Les fonctionnalités de Cloud Next Generation Firewall sont disponibles à trois niveaux : Essentials, Standard et Enterprise. Ces niveaux regroupent des fonctionnalités Cloud NGFW spécifiques en fonction de leur tarification.
Vous ne choisissez pas de niveau Cloud NGFW et ne vous y abonnez pas. Au lieu de cela, vous activez les fonctionnalités dont vous avez besoin dans vos règles de pare-feu, et Google Cloud vous facture en fonction des niveaux des fonctionnalités que vous utilisez. Vous n'êtes facturé pour un niveau supérieur que lorsque le trafic réseau est évalué par rapport à une règle qui utilise des fonctionnalités de ce niveau. Pour en savoir plus, consultez la section Tarifs de Cloud NGFW.
Ce document présente les niveaux Cloud NGFW et leurs fonctionnalités.
Niveaux et fonctionnalités de Cloud NGFW
Le système de niveaux Cloud NGFW est conçu pour vous offrir un contrôle précis de vos dépenses de sécurité. Vous pouvez appliquer des fonctionnalités de pare-feu de n'importe quel niveau à des stratégies de pare-feu hiérarchiques, des stratégies de pare-feu réseau globales et des stratégies de pare-feu réseau régionales.
Principes de base de Cloud NGFW
Cloud NGFW Essentials fournit des fonctionnalités de base, y compris une sécurité de référence et une segmentation interne.
Cloud NGFW Essentials inclut les fonctionnalités suivantes :
Les tags sécurisés permettent de microsegmenter et de contrôler avec précision vos Google Cloud ressources. Les tags sécurisés sont gérés de manière centralisée avec des ID uniques et un contrôle IAM strict. Vous pouvez référencer ces tags sécurisés dans les règles de pare-feu pour un contrôle des accès plus strict et uniforme dans vos régions, votre réseau et votre hiérarchie.
Les groupes d'adresses combinent plusieurs adresses IP et plages d'adresses IP en une seule unité logique nommée. Vous pouvez utiliser le même groupe d'adresses dans plusieurs règles de pare-feu pour définir des sources d'entrée ou des destinations de sortie.
Les règles de pare-feu VPC peuvent utiliser des tags réseau et des comptes de service pour filtrer le trafic entrant et sortant au niveau du réseau.
Cloud NGFW Standard
Le niveau Cloud NGFW Standard fournit des fonctionnalités avancées, telles que des objets de nom de domaine complet et des renseignements sur les menaces. Pour le niveau Standard, vous n'êtes facturé que pour le trafic nord-sud (trafic entre les instances de VM et Internet) évalué par les fonctionnalités du niveau Standard.
Cloud NGFW Standard inclut les fonctionnalités suivantes :
Les objets de nom de domaine complet vous permettent de définir des sources d'entrée ou des destinations de sortie à l'aide de noms de domaine au lieu d'adresses IP.
Les objets de géolocalisation vous permettent de définir des sources d'entrée ou des destinations de sortie à l'aide de la géolocalisation d'une adresse IP.
- Google Threat Intelligence vous permet de sécuriser votre réseau en autorisant ou en bloquant le trafic en fonction des listes de données Google Threat Intelligence. Les listes Google Threat Intelligence sont des collections d'adresses IP appartenant à des acteurs ou des systèmes malveillants, gérées par Google.
Cloud NGFW Enterprise
Cloud NGFW Enterprise inclut les fonctionnalités les plus avancées de Cloud NGFW. Pour le niveau Enterprise, vous êtes facturé pour le trafic nord-sud (trafic entre les instances de VM et Internet) et le trafic est-ouest (trafic entre les ressources d'un réseau VPC).
Lorsqu'une connexion est évaluée par une règle de stratégie de pare-feu contenant des fonctionnalités Cloud NGFW Enterprise, des frais supplémentaires vous sont facturés en fonction des composants suivants :
- Un tarif horaire pour chaque point de terminaison de pare-feu déployé.
- Un tarif par gigaoctet pour le trafic inspecté.
Cloud NGFW Enterprise inclut les fonctionnalités suivantes :
Service de détection et de prévention des intrusions basé sur les signatures avec interception et déchiffrement TLS (Transport Layer Security), qui assure la détection et la prévention des menaces contre les logiciels malveillants, les logiciels espions et les attaques de commande et de contrôle sur votre réseau.
Service de filtrage des URL avec inspection TLS (Transport Layer Security), qui vous permet de contrôler l'accès aux sites Web et aux pages Web en bloquant ou en autorisant leurs URL. Alors que le filtrage FQDN ne voit que l'adresse IP résolue au niveau du réseau, le filtrage des URL fonctionne au niveau de l'application pour inspecter le chemin d'URL complet. Cela vous permet de bloquer ou d'autoriser l'accès à des sites Web spécifiques et à des sous-pages individuelles, plutôt qu'à l'ensemble du domaine.
Catégorisation des fonctionnalités par niveau
Le tableau suivant récapitule les fonctionnalités Cloud NGFW et leur niveau de facturation.
| Fonctionnalité | Niveau |
| Inspection avec état | Essentials |
| Tags sécurisés | Essentials |
| Groupes d'adresses | Essentials |
| Règles de pare-feu VPC | Essentials |
| Objets de nom de domaine complet | Standard |
| Objets de géolocalisation | Standard |
| Renseignement sur les menaces | Standard |
| Service de détection et de prévention des intrusions | Enterprise |
| Service de filtrage des URL | Enterprise |
| Inspection TLS | Enterprise |
Tarifs
Chaque niveau Cloud NGFW est facturé différemment. Dans une stratégie de pare-feu, vous pouvez utiliser des règles avec des fonctionnalités d'un seul niveau ou combiner des règles avec des fonctionnalités de plusieurs niveaux. Lorsqu'une seule règle utilise des fonctionnalités de plusieurs niveaux, Google Cloud facture le trafic au tarif du niveau le plus élevé utilisé. Par exemple, si une règle de pare-feu inclut des fonctionnalités Standard et Enterprise, Cloud NGFW évalue le trafic correspondant au tarif Enterprise.
Cloud NGFW ne vous facture pas deux fois le même flux de trafic, même s'il est évalué par plusieurs règles. Vous payez principalement pour le traitement des données du trafic vers et depuis les instances de VM. Ces frais s'appliquent lorsqu'une règle de pare-feu évalue le trafic, qu'elle l'autorise ou le refuse.
Vous payez pour le traitement des données du trafic évalué par les règles de pare-feu contenant des fonctionnalités de différents niveaux. Pour comprendre la tarification dans différents scénarios, consultez la section Tarifs de Cloud NGFW.
Étape suivante
- Stratégies et règles de pare-feu
- Ordre d'évaluation des stratégies et des règles de pare-feu
- Règles prédéfinies pour les stratégies de pare-feu