Las funciones de Cloud Next Generation Firewall están disponibles en tres niveles: Essentials, Standard y Enterprise. Estos niveles agrupan capacidades específicas de Cloud NGFW según sus precios.
No eliges ni te suscribes a un nivel de Cloud NGFW. En cambio, habilitas las funciones que necesitas en tus reglas de firewall y te cobra según los niveles de las funciones que usas.Google Cloud Solo incurres en cargos por un nivel superior cuando el tráfico de red se evalúa con una regla que usa funciones de ese nivel. Para obtener más información, consulta Precios de Cloud NGFW.
En este documento, se proporciona una descripción general de los niveles de Cloud NGFW y sus funciones.
Niveles y funciones de Cloud NGFW
El sistema de niveles de Cloud NGFW está diseñado para brindarte un control detallado sobre tu inversión en seguridad. Puedes aplicar capacidades de firewall de cualquier nivel a políticas de firewall jerárquicas, políticas de firewall de red globales y políticas de firewall de red regionales.
Cloud NGFW Essentials
Cloud NGFW Essentials proporciona funciones fundamentales, incluida la seguridad de referencia y la segmentación interna.
Cloud NGFW Essentials incluye las siguientes funciones:
Las etiquetas seguras proporcionan microsegmentación y control detallado de tus Google Cloud recursos. Las etiquetas seguras se administran de forma centralizada con IDs únicos y un control de IAM estricto. Puedes hacer referencia a estas etiquetas seguras en las reglas de firewall para un control de acceso más estricto y uniforme en tus regiones, redes y jerarquías.
Los grupos de direcciones combinan varias direcciones IP y rangos de IP en una sola unidad lógica con nombre. Puedes usar el mismo grupo de direcciones en varias reglas de firewall para definir fuentes de entrada o destinos de salida.
Las reglas de firewall de VPC pueden usar etiquetas de red y cuentas de servicio para filtrar el tráfico entrante y saliente a nivel de red.
Cloud NGFW Standard
El nivel Cloud NGFW Standard proporciona funciones avanzadas, como objetos de nombre de dominio completamente calificados (FQDN) y Threat Intelligence. En el nivel Standard, solo se te cobra por el tráfico norte-sur (tráfico entre instancias de VM e Internet) por el tráfico que evalúan las funciones del nivel Standard.
Cloud NGFW Standard incluye las siguientes funciones:
Los objetos de nombre de dominio completamente calificados (FQDN) te permiten definir fuentes de entrada o destinos de salida con nombres de dominio en lugar de direcciones IP.
Los objetos de ubicación geográfica te permiten definir fuentes de entrada o destinos de salida con la ubicación geográfica de una dirección IP.
- Google Threat Intelligence te permite proteger tu red, ya que permite o bloquea el tráfico según las listas de datos de Google Threat Intelligence. Las listas de Google Threat Intelligence son colecciones de direcciones IP que mantiene Google y que pertenecen a sistemas o actores de amenazas.
Cloud NGFW Enterprise
Cloud NGFW Enterprise incluye las funciones más avanzadas de Cloud NGFW. En el nivel Enterprise, se te cobra por el tráfico norte-sur (tráfico entre instancias de VM e Internet) y el tráfico este-oeste (tráfico entre recursos dentro de una red de VPC).
Cuando una regla de política de firewall que contiene funciones de Cloud NGFW Enterprise evalúa una conexión, incurres en cargos adicionales según los siguientes componentes:
- Un cargo por hora por cada extremo de firewall implementado
- Un cargo por gigabyte por el tráfico inspeccionado
Cloud NGFW Enterprise incluye las siguientes funciones:
Servicio de detección y prevención de intrusiones basado en firmas con interceptación y desencriptación de seguridad de la capa de transporte (TLS), que proporciona detección y prevención de amenazas de software malicioso, software espía y ataques de comando y control en tu red
Servicio de filtrado de URLs con inspección de seguridad de la capa de transporte (TLS), que te permite controlar el acceso a sitios web y páginas web bloqueando o permitiendo sus URLs. Si bien el filtrado de FQDN solo ve la dirección IP resuelta en la capa de red, el filtrado de URLs opera en la capa de aplicación para inspeccionar la ruta de URL completa. Esto te permite bloquear o permitir el acceso a sitios web específicos y subpáginas individuales, en lugar de solo el dominio completo.
Categorización de funciones por nivel
En la siguiente tabla, se resumen las funciones de Cloud NGFW y su nivel de facturación.
| Función | Nivel |
| Inspección con estado | Essentials |
| Etiquetas seguras | Essentials |
| Grupos de direcciones | Essentials |
| Reglas de firewall de VPC | Essentials |
| Objetos FQDN | Standard |
| Objetos de ubicación geográfica | Standard |
| Inteligencia contra amenazas | Standard |
| Servicio de detección y prevención de intrusiones | Enterprise |
| Servicio de filtrado de URLs | Enterprise |
| Inspección de TLS | Enterprise |
Precios
Cada nivel de Cloud NGFW tiene un precio diferente. En una política de firewall, puedes usar reglas con funciones de un solo nivel o combinar reglas con funciones de varios niveles. Cuando una sola regla usa funciones de varios niveles, Google Cloud factura el tráfico a la tarifa del nivel más alto usado. Por ejemplo, si una regla de firewall incluye funciones de Standard y Enterprise, Cloud NGFW evalúa el tráfico coincidente a la tarifa de Enterprise.
Cloud NGFW no te cobra dos veces por el mismo flujo de tráfico, incluso si varias reglas evalúan el flujo. Pagas principalmente por el procesamiento de datos del tráfico hacia y desde las instancias de VM. Estos cargos se aplican cuando una regla de firewall evalúa el tráfico, independientemente de si la regla lo permite o lo rechaza.
Pagas por el procesamiento de datos del tráfico que evalúan las reglas de firewall que contienen funciones de diferentes niveles. Para comprender los precios de diferentes situaciones, consulta Precios de Cloud NGFW de Cloud NGFW.
¿Qué sigue?
- Políticas y reglas de firewall
- Orden de evaluación de las políticas y reglas de firewall
- Reglas predefinidas para políticas de firewall