Le funzionalità di Cloud Next Generation Firewall sono disponibili in tre livelli: Essentials, Standard e Aziende. Questi livelli raggruppano funzionalità specifiche di Cloud NGFW in base ai prezzi.
Non devi scegliere o abbonarti a un livello di Cloud NGFW. Devi invece attivare le funzionalità di cui hai bisogno nelle regole firewall e Google Cloud ti verranno addebitati costi in base ai livelli delle funzionalità che utilizzi. Ti vengono addebitati costi per un livello superiore solo quando il traffico di rete viene valutato in base a una regola che utilizza le funzionalità di quel livello. Per ulteriori informazioni, consulta i prezzi di Cloud NGFW.
Questo documento fornisce una panoramica dei livelli di Cloud NGFW e delle relative funzionalità.
Livelli e funzionalità di Cloud NGFW
Il sistema di livelli di Cloud NGFW è progettato per offrirti un controllo granulare della spesa per la sicurezza. Puoi applicare le funzionalità firewall di qualsiasi livello a policy firewall gerarchiche, policy firewall di rete globali e policy firewall di rete regionali.
Cloud NGFW Essentials
Cloud NGFW Essentials fornisce funzionalità di base, tra cui la sicurezza di base e la segmentazione interna.
Cloud NGFW Essentials include le seguenti funzionalità:
I tag protetti forniscono microsegmentazione e controllo granulare delle Google Cloud risorse. I tag protetti vengono gestiti centralmente con ID univoci e un rigoroso controllo IAM. Puoi fare riferimento a questi tag protetti nelle regole firewall per controllo dell'accesso più rigoroso e uniforme tra regioni, rete e gerarchia.
I gruppi di indirizzi combinano più indirizzi IP e intervalli IP in una singola unità logica denominata. Puoi utilizzare lo stesso gruppo di indirizzi in più regole firewall per definire le origini in entrata o le destinazioni in uscita.
Le regole firewall VPC possono utilizzare tag di rete e service account per filtrare il traffico in entrata e in uscita a livello di rete.
Cloud NGFW Standard
Il livello Cloud NGFW Standard fornisce funzionalità avanzate, come gli oggetti basati sul nome di dominio completo (FQDN) e la threat intelligence. Per il livello Standard, ti vengono addebitati costi solo per il traffico nord-sud (tra le istanze VM e internet) per il traffico valutato dalle funzionalità del livello Standard.
Cloud NGFW Standard include le seguenti funzionalità:
Gli oggetti basati sul nome di dominio completo (FQDN) ti consentono di definire le origini in entrata o le destinazioni in uscita utilizzando i nomi di dominio anziché gli indirizzi IP.
Gli oggetti di geolocalizzazione ti consentono di definire le origini in entrata o le destinazioni in uscita utilizzando la geolocalizzazione di un indirizzo IP
- Google Threat Intelligence ti consente di proteggere la tua rete consentendo o bloccando il traffico in base agli elenchi di dati di Google Threat Intelligence. Gli elenchi di Google Threat Intelligence sono raccolte di indirizzi IP gestite da Google appartenenti a soggetti o sistemi malintenzionati.
Cloud NGFW Enterprise
Cloud NGFW Enterprise include le funzionalità più avanzate di Cloud NGFW. Per il livello Enterprise, ti vengono addebitati costi sia per il traffico nord-sud (tra le istanze VM e internet) sia per il traffico est-ovest (tra le risorse all'interno di una rete VPC).
Quando una connessione viene valutata da una regola di policy del firewall contenente le funzionalità di Cloud NGFW Enterprise, ti vengono addebitati costi aggiuntivi in base ai seguenti componenti:
- Un costo orario per ogni endpoint firewall di cui è stato eseguito il deployment.
- Un costo per gigabyte per il traffico ispezionato.
Cloud NGFW Enterprise include le seguenti funzionalità:
Servizio di rilevamento e prevenzione delle intrusioni basato sulle firme con intercettazione e decriptazione TLS (Transport Layer Security), che fornisce il rilevamento e la prevenzione delle minacce da malware, spyware e attacchi command-and-control sulla tua rete.
Servizio di filtro degli URL con ispezione TLS (Transport Layer Security), che ti consente di controllare l'accesso a siti web e pagine web bloccando o consentendo i relativi URL. Mentre il filtro FQDN vede solo l'indirizzo IP risolto a livello di rete, il filtro degli URL opera a livello di applicazione per ispezionare il percorso dell'URL completo. In questo modo puoi bloccare o consentire l'accesso a siti web specifici e a singole sottopagine, anziché all'intero dominio.
Categorizzazione delle funzionalità per livello
La tabella seguente riepiloga le funzionalità di Cloud NGFW e il relativo livello di fatturazione.
| Funzionalità | Livello |
| Ispezione stateful | Essentials |
| Tag protetti | Essentials |
| Gruppi di indirizzi | Essentials |
| Regole firewall VPC | Essentials |
| Oggetti basati sul nome di dominio completo (FQDN) | Standard |
| Oggetti di geolocalizzazione | Standard |
| Threat intelligence | Standard |
| Servizio di rilevamento e prevenzione delle intrusioni | Aziende |
| Servizio di filtro degli URL | Aziende |
| Ispezione TLS | Aziende |
Prezzi
Ogni livello di Cloud NGFW ha un prezzo diverso. In una policy del firewall, puoi utilizzare regole con funzionalità di un singolo livello o combinare regole con funzionalità di più livelli. Quando una singola regola utilizza funzionalità di più livelli, Google Cloud il traffico viene fatturato alla tariffa del livello più alto utilizzato. Ad esempio, se una regola firewall include sia le funzionalità Standard sia quelle Enterprise, Cloud NGFW valuta il traffico corrispondente alla tariffa Enterprise.
Cloud NGFW non ti addebita due volte lo stesso flusso di traffico, anche se il flusso viene valutato da più regole. Paghi principalmente per l'elaborazione dei dati del traffico da e verso le istanze VM. Questi addebiti si applicano quando una regola firewall valuta il traffico, indipendentemente dal fatto che la regola lo consenta o lo neghi.
Paghi per l'elaborazione dei dati del traffico valutato dalle regole firewall contenenti funzionalità di livelli diversi. Per comprendere i prezzi per diversi scenari, consulta i prezzi di Cloud NGFW.
Passaggi successivi
- Policy e regole firewall
- Ordine di valutazione per policy e regole firewall
- Regole predefinite per le policy firewall