Cette page présente la terminologie clé qui s'applique à Cloud Next Generation Firewall. Consultez la terminologie pour mieux comprendre le fonctionnement de Cloud NGFW et les concepts sur lesquels il repose.
Groupes d'adresses
Les groupes d'adresses constituent une collection logique de plages d'adresses IPv4 ou de plages d'adresses IPv6 au format CIDR. Vous pouvez utiliser des groupes d'adresses pour définir des sources ou des destinations cohérentes référencées par de nombreuses règles de pare-feu. Pour en savoir plus sur les groupes d'adresses, consultez la section Groupes d'adresses pour les stratégies de pare-feu.
Format CIDR
Le format ou la notation CIDR (Classless Inter-Domain Routing) est une méthode permettant de représenter une adresse IP et son sous-réseau. C'est une alternative à l'écriture d'un masque de sous-réseau complet. Il se compose d'une adresse IP, suivie d'une barre oblique (/) et d'un nombre. Le nombre indique le nombre de bits dans l'adresse IP qui définissent la partie réseau.
Cloud NGFW
Cloud Next Generation Firewall est un service de pare-feu entièrement distribué offrant des fonctionnalités de protection avancées, une microsegmentation et une couverture omniprésente pour protéger vos charges de travail Google Cloud contre les attaques internes et externes. Cloud NGFW est disponible à trois niveaux : Cloud Next Generation Firewall Essentials, Cloud Next Generation Firewall Standard et Cloud Next Generation Firewall Enterprise. Pour en savoir plus, consultez la présentation de Cloud NGFW.
Cloud NGFW Essentials
Cloud Next Generation Firewall Essentials est le service de pare-feu de base proposé par Google Cloud. Il comprend des fonctionnalités et des capacités telles que les stratégies de pare-feu réseau au niveau mondial et régional, les Tags gérés par IAM (Identity and Access Management), les Groupes d'adresses et les règles de pare-feu VPC (cloud privé virtuel). Pour en savoir plus, consultez la section Présentation de Cloud NGFW Essentials.
Cloud NGFW Enterprise
Cloud Next Generation Firewall Enterprise fournit des fonctionnalités de sécurité avancées de couche 7 qui protègent vos charges de travail Google Cloud contre les menaces et les attaques malveillantes. Il inclut un service de prévention des intrusions avec interception et déchiffrement TLS (Transport Layer Security), qui assure la détection et la prévention des menaces contre les logiciels malveillants, les logiciels espions et les attaques de commande et de contrôle sur votre réseau.
Cloud NGFW Standard
Cloud NGFW Standard étend les fonctionnalités de Cloud NGFW Essentials pour fournir des fonctionnalités améliorées permettant de protéger votre infrastructure cloud contre les attaques malveillantes. Il comprend des fonctionnalités et des capacités telles que les renseignements sur les menaces pour les règles de stratégie de pare-feu, les objets de nom de domaine complet (FQDN) et les objets de géolocalisation dans les règles de stratégie de pare-feu.
Point de terminaison de pare-feu
Un point de terminaison de pare-feu est une ressource Cloud NGFW qui permet des fonctionnalités de protection avancées de couche 7, telles que la prévention des intrusions, sur votre réseau. Pour en savoir plus, consultez la Présentation des points de terminaison de pare-feu.
Règles de pare-feu
Les règles de pare-feu sont les composants fondamentaux de la sécurité du réseau. Une règle de pare-feu contrôle le trafic entrant ou sortant vers une instance de machine virtuelle (VM). Par défaut, le trafic entrant est bloqué. Pour en savoir plus, consultez la section Stratégies de pare-feu.
Journalisation des règles de pare-feu
La journalisation des règles de pare-feu vous permet de réaliser des audits, des vérifications et des analyses sur les effets de ces règles. Par exemple, vous pouvez déterminer si une règle de pare-feu conçue pour refuser le trafic fonctionne comme prévu. La journalisation des règles de pare-feu est également utile si vous devez déterminer le nombre de connexions affectées par une règle de pare-feu donnée. Pour en savoir plus, consultez la section Journalisation des règles de pare-feu.
