התכונות של Cloud Next Generation Firewall זמינות בשלוש רמות: Essentials, Standard ו-Enterprise. החבילות האלה מקבצות יכולות ספציפיות של Cloud NGFW לפי התמחור שלהן.
לא בוחרים מינוי או רמה של Cloud NGFW. במקום זאת, אתם מפעילים את התכונות שאתם צריכים בכללי חומת האש, ו-Google Cloud מחייבת אתכם על סמך רמות התכונות שבהן אתם משתמשים. תחויבו על רמה גבוהה יותר רק אם תנועת הרשת מוערכת לפי כלל שמשתמש בתכונות מהרמה הזו. מידע נוסף זמין במאמר בנושא תמחור של Cloud NGFW.
במסמך הזה מפורטת סקירה כללית של רמות השירות של Cloud NGFW והתכונות שלהן.
רמות ותכונות של Cloud NGFW
מערכת הרמות של Cloud NGFW נועדה לתת לכם שליטה מפורטת בהוצאות שלכם על אבטחה. אפשר להחיל יכולות של חומת אש מכל רמה על מדיניות חומת אש היררכית, על מדיניות חומת אש בין רשתות גלובליות ועל מדיניות חומת אש בין רשתות אזוריות.
Cloud NGFW Essentials
Cloud NGFW Essentials מספק תכונות בסיסיות, כולל אבטחה בסיסית ופילוח פנימי.
Cloud NGFW Essentials כולל את התכונות הבאות:
תגי אבטחה מספקים מיקרו-פילוח ושליטה פרטנית במשאבים שלכם ב- Google Cloud. תגים מאובטחים מנוהלים באופן מרכזי באמצעות מזהים ייחודיים ובקרה קפדנית של IAM. אתם יכולים להפנות לתגים המאובטחים האלה בכללי חומת האש כדי להגביר את השליטה בגישה בצורה אחידה באזורים, ברשת ובהיררכיה.
קבוצות כתובות משלבות כמה כתובות IP וטווחים של כתובות IP ליחידה לוגית אחת עם שם. אפשר להשתמש באותה קבוצת כתובות בכמה כללי חומת אש כדי להגדיר מקורות של תעבורת כניסה או יעדים של תעבורת יציאה.
כללי חומת אש של VPC יכולים להשתמש בתגי רשת ובחשבונות שירות כדי לסנן תעבורה נכנסת ויוצאת ברמת הרשת.
Cloud NGFW Standard
רמת השירות Cloud NGFW Standard מספקת תכונות מתקדמות, כמו אובייקטים של שמות דומיין שמוגדרים במלואם (FQDN) ומודיעין איומי סייבר. במסלול הרגיל, אתם מחויבים רק על תעבורת נתונים מצפון לדרום (תעבורת נתונים בין מופעים של מכונות וירטואליות לבין האינטרנט) עבור תעבורת הנתונים שנבדקת על ידי התכונות של המסלול הרגיל.
Cloud NGFW Standard כולל את התכונות הבאות:
אובייקטים של שם דומיין שמוגדר במלואו (FQDN) מאפשרים להגדיר מקורות של תעבורת נתונים נכנסת או יעדים של תעבורת נתונים יוצאת באמצעות שמות דומיין במקום כתובות IP.
אובייקטים של מיקום גיאוגרפי מאפשרים להגדיר מקורות כניסה או יעדי יציאה באמצעות המיקום הגיאוגרפי של כתובת IP.
- Google Threat Intelligence מאפשרת לכם לאבטח את הרשת על ידי התרה או חסימה של תנועה על סמך רשימות נתונים של Google Threat Intelligence. רשימות Google Threat Intelligence הן אוספים של כתובות IP ששייכות לגורמים או למערכות שמבצעים איומים, והן מתוחזקות על ידי Google.
