Vous pouvez utiliser Cloud Next Generation Firewall pour protéger vos charges de travail contre les menaces externes provenant d'Internet et les menaces internes au sein de votre réseau.
Ce document définit les concepts et termes clés qui expliquent comment Cloud NGFW fonctionne et évalue les règles.
Règles de stratégie de pare-feu
Dans Cloud NGFW, une règle de stratégie de pare-feu est l'unité fondamentale de la configuration de sécurité. Elle définit les critères permettant d'autoriser, de refuser ou d'inspecter le trafic. Pour en savoir plus, consultez la section Règles de stratégie de pare-feu.
Stratégies de pare-feu
Une stratégie de pare-feu est un conteneur qui regroupe plusieurs règles de pare-feu. Pour en savoir plus, consultez la section Stratégies de pare-feu.
Cloud NGFW est compatible avec les types de stratégies suivants, en fonction de leur emplacement dans la hiérarchie des ressources :
- Stratégies de pare-feu hiérarchiques : ces stratégies contiennent des règles définies au niveau de l'organisation ou du dossier pour plusieurs réseaux Virtual Private Cloud (VPC) dans un ou plusieurs projets.
- Stratégies de pare-feu réseau mondiales : ces stratégies contiennent des règles pour toutes les régions d'un réseau VPC spécifique.
- Stratégies de pare-feu réseau régionales : ces stratégies contiennent des règles pour une région spécifique d'un réseau VPC.
- Stratégies de pare-feu système régionales : ces stratégies contiennent des règles gérées par Google pour une région spécifique d'un réseau VPC. Vous ne pouvez pas modifier une règle dans une stratégie de pare-feu système régionale.
Lorsque vous créez une stratégie de pare-feu hiérarchique ou une stratégie de pare-feu réseau, Google Cloud ajoute des règles prédéfinies à la stratégie.
Association de stratégies de pare-feu
Avant de pouvoir utiliser les règles d'une stratégie de pare-feu, vous devez associer la stratégie à une ressource. La méthode d'association dépend du type de stratégie :
- Stratégies de pare-feu hiérarchiques : associez des stratégies hiérarchiques à une Google Cloud organisation ou à un dossier.
- Stratégies de pare-feu réseau mondiales : associez des stratégies de pare-feu réseau mondiales à un ou plusieurs réseaux VPC dans le même projet que la stratégie de pare-feu.
- Stratégies de pare-feu réseau régionales : associez des stratégies de pare-feu réseau régionales à une seule région d'un ou plusieurs réseaux VPC dans le même projet que la stratégie de pare-feu.
Une fois que vous avez associé une stratégie de pare-feu à une ressource, les règles de la stratégie s'appliquent au trafic correspondant.
Fonctionnement de Cloud NGFW
Cloud NGFW évalue les règles de stratégie de pare-feu, les règles de pare-feu VPC et les actions implicites. Pour en savoir plus, consultez la section Ordre d'évaluation des stratégies et des règles de pare-feu.
Règles de pare-feu VPC
Les règles de pare-feu VPC vous permettent de gérer le trafic de la couche réseau (couches 3 et 4) pour un seul réseau VPC.
Les règles de pare-feu VPC offrent moins de fonctionnalités que les règles de stratégie de pare-feu. Nous vous recommandons d'utiliser des stratégies de pare-feu plutôt que des règles de pare-feu VPC. Pour plus d'informations, consultez la section Règles de pare-feu VPC.
Composants principaux d'une règle de stratégie de pare-feu
Pour configurer une règle de stratégie de pare-feu, définissez les composants suivants :
Direction : spécifie le sens du flux de trafic du point de vue de la ressource cible.
- Entrée : indique si la règle de stratégie de pare-feu s'applique au trafic entrant. Pour en savoir plus, consultez la section Règles d'entrée.
- Sortie : indique si la règle s'applique au trafic sortant. Pour en savoir plus, consultez la section Règles de sortie.
Priorité : entier unique qui détermine l'ordre d'évaluation des règles au sein d'une stratégie. Des entiers plus petits indiquent des priorités plus élevées. Pour en savoir plus, consultez la section Priorité.
Critères : conditions de correspondance pour un paquet réseau, telles que les protocoles, les adresses IP et les numéros de port.
Type de cible : type de Google Cloud ressource que la règle de pare-feu protège. Vous pouvez configurer des règles de stratégie de pare-feu pour qu'elles s'appliquent aux instances de machine virtuelle (VM) (par défaut) ou aux proxys Envoy gérés utilisés par les équilibreurs de charge d'application internes et les équilibreurs de charge réseau de proxy internes (aperçu).
Cible : applique la règle à des cibles spécifiques.
Source : obligatoire pour les règles d'entrée et facultative pour les règles de sortie. Pour en savoir plus, consultez la section Sources.
Destination : obligatoire pour les règles de sortie et facultative pour les règles d'entrée. Pour en savoir plus, consultez la section Destinations.
Protocole et ports : protocole de communication et ports de destination. Pour en savoir plus, consultez la section Protocoles et ports.
Action : action que Cloud NGFW effectue lorsqu'un paquet réseau correspond aux critères de la règle. Pour en savoir plus, consultez la section Action en cas de correspondance.
Pour explorer tous les composants de règle d'un réseau VPC standard, consultez la section Composants des règles de stratégie de pare-feu.
Niveaux de Cloud NGFW
Google Cloud organise les fonctionnalités de Cloud NGFW en plusieurs niveaux pour s'adapter aux différentes exigences de sécurité et de tarification. Pour en savoir plus, consultez la section Niveaux de Cloud NGFW.
Inspection de la couche réseau
Pour une protection de base, Cloud NGFW inspecte le trafic réseau aux couches 3 et 4 du modèle OSI (Open Systems Interconnection).
Tous les niveaux de Cloud NGFW utilisent un filtrage distribué et avec état des couches 3 et 4. Le pare-feu suit les états de connexion actifs et évalue les paquets par rapport à une table de suivi des connexions.
Inspection de la couche application
Pour une protection avancée, Cloud NGFW peut inspecter votre trafic au niveau de la couche application (couche 7) du modèle OSI. Cette inspection permet au pare-feu de prendre des décisions basées sur des données au niveau de l'application, plutôt que sur des adresses IP et des ports uniquement. L'inspection de la couche application inclut des services tels que le service de filtrage des URL et le service de détection et de prévention des intrusions. Les fonctionnalités d'inspection de la couche application ne sont disponibles que dans le niveau Cloud Next Generation Firewall Enterprise. Pour en savoir plus, consultez la section Présentation de l'inspection de la couche application.
Étape suivante
- Pour obtenir des informations conceptuelles sur Cloud NGFW, consultez la section Présentation de Cloud NGFW.
- Pour obtenir des informations conceptuelles sur les règles de stratégie de pare-feu, consultez la section Composants des règles de stratégie de pare-feu.
- Pour créer, mettre à jour, surveiller ou supprimer des règles de pare-feu VPC, consultez la section Utiliser des règles de pare-feu VPC.
- Pour déterminer les coûts, consultez la section Tarifs de Cloud NGFW.