Stratégies de pare-feu
Les stratégies de pare-feu vous permettent de regrouper plusieurs règles de pare-feu afin de pouvoir les mettre à jour en une seule fois, efficacement contrôlées par les rôles IAM. Les stratégies de pare-feu se divisent en trois types : les stratégies de pare-feu hiérarchiques, les stratégies de pare-feu réseau mondiales et les stratégies de pare-feu réseau régionales. Pour en savoir plus, consultez la section Stratégies de pare-feu.
Règles de stratégie de pare-feu
Lorsque vous créez une règle de stratégie de pare-feu, vous spécifiez un ensemble de composants qui définissent le rôle de cette règle. Ces composants spécifient la direction du trafic, la source, la destination et les caractéristiques de couche 4, telles que le protocole et le port de destination (si le protocole utilise des ports). Ces composants sont appelés règles de stratégie de pare-feu. Pour en savoir plus, consultez la section Règles de stratégie de pare-feu.
Objets de nom de domaine complet
Un nom de domaine complet (FQDN) est le nom complet d'une ressource spécifique sur Internet. Par exemple, cloud.google.com. Les objets de nom de domaine complet dans les règles de stratégie de pare-feu filtrent le trafic entrant ou sortant d'un nom de domaine spécifique. Selon la direction du trafic, les adresses IP associées aux noms de domaine sont mises en correspondance avec la source ou la destination du trafic. Pour en savoir plus, consultez la section Objets de nom de domaine complet.
Objets de géolocalisation
Utilisez des objets de géolocalisation dans les règles de stratégie de pare-feu pour filtrer le trafic IPv4 et IPv6 externe en fonction d'emplacements géographiques ou de régions spécifiques. Vous pouvez utiliser des objets de géolocalisation avec d'autres filtres sources ou de destination. Pour en savoir plus, consultez la section Objets de géolocalisation.
Stratégies de pare-feu réseau mondiales
Les stratégies de pare-feu de réseau au niveau mondial vous permettent de regrouper des règles dans un objet de stratégie applicable à toutes les régions (au niveau mondial). Une fois que vous avez associé une stratégie de pare-feu de réseau au niveau mondial à un réseau VPC, les règles de la stratégie peuvent s'appliquer aux ressources du réseau VPC. Pour en savoir plus sur les spécifications des stratégies de pare-feu de réseau au niveau mondial, consultez la page Stratégies de pare-feu réseau au niveau mondial.
Stratégies de pare-feu hiérarchiques
Les stratégies de pare-feu hiérarchiques vous permettent de regrouper des règles dans un objet de stratégie pouvant s'appliquer à de nombreux réseaux VPC dans un ou plusieurs projets. Vous pouvez associer des stratégies de pare-feu hiérarchiques à l'ensemble d'une organisation ou à des dossiers individuels. Pour en savoir plus sur les spécifications des stratégies de pare-feu hiérarchiques, consultez la section Stratégies de pare-feu hiérarchiques.
Identity and Access Management
Le service IAM de Google Cloud vous permet d'accorder un accès précis à des ressources spécifiques de Google Cloud et d'empêcher l'accès à d'autres ressources. IAM vous permet d'appliquer le principe de sécurité du moindre privilège, qui stipule que personne ne devrait avoir plus d'autorisations que nécessaire. Pour en savoir plus, consultez la Présentation d'IAM.
Règles implicites
Chaque réseau VPC possède deux règles de pare-feu IPv4 implicites. Si IPv6 est activé dans un réseau VPC, ce réseau a également deux règles de pare-feu IPv6 implicites. Ces règles ne sont pas affichées dans la console Google Cloud.
Des règles de pare-feu IPv4 implicites sont présentes dans tous les réseaux VPC, que leur mode soit automatique ou personnalisé et quelle que soit la façon dont ils sont créés. Le réseau par défaut dispose des mêmes règles implicites. Pour en savoir plus, consultez la section Règles implicites.