Cloud NGFW Enterprise
Cloud NGFW Enterprise כולל את התכונות המתקדמות ביותר של Cloud NGFW. במסלול Enterprise, מחויבים על תעבורת נתונים מכל הכיוונים (תעבורה בין מכונות וירטואליות לאינטרנט) ותעבורה רוחבית (תעבורה בין משאבים ברשת VPC).
כשכלל במדיניות חומת אש שמכיל תכונות של Cloud NGFW Enterprise מעריך חיבור, אתם מחויבים בעלויות נוספות על סמך הרכיבים הבאים:
- חיוב שעתי על כל נקודת קצה של חומת אש שנפרסה.
- חיוב לפי גיגה-בייט על תעבורת הנתונים שנבדקת.
מהדורת Cloud NGFW Enterprise כוללת את התכונות הבאות:
שירות לגילוי ולמניעת חדירות שמבוסס על חתימות, עם יירוט ופענוח של אבטחת שכבת התעבורה (TLS), שמאפשר זיהוי ומניעה של איומים כמו תוכנות זדוניות, תוכנות ריגול ומתקפות להשגת שליטה ברשת.
שירות סינון כתובות URL עם בדיקה של Transport Layer Security (TLS), שמאפשר לכם לשלוט בגישה לאתרים ולדפי אינטרנט על ידי חסימה או אישור של כתובות ה-URL שלהם. בעוד שסינון FQDN רואה רק את כתובת ה-IP שנפתרה בשכבת הרשת, סינון כתובות URL פועל בשכבת האפליקציה כדי לבדוק את נתיב כתובת ה-URL המלא. כך תוכלו לחסום או לאשר גישה לאתרים ספציפיים ולדפי משנה ספציפיים, ולא רק לכל הדומיין.
סיווג התכונות לפי רמה
בטבלה הבאה מפורטות תכונות של Cloud NGFW ומסלול החיוב שלהן.
| התכונה | רמה |
| בדיקה עם שמירת סטטוס | Essentials |
| תגים מאובטחים | Essentials |
| קבוצות של כתובות | Essentials |
| כללי חומת אש ב-VPC | Essentials |
| אובייקטים של FQDN | רגילה |
| אובייקטים של מיקום גיאוגרפי | רגילה |
| מודיעין איומי סייבר | רגילה |
| שירות גילוי ומניעת חדירות | Enterprise |
| שירות סינון כתובות URL | Enterprise |
| בדיקת TLS | Enterprise |
תמחור
לכל רמה של Cloud NGFW יש מחיר שונה. במדיניות חומת אש, אפשר להשתמש בכללים עם תכונות מרמה אחת או לשלב כללים עם תכונות מכמה רמות. אם כלל אחד משתמש בתכונות מכמה רמות, Google Cloud מחייב את התנועה לפי התעריף של הרמה הגבוהה ביותר שנעשה בה שימוש. לדוגמה, אם כלל חומת אש כולל תכונות של מהדורות Standard ו-Enterprise, Cloud NGFW מעריך את התנועה התואמת לפי התעריף של מהדורת Enterprise.
לא נחייב אתכם פעמיים על אותו זרם תנועה ב-Cloud NGFW, גם אם הזרם נבדק על ידי כמה כללים. החיוב מתבצע בעיקר על עיבוד נתונים של תעבורה אל מכונות וירטואליות וממכונות וירטואליות. החיובים האלה חלים כשכלל חומת אש מעריך תעבורת נתונים, בלי קשר לשאלה אם הכלל מאפשר אותה או לא.
אתם משלמים על עיבוד הנתונים של תנועה שנבדקת על ידי כללי חומת אש שמכילים תכונות ממסלולים שונים. כדי להבין את התמחור בתרחישים שונים, אפשר לעיין בתמחור של Cloud NGFW.
המאמרים הבאים
- כללי מדיניות וכללים של חומת אש
- סדר ההערכה של כללי מדיניות וכללים של חומת אש
- כללים מוגדרים מראש למדיניות חומת אש