compute.networkUser |
Melihat semua pengaitan endpoint firewall dalam sebuah project | Salah satu peran berikut untuk organisasi: compute.networkAdmin compute.networkViewer compute.networkUser |
Kuota
Untuk melihat kuota yang terkait dengan endpoint firewall, lihat Kuota dan batas.
Harga
Harga untuk endpoint firewall dijelaskan dalam harga Cloud Next Generation Firewall Enterprise.
Langkah selanjutnya
- Mengonfigurasi layanan pencegahan penyusupan
- Membuat dan mengelola endpoint firewall
- Membuat dan mengelola pengaitan endpoint firewall