Service de prévention des intrusions
Le service de prévention des intrusions de Cloud NGFW surveille en permanence votre trafic de charge de travail Google Cloud afin de détecter toute activité malveillante et de prendre des mesures préventives pour la contrer. Ces activités malveillantes peuvent inclure des menaces telles que des intrusions, des logiciels malveillants, des logiciels espions, ainsi que des attaques de commande et de contrôle sur votre réseau. Pour en savoir plus, consultez la Présentation du service de prévention des intrusions.
Stratégies de pare-feu réseau
Les stratégies de pare-feu réseau, également appelées stratégies de pare-feu, vous permettent de regrouper plusieurs règles de pare-feu afin de pouvoir les mettre à jour en même temps, efficacement contrôlées par les rôles IAM. Ces stratégies contiennent des règles qui peuvent explicitement refuser ou autoriser des connexions, à l'instar des règles de pare-feu VPC. Cela inclut les stratégies de pare-feu réseau mondiales et régionales. Pour en savoir plus, consultez la section Stratégies de pare-feu.
Tags réseau
Un tag réseau est une chaîne de caractères ajoutée à un champ de tags dans une ressource, telle que les instances de VM Compute Engine ou les modèles d'instance. Un tag n'étant pas une ressource distincte, vous ne pouvez pas le créer séparément. Toutes les ressources contenant cette chaîne sont considérées comme possédant ce tag. Les tags vous permettent de définir des règles de pare-feu VPC ainsi que des routes applicables à des instances de VM spécifiques.
Mise en miroir de paquets
La mise en miroir de paquets clone le trafic de certaines instances de VM spécifiques de votre réseau VPC et le transfère pour examen. La mise en miroir de paquets permet de capturer toutes les données relatives au trafic et aux paquets, y compris les charges utiles et les en-têtes. Vous pouvez configurer la capture pour le trafic sortant et entrant, uniquement pour le trafic entrant, ou uniquement pour le trafic sortant. La mise en miroir de paquets est utile lorsque vous devez surveiller et analyser l'état de la sécurité. Ce mécanisme exporte l'intégralité du trafic, pas seulement le trafic sur des périodes d'échantillonnage.
Héritage des règles
Par défaut, les règles d'administration sont héritées par les descendants des ressources sur lesquelles vous les appliquez. Par exemple, si vous appliquez une stratégie au niveau d'un dossier, Google Cloud l'applique à tous les projets du dossier. Pour mieux comprendre ce comportement et savoir comment le modifier, consultez la section Règles d'évaluation hiérarchique.
Priorité
La priorité d'une règle dans une stratégie de pare-feu est un entier compris entre 0 et 2 147 483 647 (inclus). Des entiers plus petits indiquent des priorités plus élevées. Pour en savoir plus, consultez la section Priorité.
Stratégies de pare-feu réseau régionales
Les stratégies de pare-feu réseau régionales vous permettent de regrouper des règles dans un objet de stratégie applicable à une région spécifique. Une fois que vous avez associé une stratégie de pare-feu réseau régionale à un réseau VPC, les règles de la stratégie peuvent s'appliquer aux ressources de cette région du réseau VPC. Pour en savoir plus sur les spécifications des stratégies de pare-feu régionales, consultez la page Stratégies de pare-feu de réseau régionales.
Profils sécurisés
Les profils sécurisés, ou profils de sécurité, vous aident à définir une règle d'inspection de couche 7 pour vos ressources Google Cloud. Il s'agit de structures de règles génériques utilisées par les points de terminaison de pare-feu pour analyser le trafic intercepté afin de fournir des services de couche d'application, tels que la prévention des intrusions. Pour en savoir plus, consultez la Présentation des profils de sécurité.
Groupes de profils de sécurité
Un groupe de profils de sécurité est un conteneur pour les profils de sécurité. Une règle de stratégie de pare-feu référence un groupe de profils de sécurité pour permettre l'inspection de couche 7, telle que la prévention des intrusions, sur votre réseau. Pour en savoir plus, consultez la Présentation des groupes de profils de sécurité.
Indication du nom du serveur
L'indication du nom du serveur (SNI, Server Name Indication) est une extension du protocole de réseau informatique TLS. SNI permet à plusieurs sites HTTPS de partager une IP et un certificat TLS, ce qui est plus efficace et plus économique car vous n'avez pas besoin de certificats individuels pour chaque site Web sur le même serveur.
