Concepts Cloud NGFW

Vous pouvez utiliser Cloud Next Generation Firewall pour protéger vos charges de travail contre les menaces externes provenant d'Internet et les menaces internes au sein de votre réseau.

Ce document définit les concepts et termes clés qui expliquent comment Cloud NGFW fonctionne et évalue les règles.

Règles de stratégie de pare-feu

Dans Cloud NGFW, une règle de stratégie de pare-feu est l'unité fondamentale de la configuration de sécurité. Elle définit les critères permettant d'autoriser, de refuser ou d'inspecter le trafic. Pour en savoir plus, consultez la section Règles de stratégie de pare-feu.

Stratégies de pare-feu

Une stratégie de pare-feu est un conteneur qui regroupe plusieurs règles de pare-feu. Pour en savoir plus, consultez la section Stratégies de pare-feu.

Cloud NGFW est compatible avec les types de stratégies suivants, en fonction de leur emplacement dans la hiérarchie des ressources :

Lorsque vous créez une stratégie de pare-feu hiérarchique ou une stratégie de pare-feu réseau, Google Cloud ajoute des règles prédéfinies à la stratégie.

Association de stratégies de pare-feu

Avant de pouvoir utiliser les règles d'une stratégie de pare-feu, vous devez associer la stratégie à une ressource. La méthode d'association dépend du type de stratégie :

  • Stratégies de pare-feu hiérarchiques : associez des stratégies hiérarchiques à une Google Cloud organisation ou à un dossier.
  • Stratégies de pare-feu réseau mondiales : associez des stratégies de pare-feu réseau mondiales à un ou plusieurs réseaux VPC dans le même projet que la stratégie de pare-feu.
  • Stratégies de pare-feu réseau régionales : associez des stratégies de pare-feu réseau régionales à une seule région d'un ou plusieurs réseaux VPC dans le même projet que la stratégie de pare-feu.

Une fois que vous avez associé une stratégie de pare-feu à une ressource, les règles de la stratégie s'appliquent au trafic correspondant.

Fonctionnement de Cloud NGFW

Cloud NGFW évalue les règles de stratégie de pare-feu, les règles de pare-feu VPC et les actions implicites. Pour en savoir plus, consultez la section Ordre d'évaluation des stratégies et des règles de pare-feu.

Règles de pare-feu VPC

Les règles de pare-feu VPC vous permettent de gérer le trafic de la couche réseau (couches 3 et 4) pour un seul réseau VPC.

Les règles de pare-feu VPC offrent moins de fonctionnalités que les règles de stratégie de pare-feu. Nous vous recommandons d'utiliser des stratégies de pare-feu plutôt que des règles de pare-feu VPC. Pour plus d'informations, consultez la section Règles de pare-feu VPC.

Composants principaux d'une règle de stratégie de pare-feu

Pour configurer une règle de stratégie de pare-feu, définissez les composants suivants :

  • Direction : spécifie le sens du flux de trafic du point de vue de la ressource cible.

    • Entrée : indique si la règle de stratégie de pare-feu s'applique au trafic entrant. Pour en savoir plus, consultez la section Règles d'entrée.
    • Sortie : indique si la règle s'applique au trafic sortant. Pour en savoir plus, consultez la section Règles de sortie.
  • Priorité : entier unique qui détermine l'ordre d'évaluation des règles au sein d'une stratégie. Des entiers plus petits indiquent des priorités plus élevées. Pour en savoir plus, consultez la section Priorité.

  • Critères : conditions de correspondance pour un paquet réseau, telles que les protocoles, les adresses IP et les numéros de port.

  • Type de cible : type de Google Cloud ressource que la règle de pare-feu protège. Vous pouvez configurer des règles de stratégie de pare-feu pour qu'elles s'appliquent aux instances de machine virtuelle (VM) (par défaut) ou aux proxys Envoy gérés utilisés par les équilibreurs de charge d'application internes et les équilibreurs de charge réseau de proxy internes (aperçu).

  • Cible : applique la règle à des cibles spécifiques.

  • Source : obligatoire pour les règles d'entrée et facultative pour les règles de sortie. Pour en savoir plus, consultez la section Sources.

  • Destination : obligatoire pour les règles de sortie et facultative pour les règles d'entrée. Pour en savoir plus, consultez la section Destinations.

  • Protocole et ports : protocole de communication et ports de destination. Pour en savoir plus, consultez la section Protocoles et ports.

  • Action : action que Cloud NGFW effectue lorsqu'un paquet réseau correspond aux critères de la règle. Pour en savoir plus, consultez la section Action en cas de correspondance.

Pour explorer tous les composants de règle d'un réseau VPC standard, consultez la section Composants des règles de stratégie de pare-feu.

Niveaux de Cloud NGFW

Google Cloud organise les fonctionnalités de Cloud NGFW en plusieurs niveaux pour s'adapter aux différentes exigences de sécurité et de tarification. Pour en savoir plus, consultez la section Niveaux de Cloud NGFW.

Inspection de la couche réseau

Pour une protection de base, Cloud NGFW inspecte le trafic réseau aux couches 3 et 4 du modèle OSI (Open Systems Interconnection).

Tous les niveaux de Cloud NGFW utilisent un filtrage distribué et avec état des couches 3 et 4. Le pare-feu suit les états de connexion actifs et évalue les paquets par rapport à une table de suivi des connexions.

Inspection de la couche application

Pour une protection avancée, Cloud NGFW peut inspecter votre trafic au niveau de la couche application (couche 7) du modèle OSI. Cette inspection permet au pare-feu de prendre des décisions basées sur des données au niveau de l'application, plutôt que sur des adresses IP et des ports uniquement. L'inspection de la couche application inclut des services tels que le service de filtrage des URL et le service de détection et de prévention des intrusions. Les fonctionnalités d'inspection de la couche application ne sont disponibles que dans le niveau Cloud Next Generation Firewall Enterprise. Pour en savoir plus, consultez la section Présentation de l'inspection de la couche application.

Étape suivante