Cloud Next Generation Firewall 是一種分散式防火牆服務,可保護 Google Cloud 工作負載。工作負載包括在 Google Cloud 或使用Google Cloud 資源執行的應用程式和服務。您可以透過 Cloud NGFW,保護工作負載免受公用網際網路的外部威脅,以及自有網路內的內部威脅侵擾。
Cloud NGFW 具有下列優勢:
分散式防火牆服務。Cloud NGFW 會將防火牆規則套用至網路中的每個工作負載,並檢查每個傳入和傳出連線是否有威脅。
這種做法會建立零信任安全架構,防火牆服務會在連線抵達目的地前進行驗證。如果網路的工作負載遭到入侵,Cloud NGFW 會驗證其他工作負載的所有連入或連出連線,確保其他工作負載安全無虞。
簡化設定和部署作業。Cloud NGFW 會實作網路和階層式防火牆政策,這些政策可附加至資源階層節點。這些政策可在Google Cloud 資源階層中提供一致的防火牆體驗。
精細的控制和微區隔。Cloud NGFW 可讓您詳細控管網路流量。方法是將防火牆政策與安全代碼合併。
這種方法可精確控管網路流量,即使是單一虛擬機器 (VM) 也不例外。Cloud NGFW 可協助您管理進出流量 Google Cloud (南北向流量),以及應用程式和服務之間的流量 Google Cloud(東西向流量)。這項控制項適用於虛擬私有雲 (VPC) 網路和機構。
Cloud NGFW 提供下列級別:
- Cloud Next Generation Firewall Essentials
- Cloud Next Generation Firewall Standard
- Cloud Next Generation Firewall Enterprise
此外,Cloud NGFW 也提供額外功能,可加到這些層級之上。如要進一步瞭解防火牆層級和額外功能的定價,請參閱 Cloud NGFW 定價。
Cloud NGFW Essentials
Cloud NGFW Essentials 是 Google Cloud提供的基礎防火牆服務,包括下列功能:
安全標記搭配網路防火牆政策,可提供微區隔功能,並精細控管Google Cloud 資源。安全標記會透過專屬 ID 和嚴格的 IAM 控制項集中管理。您可以在網路防火牆政策規則中參照這些安全標記,在區域和網路中,以更嚴格且一致的方式控管存取權。
位址群組會將多個 IP 位址和 IP 範圍組合成單一具名的邏輯單元。您可以在多個防火牆規則中參照相同的位址群組,以控管輸入和輸出流量。
虛擬私有雲防火牆規則會使用網路標記和服務帳戶,在網路層級篩選輸入和輸出流量。
Cloud NGFW Standard
Cloud NGFW Standard 擴充了 Cloud NGFW Essentials 的功能,提供更強大的防護機制,協助您保護雲端基礎架構免受惡意攻擊。
包括下列功能:
防火牆政策規則中的完整網域名稱 (FQDN) 物件,可篩選特定網域的往來流量。根據流量方向,系統會比對與網域名稱相關聯的 IP 位址與流量來源或目的地。
防火牆政策規則中的地理位置物件會根據特定地理位置或區域,篩選外部 IPv4 和 IPv6 流量。
- 防火牆政策規則的 Google 威脅情報 可讓您根據 Google 威脅情報資料清單允許或封鎖流量,確保網路安全。
Cloud NGFW Enterprise
Cloud Next Generation Firewall Enterprise 提供先進的第 7 層安全性功能,可協助保護 Google Cloud 工作負載不受威脅和惡意攻擊侵擾。
Cloud Next Generation Firewall Enterprise 包含以簽章為基礎的入侵偵測與防範服務,以及傳輸層安全標準 (TLS) 攔截和解密功能,可偵測及防範網路上的惡意軟體、間諜軟體和指令與控制攻擊。
其他功能
除了 Cloud NGFW Essentials、Cloud NGFW Standard 和 Cloud NGFW Enterprise 級別提供的功能外,Cloud NGFW 還提供下列功能:
階層式防火牆政策規則:在整個機構中建立並強制執行一致的防火牆政策。您可以將階層式防火牆政策指派給整個機構或個別資料夾。
防火牆規則記錄可讓您確認防火牆規則是否按照預期使用。