Endpoint firewall adalah resource Cloud Next Generation Firewall yang memungkinkan kemampuan perlindungan tingkat lanjut lapisan 7, seperti pencegahan intrusi, di jaringan Anda.
Halaman ini memberikan ringkasan mendetail tentang endpoint firewall dan kemampuannya.
Spesifikasi
Endpoint firewall adalah resource organisasi yang dibuat di tingkat zona.
Endpoint firewall melakukan pemeriksaan firewall Lapisan 7 pada traffic yang tertangkap.
Cloud Next Generation Firewall menggunakan teknologi intersepsi paket Google Cloud untuk mengarahkan traffic secara transparan dari workload Google Cloud di jaringan Virtual Private Cloud (VPC) ke endpoint firewall.
Intersepsi paket adalah kemampuan Google Cloud yang secara transparan menyisipkan perangkat jaringan di jalur traffic jaringan yang dipilih tanpa mengubah kebijakan perutean yang ada.
Cloud NGFW mengalihkan traffic beban kerja di jaringan VPC ke endpoint firewall hanya jika pemeriksaan Lapisan 7 dikonfigurasi untuk diterapkan ke alur ini.
Cloud NGFW menambahkan ID jaringan VPC ke setiap paket yang dialihkan ke endpoint firewall untuk inspeksi Lapisan 7. Jika Anda memiliki beberapa jaringan VPC dengan rentang alamat IP yang tumpang-tindih, ID jaringan ini membantu memastikan bahwa setiap paket yang dialihkan dikaitkan dengan jaringan VPC-nya dengan benar.
Anda dapat membuat endpoint firewall di zona dan melampirkan endpoint tersebut ke satu atau beberapa jaringan VPC untuk memantau beban kerja di zona yang sama. Jika jaringan VPC Anda mencakup beberapa zona, Anda dapat melampirkan satu endpoint firewall di setiap zona. Jika Anda tidak melampirkan endpoint firewall ke jaringan VPC di zona tertentu, tidak ada pemeriksaan Lapisan 7 yang dilakukan pada traffic workload untuk zona tersebut.
Anda menggunakan asosiasi endpoint firewall untuk memasang endpoint firewall ke jaringan VPC.
Endpoint dan workload yang ingin Anda aktifkan pemeriksaan Lapisan 7-nya harus berada di zona yang sama. Membuat endpoint firewall di zona yang sama dengan workload memiliki manfaat berikut:
Latensi yang lebih rendah. Karena endpoint firewall dapat mencegat, memeriksa, dan memasukkan kembali traffic ke dalam jaringan, latensi lebih rendah daripada endpoint firewall di zona yang berbeda.
Tidak ada traffic lintas zona. Menjaga traffic dalam zona yang sama akan memastikan biaya yang lebih rendah.
Traffic yang lebih andal. Mempertahankan traffic dalam zona yang sama akan menghilangkan risiko pemadaman lintas zona.
Endpoint firewall dapat memproses traffic hingga 2 Gbps dengan pemeriksaan Transport Layer Security (TLS), dan traffic 10 Gbps tanpa pemeriksaan TLS. Mengirim lebih banyak traffic dapat menyebabkan hilangnya paket. Untuk memantau penggunaan kapasitas endpoint firewall, lihat metrik endpoint firewall.
Anda dapat menghapus endpoint firewall hanya jika tidak ada jaringan VPC yang terkait dengannya.
Google mengelola infrastruktur, load balancing, penskalaan otomatis, dan siklus proses endpoint firewall. Saat Anda membuat endpoint firewall, Google menyediakan serangkaian instance virtual machine (VM) khusus, yang memastikan keandalan, performa, dan isolasi keamanan untuk traffic Anda, beserta pengelolaan sertifikat.
Google menyediakan ketersediaan tinggi dengan menggunakan mekanisme failover yang tepat untuk endpoint firewall, yang memastikan perlindungan firewall yang andal untuk semua instance VM yang tercakup dalam jaringan VPC yang terpasang.
Asosiasi endpoint firewall
Penautan endpoint firewall akan menautkan endpoint firewall ke jaringan VPC di zona yang sama. Setelah Anda menentukan pengaitan ini, Cloud NGFW akan meneruskan traffic workload zonal di jaringan VPC Anda yang memerlukan pemeriksaan Lapisan 7 ke endpoint firewall yang terpasang.
Peran Identity and Access Management
Peran Identity and Access Management (IAM) mengatur tindakan berikut untuk mengelola endpoint firewall:
- Membuat endpoint firewall di organisasi
- Mengubah atau menghapus endpoint firewall
- Melihat detail endpoint firewall
- Melihat semua endpoint firewall yang dikonfigurasi di organisasi
Tabel berikut menjelaskan peran yang diperlukan untuk setiap langkah.
| Kemampuan | Peran yang diperlukan |
|---|---|
| Membuat endpoint firewall baru | Peran compute.networkAdmin di organisasi tempat endpoint firewall dibuat. |
| Mengubah endpoint firewall yang ada | peran compute.networkAdmin di organisasi. |
| Melihat detail tentang endpoint firewall di organisasi | Salah satu peran berikut untuk organisasi: compute.networkAdmin compute.networkUser compute.networkViewer |
| Melihat semua endpoint firewall di organisasi | Salah satu peran berikut untuk organisasi: compute.networkAdmin compute.networkUser compute.networkViewer |
Peran IAM mengatur tindakan berikut untuk asosiasi endpoint firewall:
- Membuat pengaitan endpoint firewall dalam project
- Mengubah atau menghapus pengaitan endpoint firewall
- Melihat detail pengaitan endpoint firewall
- Melihat semua pengaitan endpoint firewall yang dikonfigurasi dalam project
Tabel berikut menjelaskan peran yang diperlukan untuk setiap langkah.
| Kemampuan | Peran yang diperlukan |
|---|---|
| Membuat pengaitan endpoint firewall |
Peran compute.networkAdmin di project tempat pengaitan endpoint firewall dibuat. Peran compute.networkUser di organisasi, yang mewakili izin untuk mengaitkan VPC (yang administratornya adalah pengguna) ke endpoint (yang merupakan resource milik organisasi, tidak harus dimiliki oleh pemilik VPC). |
| Mengubah (memperbarui atau menghapus) pengaitan endpoint firewall | peran compute.networkAdmin di project tempat jaringan VPC berada. |
| Melihat detail tentang pengaitan endpoint firewall dalam project | Salah satu peran berikut untuk organisasi: compute.networkAdmin compute.networkViewer compute.networkUser |
| Melihat semua pengaitan endpoint firewall dalam project | Salah satu peran berikut untuk organisasi: compute.networkAdmin compute.networkViewer compute.networkUser |
Kuota
Untuk melihat kuota yang terkait dengan endpoint firewall, lihat Kuota dan batas.
Harga
Harga untuk endpoint firewall dijelaskan dalam harga Cloud NGFW.
Langkah selanjutnya
- Mengonfigurasi layanan pencegahan penyusupan
- Membuat dan mengelola endpoint firewall
- Membuat dan mengelola pengaitan endpoint firewall