Cloud 차세대 방화벽 기능은 Essentials, Standard, Enterprise의 세 가지 등급으로 제공됩니다. 이러한 등급은 가격별로 특정 Cloud NGFW 기능을 그룹화합니다.
Cloud NGFW 등급을 선택하거나 구독하지 않습니다. 대신 방화벽 규칙에서 필요한 기능을 사용 설정하면Google Cloud 에서 사용하는 기능의 등급에 따라 요금을 청구합니다. 네트워크 트래픽이 해당 등급의 기능을 사용하는 규칙에 대해 평가되는 경우에만 더 높은 등급의 요금이 발생합니다. 자세한 내용은 Cloud NGFW 가격 책정을 참고하세요.
이 문서에서는 Cloud NGFW 등급과 해당 기능을 간략하게 설명합니다.
Cloud NGFW 등급 및 기능
Cloud NGFW 등급 시스템은 보안 비용을 세부적으로 관리할 수 있도록 설계되었습니다. 모든 계층의 방화벽 기능을 계층식 방화벽 정책, 전역 네트워크 방화벽 정책, 리전 네트워크 방화벽 정책에 적용할 수 있습니다.
Cloud NGFW Essentials
Cloud NGFW Essentials는 기준 보안 및 내부 세분화를 비롯한 기본 기능을 제공합니다.
Cloud NGFW Essentials에는 다음과 같은 기능이 포함되어 있습니다.
보안 태그는 Google Cloud리소스의 마이크로 세분화 및 세분화된 제어 기능을 제공합니다. 보안 처리된 태그는 고유한 ID와 엄격한 IAM 제어를 사용하여 중앙에서 관리됩니다. 리전, 네트워크, 계층 구조 전반에서 보다 엄격하고 균일한 액세스 제어를 위해 방화벽 규칙에서 이러한 보안 태그를 참조할 수 있습니다.
주소 그룹은 여러 IP 주소와 IP 범위를 이름이 지정된 단일 논리 단위로 결합합니다. 여러 방화벽 규칙에서 동일한 주소 그룹을 사용하여 인그레스 소스 또는 이그레스 대상을 정의할 수 있습니다.
VPC 방화벽 규칙은 네트워크 태그 및 서비스 계정을 사용하여 네트워크 수준에서 수신 및 발신되는 트래픽을 필터링할 수 있습니다.
Cloud NGFW Standard
Cloud NGFW Standard 등급은 정규화된 도메인 이름 (FQDN) 객체, 위협 인텔리전스와 같은 고급 기능을 제공합니다. 표준 등급의 경우 표준 등급 기능으로 평가되는 트래픽에 대해서만 North-South 트래픽 (VM 인스턴스와 인터넷 간 트래픽) 요금이 청구됩니다.
Cloud NGFW Standard에는 다음 기능이 포함됩니다.
정규화된 도메인 이름 (FQDN) 객체를 사용하면 IP 주소 대신 도메인 이름을 사용하여 인그레스 소스 또는 이그레스 대상을 정의할 수 있습니다.
위치정보 객체를 사용하면 IP 주소의 위치정보를 사용하여 인그레스 소스 또는 이그레스 대상을 정의할 수 있습니다.
- Google Threat Intelligence를 사용하면 Google Threat Intelligence 데이터 목록을 기반으로 트래픽을 허용하거나 차단하여 네트워크를 보호할 수 있습니다. Google 위협 인텔리전스 목록은 공격자 또는 시스템에 속하는 IP 주소의 Google 관리 컬렉션입니다.
Cloud NGFW Enterprise
Cloud NGFW Enterprise에는 Cloud NGFW의 가장 고급 기능이 포함되어 있습니다. Enterprise 등급의 경우 북-남 트래픽 (VM 인스턴스와 인터넷 간 트래픽)과 동-서 트래픽 (VPC 네트워크 내 리소스 간 트래픽) 모두에 요금이 청구됩니다.
Cloud NGFW Enterprise 기능이 포함된 방화벽 정책 규칙에 따라 연결이 평가되면 다음 구성요소를 기준으로 추가 요금이 청구됩니다.
- 배포된 각 방화벽 엔드포인트에 대한 시간당 요금입니다.
- 검사된 트래픽에 대한 기가바이트당 요금입니다.
Cloud NGFW Enterprise에는 다음 기능이 포함되어 있습니다.
전송 계층 보안 (TLS) 가로채기 및 복호화를 사용하는 서명 기반 침입 감지 및 방지 서비스로, 네트워크에서 멀웨어, 스파이웨어, 명령어 및 제어 공격의 위협을 감지하고 방지합니다.
전송 계층 보안 (TLS) 검사가 포함된 URL 필터링 서비스: URL을 차단하거나 허용하여 웹사이트 및 웹페이지에 대한 액세스를 제어할 수 있습니다. FQDN 필터링은 네트워크 계층에서 확인된 IP 주소만 확인하지만 URL 필터링은 애플리케이션 계층에서 작동하여 전체 URL 경로를 검사합니다. 이렇게 하면 전체 도메인이 아닌 특정 웹사이트와 개별 하위 페이지에 대한 액세스를 차단하거나 허용할 수 있습니다.
등급별 기능 분류
다음 표에는 Cloud NGFW 기능과 청구 등급이 요약되어 있습니다.
| 기능 | 등급 |
| 스테이트풀(Stateful) 검사 | Essentials |
| 보안 태그 | Essentials |
| 주소 그룹 | Essentials |
| VPC 방화벽 규칙 | Essentials |
| FQDN 객체 | 표준 |
| 위치정보 객체 | 표준 |
| 위협 인텔리전스 | 표준 |
| 침입 감지 및 방지 서비스 | Enterprise |
| URL 필터링 서비스 | Enterprise |
| TLS 검사 | Enterprise |
가격 책정
Cloud NGFW 등급마다 가격이 다릅니다. 방화벽 정책에서는 단일 등급의 기능이 있는 규칙을 사용하거나 여러 등급의 기능이 있는 규칙을 결합할 수 있습니다. 단일 규칙에서 여러 등급의 기능을 사용하는 경우 Google Cloud 에서는 사용된 가장 높은 등급의 요율로 트래픽 요금을 청구합니다. 예를 들어 방화벽 규칙에 Standard 및 Enterprise 기능이 모두 포함된 경우 Cloud NGFW는 일치하는 트래픽을 Enterprise 요율로 평가합니다.
흐름이 여러 규칙에 의해 평가되더라도 Cloud NGFW는 동일한 트래픽 흐름에 대해 두 번 청구하지 않습니다. 주로 VM 인스턴스와 주고받는 트래픽의 데이터 처리에 대해 비용을 지불합니다. 이 요금은 규칙이 트래픽을 허용하는지 거부하는지와 관계없이 방화벽 규칙이 트래픽을 평가할 때 적용됩니다.
다양한 등급의 기능이 포함된 방화벽 규칙에 의해 평가되는 트래픽의 데이터 처리에 대해 요금이 청구됩니다. 다양한 시나리오의 가격을 알아보려면 Cloud NGFW 가격 책정을 참고하세요.