L'endpoint del firewall è una risorsa di firewall cloud che abilita funzionalità di protezione avanzata di livello 7, come la prevenzione delle intrusioni, nella rete.
Questa pagina fornisce una panoramica dettagliata degli endpoint firewall e delle loro funzionalità.
Specifiche
Un endpoint firewall è una risorsa dell'organizzazione creata a livello di zona.
Gli endpoint firewall eseguono l'ispezione del firewall di livello 7 sul traffico intercettato.
Cloud Firewall utilizza la tecnologia per l'intercettazione dei pacchetti di Google Cloud per reindirizzare in modo trasparente il traffico dai carichi di lavoro di Google Cloud in una rete Virtual Private Cloud (VPC) agli endpoint firewall.
Pacchetto intercettazione è una funzionalità di Google Cloud che inserisce in modo trasparente le appliance di rete in modalità proxy nel percorso del traffico di rete selezionato senza modificare i criteri di routing esistenti.
Cloud Firewall reindirizza il traffico del carico di lavoro in una rete VPC all'endpoint firewall solo se il controllo di livello 7 è configurato nelle regole dei criteri firewall.
Puoi creare un endpoint firewall in una zona e collegarlo a una o più reti VPC per monitorare i carichi di lavoro nella stessa zona. Se la tua rete VPC copre più zone, puoi collegare un endpoint firewall con il VPC in ogni zona.
Puoi utilizzare l'associazione endpoint firewall per collegare un endpoint firewall a una rete VPC.
L'endpoint e i carichi di lavoro per cui vuoi abilitare l'ispezione del livello 7 devono trovarsi nella stessa zona. La creazione dell'endpoint del firewall nella stessa zona dei carichi di lavoro offre i seguenti vantaggi:
Latenza più bassa. Poiché gli endpoint firewall possono intercettare, ispezionare e reinserire il traffico nella rete, la latenza è inferiore a quella degli endpoint firewall in zone diverse.
Nessun traffico tra zone. Mantenere il traffico all'interno della stessa zona garantisce costi inferiori.
Traffico più affidabile. Mantenere il traffico all'interno della stessa zona elimina il rischio di interruzioni tra zone.
Puoi eliminare un endpoint firewall solo se non sono associate reti VPC.
Google gestisce l'infrastruttura, il bilanciamento del carico, la scalabilità automatica e il ciclo di vita degli endpoint firewall. Quando crei un endpoint firewall, Google fornisce un insieme di istanze di macchine virtuali (VM) dedicate, che garantiscono affidabilità, prestazioni e isolamento di sicurezza per il tuo traffico, insieme alla gestione dei certificati.
Google offre disponibilità elevata utilizzando meccanismi di failover adeguati per gli endpoint firewall, il che garantisce una protezione firewall affidabile per tutte le istanze VM coperte nella rete VPC collegata.
Associazioni di endpoint firewall
L'associazione dell'endpoint firewall collega un endpoint firewall a una rete VPC nella stessa zona. Dopo aver definito questa associazione, Cloud Firewall inoltra il traffico dei carichi di lavoro a livello di zona nella rete VPC che richiede l'ispezione del livello 7 all'endpoint del firewall di destinazione.
Ruoli Identity and Access Management
I ruoli IAM (Identity and Access Management) regolano le seguenti azioni per la gestione degli endpoint di firewall:
- Creazione di un endpoint firewall in un'organizzazione
- Modifica o eliminazione di un endpoint firewall
- Visualizzazione dei dettagli di un endpoint firewall
- Visualizzazione di tutti gli endpoint firewall configurati in un'organizzazione
Nella tabella seguente sono descritti i ruoli necessari per ogni passaggio.
| Abilità | Ruolo necessario |
|---|---|
| Crea un nuovo endpoint firewall | compute.networkAdmin sull'organizzazione in cui viene creato l'endpoint firewall. |
| Modifica un endpoint firewall esistente | compute.networkAdmin sull'organizzazione. |
| Visualizza i dettagli dell'endpoint firewall in un'organizzazione | Uno qualsiasi dei seguenti ruoli per l'organizzazione: compute.networkAdmin compute.networkUser compute.networkViewer |
| Visualizza tutti gli endpoint firewall in un'organizzazione | Uno qualsiasi dei seguenti ruoli per l'organizzazione: compute.networkAdmin compute.networkUser compute.networkViewer |
I ruoli IAM regolano le seguenti azioni per le associazioni di endpoint firewall:
- Creazione di un'associazione di endpoint firewall in un progetto
- Modifica o eliminazione di un'associazione endpoint firewall
- Visualizzazione dei dettagli di un'associazione di endpoint firewall
- Visualizzazione di tutte le associazioni di endpoint firewall configurate in un progetto
Nella tabella seguente sono descritti i ruoli necessari per ogni passaggio.
| Abilità | Ruolo necessario |
|---|---|
| Crea un'associazione di endpoint firewall |
Ruolo compute.networkAdmin sul progetto in cui viene creata l'associazione dell'endpoint firewall. Ruolo compute.networkUser nell'organizzazione, che rappresenta le autorizzazioni per associare il VPC (di cui l'utente è un amministratore) all'endpoint (una risorsa di proprietà dell'organizzazione, non necessariamente di proprietà del proprietario del VPC). |
| Modifica (aggiorna o elimina) le associazioni di endpoint firewall | Ruolo compute.networkAdmin sul progetto in cui la rete VPC esiste. |
| Visualizza i dettagli sull'associazione dell'endpoint firewall in un progetto | Uno qualsiasi dei seguenti ruoli per l'organizzazione: compute.networkAdmin compute.networkViewer compute.networkUser |
| Visualizza tutte le associazioni di endpoint firewall in un progetto | Uno qualsiasi dei seguenti ruoli per l'organizzazione: compute.networkAdmin compute.networkViewer compute.networkUser |
Quote
Per visualizzare le quote associate agli endpoint firewall, consulta Quote e limiti.
Prezzi
I prezzi degli endpoint firewall sono descritti nei prezzi di Cloud Firewall Plus.