Cloud Next Generation Firewall の機能は、Essentials、Standard、Enterprise の 3 つの階層で利用できます。これらの階層では、特定の Cloud NGFW 機能が料金ごとにグループ化されます。
Cloud NGFW 階層を選択または登録することはありません。代わりに、ファイアウォール ルールで必要な機能を有効にすると、使用する機能の階層に基づいてGoogle Cloud が課金されます。上位の階層の料金が発生するのは、その階層の機能を使用するルールに対してネットワーク トラフィックが評価された場合のみです。詳細については、 Cloud NGFW の料金をご覧ください。
このドキュメントでは、Cloud NGFW の階層とその機能の概要について説明します。
Cloud NGFW の階層と機能
Cloud NGFW の階層システムは、セキュリティ費用をきめ細かく管理できるように設計されています。任意の階層のファイアウォール機能を、階層型ファイアウォール ポリシー、グローバル ネットワーク ファイアウォール ポリシー、リージョン ネットワーク ファイアウォール ポリシーに適用できます。
Cloud NGFW Essentials
Cloud NGFW Essentials は、ベースライン セキュリティや内部セグメンテーションなどの基本的な機能を提供します。
Cloud NGFW Essentials には次の機能が含まれています。
安全なタグを使用すると、 Google Cloudリソースのマイクロセグメンテーションときめ細かい制御を実現できます。セキュアタグは、一意の ID と厳格な IAM 制御によって一元管理されます。これらのセキュアタグをファイアウォール ルール内で参照することで、リージョン、ネットワーク、階層全体でより緊密かつ均一なアクセス制御を行うことができます。
アドレス グループは、複数の IP アドレスと IP 範囲を 1 つの名前付き論理単位に結合します。複数のファイアウォール ルールで同じアドレス グループを使用して、上り(内向き)の送信元または下り(外向き)の宛先を定義できます。
VPC ファイアウォール ルールでは、ネットワーク タグとサービス アカウントを使用して、ネットワーク レベルで受信トラフィックと送信トラフィックをフィルタできます。
Cloud NGFW Standard
Cloud NGFW Standard 階層では、完全修飾ドメイン名(FQDN)オブジェクトや脅威インテリジェンスなどの高度な機能が提供されます。スタンダード ティアでは、スタンダード ティア機能で評価されるトラフィックについて、North-South トラフィック(VM インスタンスとインターネット間のトラフィック)に対してのみ課金されます。
Cloud NGFW Standard には次の機能が含まれています。
完全修飾ドメイン名(FQDN)オブジェクトを使用すると、IP アドレスの代わりにドメイン名を使用して上り(内向き)ソースまたは下り(外向き)宛先を定義できます。
位置情報オブジェクトを使用すると、IP アドレスの位置情報を使用して上り(内向き)ソースまたは下り(外向き)宛先を定義できます。
- Google Threat Intelligence を使用すると、Google Threat Intelligence のデータリストに基づいてトラフィックを許可またはブロックすることで、ネットワークを保護できます。Google Threat Intelligence リストは、脅威アクターまたはシステムに属する IP アドレスの Google が管理するコレクションです。
Cloud NGFW Enterprise
Cloud NGFW Enterprise には、Cloud NGFW の最も高度な機能が含まれています。Enterprise ティアでは、ノースサウス トラフィック(VM インスタンスとインターネット間のトラフィック)とイーストウェスト トラフィック(VPC ネットワーク内のリソース間のトラフィック)の両方が課金されます。
Cloud NGFW Enterprise 機能を含むファイアウォール ポリシー ルールによって接続が評価されると、次のコンポーネントに基づいて追加料金が発生します。
- デプロイされたファイアウォール エンドポイントごとに 1 時間あたりの料金。
- 検査されたトラフィックのギガバイトあたりの料金。
Cloud NGFW Enterprise には次の機能が含まれています。
Transport Layer Security(TLS)のインターセプトと復号を行うシグネチャ ベースの侵入検知と防止サービス。このサービスは、ネットワーク上でマルウェア、スパイウェア、コマンド アンド コントロール攻撃などの脅威を検知し、攻撃を未然に防ぎます。
Transport Layer Security(TLS)インスペクションを備えた URL フィルタリング サービス。これにより、URL をブロックまたは許可して、ウェブサイトやウェブページへのアクセスを制御できます。FQDN フィルタリングではネットワーク レイヤで解決された IP アドレスのみが認識されますが、URL フィルタリングはアプリケーション レイヤで動作して URL の完全パスを検査します。これにより、ドメイン全体だけでなく、特定のウェブサイトや個々のサブページへのアクセスをブロックまたは許可できます。
ティア別の機能の分類
次の表に、Cloud NGFW の機能とその課金階層の概要を示します。
| 機能 | ティア |
| ステートフル インスペクション | Essentials |
| セキュア タグ | Essentials |
| アドレス グループ | Essentials |
| VPC ファイアウォール ルール | Essentials |
| FQDN オブジェクト | 標準 |
| 位置情報オブジェクト | 標準 |
| 脅威インテリジェンス | 標準 |
| 侵入検知および防止サービス | Enterprise |
| URL フィルタリング サービス | Enterprise |
| TLS インスペクション | Enterprise |
料金
Cloud NGFW の各階層の料金は異なります。ファイアウォール ポリシーでは、単一の階層の機能を含むルールを使用することも、複数の階層の機能を含むルールを組み合わせることもできます。1 つのルールで複数の階層の機能を使用する場合、 Google Cloud は使用されている最も高い階層のレートでトラフィックを課金します。たとえば、ファイアウォール ルールに Standard 機能と Enterprise 機能の両方が含まれている場合、Cloud NGFW は一致するトラフィックを Enterprise レートで評価します。
同じトラフィック フローが複数のルールで評価されても、Cloud NGFW で同じトラフィック フローに対して 2 回課金されることはありません。主に VM インスタンスとの間のトラフィックのデータ処理に対して課金されます。これらの料金は、ファイアウォール ルールがトラフィックを評価するときに適用されます。ルールでトラフィックが許可されるか拒否されるかは関係ありません。
異なる階層の機能を含むファイアウォール ルールによって評価されるトラフィックのデータ処理に対して課金されます。さまざまなシナリオの料金については、Cloud NGFW の料金をご覧ください。