Tags
La hiérarchie des ressources Google Cloud permet d'organiser vos ressources en arborescence. Cette hiérarchie vous aide à gérer les ressources à grande échelle, mais elle ne modélise que quelques dimensions métier, telles que la structure organisationnelle, les régions, les types de charge de travail et les centres de coûts. La hiérarchie manque de flexibilité pour superposer plusieurs dimensions métier.
Les tags permettent de créer des annotations pour les ressources et, dans certains cas, d'autoriser ou de refuser des stratégies de manière conditionnelle selon qu'une ressource possède un tag spécifique ou non. Vous pouvez utiliser les tags et l'application conditionnelle de stratégies pour un contrôle ultraprécis de votre hiérarchie de ressources.
Les tags sont différents des tags réseau. Pour en savoir plus sur les différences entre les tags et les tags réseau, consultez la section Comparaison des tags et des tags réseau.
Renseignement sur les menaces
Les règles de stratégie de pare-feu vous permettent de sécuriser votre réseau en autorisant ou en bloquant le trafic en fonction des données Threat Intelligence. Les données Threat Intelligence incluent des listes d'adresses IP reposant sur les nœuds de sortie Tor, les adresses IP malveillantes connues, les moteurs de recherche et les plages d'adresses IP du cloud public. Pour en savoir plus, consultez la section Threat Intelligence pour les règles de stratégie de pare-feu.
Signature de menace
La détection des menaces basée sur les signatures est l'un des mécanismes les plus couramment utilisés pour identifier les comportements malveillants. Elle est donc largement utilisée pour prévenir les attaques réseau. Les fonctionnalités de détection des menaces de Cloud NGFW sont basées sur les technologies de prévention des menaces de Palo Alto Networks. Pour en savoir plus, consultez la Présentation des signatures de menaces.
Inspection Transport Layer Security
Cloud NGFW propose un service d'interception et de déchiffrement TLS (Transport Layer Security) permettant d'inspecter le trafic chiffré et non chiffré à la recherche d'attaques et de perturbations du réseau. Les connexions TLS sont inspectées sur les connexions entrantes et sortantes, y compris le trafic vers et depuis Internet et le trafic au sein de Google Cloud.
Cloud NGFW déchiffre le trafic TLS pour permettre au point de terminaison de pare-feu d'effectuer une inspection de couche 7, telle que la prévention des intrusions, sur votre réseau. Après l'inspection, Cloud NGFW rechiffre le trafic avant de l'envoyer à sa destination. Pour en savoir plus, consultez la Présentation de l'inspection TLS.
Tags de pare-feu
Les tags sont également appelés tags sécurisés. Les tags vous permettent de définir des sources et des cibles dans les stratégies de pare-feu réseau globales et régionales. Les tags sont différents des tags réseau. Les tags réseau sont des chaînes simples, non des clés et des valeurs, et n'offrent aucun type de contrôle d'accès. Pour en savoir plus sur les différences entre les tags et les tags réseau, ainsi que sur les produits compatibles, consultez la section Comparaison des tags et des tags réseau.
Règles de pare-feu VPC
Les règles de pare-feu VPC vous permettent d'autoriser ou de refuser les connexions depuis ou vers des instances de VM dans votre réseau VPC. Les règles de pare-feu VPC activées sont toujours appliquées, protégeant ainsi vos instances quels que soient leur configuration et leur système d'exploitation, et même si celles-ci n'ont pas encore démarré. Ces règles s'appliquent à un projet et à un réseau donnés. Pour en savoir plus, consultez la section Règles de pare-feu VPC.
Étapes suivantes
- Pour obtenir des informations conceptuelles sur Cloud NGFW, consultez la page Présentation de Cloud NGFW.
- Pour obtenir des informations conceptuelles sur les règles de stratégie de pare-feu, consultez la section Règles de stratégie de pare-feu.
- Pour créer, mettre à jour, surveiller ou supprimer des règles de pare-feu VPC, consultez la section Utiliser des règles de pare-feu VPC.
- Pour déterminer les coûts, consultez la section Tarifs de Cloud NGFW.