Cloud Next Generation Firewall ist ein vollständig verteilter Firewalldienst mit erweiterten Schutzfunktionen, Mikrosegmentierung und umfassender Abdeckung, um Ihre Google Cloud-Arbeitslasten vor internen und externen Angriffen zu schützen.
Cloud NGFW hat folgende Vorteile:
Verteilter Firewalldienst: Cloud NGFW bietet eine zustandsorientierte, vollständig verteilte hostbasierte Erzwingung für jede Arbeitslast, um eine Zero-Trust-Sicherheitsarchitektur zu ermöglichen.
Vereinfachte Konfiguration und Bereitstellung: Cloud NGFW implementiert Netzwerk- und hierarchische Firewallrichtlinien, die an einen Ressourcenhierarchie-Knoten angehängt werden können. Diese Richtlinien bieten eine konsistente Firewall in der gesamten Google Cloud-Ressourcenhierarchie.
Granulare Kontrolle und Mikrosegmentierung: Die Kombination aus Firewallrichtlinien und IAM-gesteuerten Tags (Identity and Access Management) bietet eine präzise Kontrolle für Nord-Süd- und Ost-West-Traffic, bis zu einer einzelnen VM in VPC-Netzwerken und -Organisationen.
Cloud NGFW ist in den folgenden Stufen verfügbar:
- Grundlagen von Cloud Next Generation Firewall
- Cloud Next Generation Firewall Standard
- Cloud Next Generation Firewall Enterprise
Cloud NGFW bietet außerdem zusätzliche Features, die Sie diesen Stufen hinzufügen können. Weitere Informationen zu den Preisen der Firewallstufen und zusätzlichen Funktionen finden Sie unter Cloud NGFW-Preise.
Cloud NGFW Essentials
Cloud NGFW Essentials ist der grundlegende Firewalldienst von Google Cloud. Er umfasst die folgenden Funktionen:
Mit Globale Netzwerk-Firewallrichtlinien und Regionale Netzwerk-Firewallrichtlinien können Sie Firewallregeln in einem Richtlinienobjekt gruppieren, das für alle Regionen oder bestimmte Regionen gilt.
IAM-gesteuerte Tags bieten in Kombination mit Netzwerk-Firewallrichtlinien eine Mikrosegmentierung und detailgenaue Steuerung Ihrer Google Cloud-Ressourcen. Tags werden zentral mit eindeutigen IDs und strenger IAM-Steuerung verwaltet. Sie können in den Netzwerk-Firewallrichtlinienregeln auf diese Tags verweisen, um eine strengere und einheitliche Zugriffssteuerung für Ihre Regionen und Ihr Netzwerk zu ermöglichen.
Adressgruppen kombinieren mehrere IP-Adressen und IP-Bereiche in einer einzigen benannten logischen Einheit. Sie können für mehrere Firewallregeln für eingehenden und ausgehenden Traffic auf dieselbe Adressgruppe verweisen.
VPC-Firewallregeln, die Netzwerk-Tags und Dienstkonten verwenden, filtern eingehenden und ausgehenden Traffic auf Netzwerkebene.
Cloud NGFW Standard
Cloud NGFW Standard erweitert die Features von Cloud NGFW Essentials um erweiterte Funktionen zum Schutz Ihrer Cloud-Infrastruktur vor böswilligen Angriffen.
Die Umgebung umfasst folgende Funktionen:
- Objekte für voll qualifizierte Domainnamen (FQDN) in den Firewallrichtlinienregeln filtern eingehenden oder ausgehenden Traffic von oder zu bestimmten Domains. Basierend auf der Trafficrichtung werden die mit den Domainnamen verknüpften IP-Adressen der Quelle oder dem Ziel des Traffics zugeordnet.
- Mit Threat Intelligence für Firewallregeln können Sie Ihr Netzwerk sichern, indem Sie Traffic basierend auf Threat Intelligence-Datenlisten zulassen oder blockieren.
- Geostandortobjekte in Firewallrichtlinienregeln dienen zur Filterung von externem IPv4- und IPv6-Traffic anhand bestimmter geografischer Standorte oder Regionen.
Cloud NGFW Enterprise
Cloud Next Generation Firewall Enterprise der nächsten Generation bietet erweiterte Layer-7-Sicherheitsfunktionen, die Ihre Google Cloud-Arbeitslasten vor Bedrohungen und böswilligen Angriffen schützen.
Cloud Next Generation Firewall Enterprise umfasst den Einbruchsprävention mit TLS-Interception und -Entschlüsselung (Transport Layer Security), die Bedrohungserkennung und Schutz vor Malware, Spyware und Command-and-Control-Angriffe in Ihrem Netzwerk bietet.
Zusätzliche Features
Cloud NGFW bietet zusätzlich zu den Standard-Stufen von Cloud NGFW Essentials und Cloud NGFW die folgenden Features:
Hierarchische Firewallregeln erstellen und erzwingen eine konsistente Firewallrichtlinie für Ihre gesamte Organisation. Sie können der Organisation hierarchische Firewallrichtlinien als Ganzes oder für einzelne Ordner zuweisen.
Mit dem Logging von Firewallregeln können Sie prüfen, ob Firewallregeln korrekt verwendet werden.