Cloud Next Generation Firewall est un service de pare-feu entièrement distribué offrant des fonctionnalités de protection avancées, une microsegmentation et une couverture omniprésente pour protéger vos charges de travail Google Cloud contre les attaques internes et externes.
Cloud NGFW présente les avantages suivants :
Service de pare-feu distribué : Cloud NGFW fournit une application basée sur l'hôte entièrement distribuée avec état pour chaque charge de travail afin d'offrir une architecture de sécurité zéro confiance.
Configuration et déploiement simplifiés : Cloud NGFW implémente des stratégies de réseau et de pare-feu hiérarchiques pouvant être associées à un nœud de la hiérarchie des ressources. Ces stratégies fournissent une expérience de pare-feu cohérente dans la hiérarchie des ressources Google Cloud.
Contrôle précis et microsegmentation : la combinaison des stratégies de pare-feu et des tags gérés par IAM (Identity and Access Management) offre un contrôle précis pour le trafic Nord-Sud et le trafic Est-Ouest sur une seule VM dans les réseaux de cloud privé virtuel (VPC) et les organisations.
Cloud NGFW est disponible dans les niveaux suivants :
- Cloud Next Generation Firewall Essentials
- Cloud Next Generation Firewall Standard
- Cloud Next Generation Firewall Enterprise
Cloud NGFW fournit également des fonctionnalités supplémentaires que vous pouvez ajouter à ces niveaux. Pour en savoir plus sur la tarification des niveaux de pare-feu et des fonctionnalités supplémentaires, consultez la page Tarifs de Cloud NGFW.
Principes de base de Cloud NGFW
Cloud NGFW Essentials est le service de pare-feu de base proposé par Google Cloud. Il propose les fonctionnalités et les possibilités suivantes :
Les stratégies de pare-feu de réseau au niveau mondial et les stratégies de pare-feu de réseau régionales vous permettent de regrouper des règles de pare-feu dans un objet de stratégie applicable à toutes les régions ou à des régions spécifiques.
Les tags gérés par IAM associés aux stratégies de pare-feu de réseau permettent de microsegmenter et de contrôler avec précision vos ressources Google Cloud. Les tags sont gérés de manière centralisée avec des ID uniques et un contrôle IAM strict. Vous pouvez référencer ces tags dans les règles de stratégie de pare-feu de réseau pour un contrôle des accès plus strict et uniforme dans vos régions et votre réseau.
Les groupes d'adresses combinent plusieurs adresses IP et plages d'adresses IP en une seule unité logique nommée. Vous pouvez référencer le même groupe d'adresses dans plusieurs règles de pare-feu pour le contrôle d'entrée et de sortie.
Les règles de pare-feu VPC qui utilisent des tags réseau et des comptes de service filtrent le trafic entrant et sortant au niveau du réseau.
Cloud NGFW Standard
Cloud NGFW Standard étend les fonctionnalités de Cloud NGFW Essentials pour fournir des fonctionnalités améliorées permettant de protéger votre infrastructure cloud contre les attaques malveillantes.
Il comprend les fonctionnalités suivantes :
Les objets de nom de domaine complet dans les règles de stratégie de pare-feu filtrent le trafic entrant ou sortant de domaines spécifiques. Selon la direction du trafic, les adresses IP associées aux noms de domaine sont mises en correspondance avec la source ou la destination du trafic.
Les objets de géolocalisation dans les règles de stratégie de pare-feu filtrent le trafic IPv4 et IPv6 externe en fonction d'emplacements géographiques ou de régions spécifiques.
- Threat Intelligence de Google pour les règles de stratégie de pare-feu vous permet de sécuriser votre réseau en autorisant ou en bloquant le trafic en fonction de listes de données Threat Intelligence de Google.
Cloud NGFW Enterprise
Cloud Next Generation Firewall Enterprise fournit des fonctionnalités de sécurité avancées de couche 7 qui protègent vos charges de travail Google Cloud contre les menaces et les attaques malveillantes.
Cloud Next Generation Firewall Enterprise inclut un service de détection et de prévention des intrusions basé sur les signatures avec interception et déchiffrement TLS (Transport Layer Security), qui assure la détection et la prévention des menaces contre les logiciels malveillants, les logiciels espions et les attaques de commande et de contrôle sur votre réseau.
Autres fonctionnalités
En plus des fonctionnalités disponibles dans les niveaux Cloud NGFW Essentials, Cloud NGFW Standard et Cloud NGFW Enterprise, Cloud NGFW propose les fonctionnalités suivantes:
Les règles de stratégies de pare-feu hiérarchiques créent et appliquent une stratégie de pare-feu cohérente dans votre organisation. Elles peuvent être affectées à l'organisation dans son ensemble ou bien à des dossiers individuels.
La journalisation des règles de pare-feu vous permet de vérifier si les règles de pare-feu sont utilisées comme prévu.