Os recursos do Cloud Next Generation Firewall estão disponíveis em três níveis: Essentials, Standard e Enterprise. Esses níveis agrupam recursos específicos do Cloud NGFW por preço.
Não é possível escolher ou assinar um nível do Cloud NGFW. Em vez disso, você ativa os recursos necessários nas regras de firewall, e Google Cloud o Google Cloud cobra com base nos níveis de recursos usados. Você só incorre em cobranças por um nível mais alto quando o tráfego de rede é avaliado em relação a uma regra que usa recursos desse nível. Para mais informações, consulte Preços do Cloud NGFW.
Este documento oferece uma visão geral dos níveis do Cloud NGFW e dos recursos deles.
Níveis e recursos do Cloud NGFW
O sistema de níveis do Cloud NGFW foi projetado para oferecer controle granular sobre os gastos com segurança. É possível aplicar recursos de firewall de qualquer nível a políticas hierárquicas de firewall, políticas de firewall de rede global e políticas de firewall de rede regional.
Cloud NGFW Essentials
O Cloud NGFW Essentials oferece recursos básicos, incluindo segurança de referência e segmentação interna.
O Cloud NGFW Essentials inclui os seguintes recursos:
As tags seguras oferecem microssegmentação e controle refinado dos Google Cloud recursos. As tags seguras são gerenciadas centralmente com IDs exclusivos e controle rigoroso do IAM. É possível referenciar essas tags seguras nas regras de firewall para ter um controle de acesso mais rigoroso e uniforme nas regiões, redes e hierarquias.
Os grupos de endereços combinam vários endereços IP e intervalos de IP em uma única unidade lógica. É possível usar o mesmo grupo de endereços em várias regras de firewall para definir origens de entrada ou destinos de saída.
As regras de firewall da VPC podem usar tags de rede e contas de serviço para filtrar o tráfego de entrada e saída no nível da rede.
Cloud NGFW Standard
O nível Standard do Cloud NGFW oferece recursos avançados, como objetos de nome de domínio totalmente qualificado (FQDN) e inteligência contra ameaças. Para o nível Standard, você só recebe cobranças pelo tráfego norte-sul (tráfego entre instâncias de VM e a Internet) que é avaliado pelos recursos do nível Standard.
O Cloud NGFW Standard inclui os seguintes recursos:
Os objetos de nome de domínio totalmente qualificado (FQDN) permitem definir origens de entrada ou destinos de saída usando nomes de domínio em vez de endereços IP.
Os objetos de geolocalização permitem definir origens de entrada ou destinos de saída usando a geolocalização de um endereço IP.
- O Google Threat Intelligence permite proteger a rede permitindo ou bloqueando o tráfego com base em listas de dados do Google Threat Intelligence. As listas do Google Threat Intelligence são coleções de endereços IP mantidas pelo Google que pertencem a agentes ou sistemas de ameaças.
Cloud NGFW Enterprise
O Cloud NGFW Enterprise inclui os recursos mais avançados do Cloud NGFW. Para o nível Enterprise, você recebe cobranças pelo tráfego norte-sul (tráfego entre instâncias de VM e a Internet) e pelo tráfego leste-oeste (tráfego entre recursos em uma rede VPC).
Quando uma conexão é avaliada por uma regra de política de firewall que contém recursos do Cloud NGFW Enterprise, você incorre em cobranças adicionais com base nos seguintes componentes:
- Uma cobrança por hora para cada endpoint de firewall implantado.
- Uma cobrança por gigabyte para o tráfego inspecionado.
O Cloud NGFW Enterprise inclui os seguintes recursos:
Serviço de detecção e prevenção de intrusões baseado em assinatura com interceptação e descriptografia do Transport Layer Security (TLS), que oferece detecção e prevenção de ameaças contra malware, spyware e ataques de comando e controle na sua rede.
Serviço de filtragem de URL com inspeção do Transport Layer Security (TLS), que permite controlar o acesso a sites e páginas da Web bloqueando ou permitindo os URLs deles. Enquanto a filtragem de FQDN só mostra o endereço IP resolvido na camada de rede, a filtragem de URL opera na camada de aplicativo para inspecionar o caminho do URL completo. Isso permite bloquear ou permitir o acesso a sites específicos e subpáginas individuais, em vez de apenas o domínio inteiro.
Categorização de recursos por nível
A tabela a seguir resume os recursos do Cloud NGFW e o nível de faturamento deles.
| Recurso | Nível |
| Inspeção com estado | Essentials |
| Tags seguras | Essentials |
| Grupos de endereços | Essentials |
| Regras de firewall da VPC | Essentials |
| Objetos FQDN | Padrão |
| Objetos de geolocalização | Padrão |
| Inteligência contra ameaças | Padrão |
| Serviço de detecção e prevenção de intrusões | Enterprise |
| Serviço de filtragem de URL | Enterprise |
| Inspeção TLS | Enterprise |
Preços
Cada nível do Cloud NGFW tem um preço diferente. Em uma política de firewall, é possível usar regras com recursos de um único nível ou combinar regras com recursos de vários níveis. Quando uma única regra usa recursos de vários níveis, Google Cloud o Google Cloud fatura o tráfego na taxa do nível mais alto usado. Por exemplo, se uma regra de firewall incluir recursos Standard e Enterprise, o Cloud NGFW vai avaliar o tráfego correspondente na taxa Enterprise.
O Cloud NGFW não cobra duas vezes pelo mesmo fluxo de tráfego, mesmo que ele seja avaliado por várias regras. Você paga principalmente pelo processamento de dados de tráfego de e para instâncias de VM. Essas cobranças são aplicadas quando uma regra de firewall avalia o tráfego, independentemente de a regra permitir ou negar o tráfego.
Você paga pelo processamento de dados de tráfego avaliado por regras de firewall que contêm recursos de diferentes níveis. Para entender os preços de diferentes cenários, consulte Preços do Cloud NGFW.
A seguir
- Políticas e regras de firewall
- Ordem de avaliação de políticas e regras de firewall
- Regras predefinidas para políticas de firewall