이 페이지에서는 Cloud Next Generation Firewall (Cloud NGFW)의 가격 책정을 설명합니다.

Cloud NGFW는 3가지 등급으로 제공되며, 각 등급은 서로 다른 수준의 기능과 성능을 제공합니다.

• Cloud NGFW Essentials: 무료로 제공되는 기본 방화벽 서비스입니다. 이 등급을 사용하면 IP 범위, 포트, 프로토콜을 포함한 표준 네트워크 속성을 기반으로 규칙을 만들 수 있습니다.
• Cloud NGFW Standard: 정규화된 도메인 이름 (FQDN) 객체, 위협 인텔리전스 등의 기능으로 Essentials를 확장합니다.
• Cloud NGFW Enterprise: 침입 감지 및 방지 서비스 (IDPS)와 URL 필터링과 같은 고급 레이어 7 보안 기능을 제공합니다.

방화벽 정책에서 사용하는 기능에 따라 요금이 청구됩니다.

방화벽 정책에서 Cloud NGFW Essentials 규칙을 사용하는 경우 요금이 청구되지 않습니다. 고급 검사가 필요하지 않은 트래픽에는 Essential 등급 기능을 사용하는 것이 좋습니다.

트래픽 흐름이 Cloud NGFW Standard 기능을 포함하는 방화벽 정책 규칙에 의해 평가되면 데이터 처리에 대한 요금이 청구됩니다.

데이터 처리 요금은 다음과 같은 북남 트래픽 흐름에 적용됩니다.

• 인터넷에서 대상 가상 머신 (VM) 인스턴스로의 트래픽 (인그레스).
• 대상 VM 인스턴스에서 인터넷으로의 트래픽 (이그레스)
• 데이터 처리는 기가바이트 (GiB) 단위로 측정됩니다.
• 요금은 방화벽 정책 평가가 발생하는 프로젝트에 청구됩니다. 공유 VPC 네트워크의 경우 요금이 호스트 프로젝트에 청구됩니다.

데이터 처리 요금은 Google Cloud 내 리소스 간 트래픽 (동서 트래픽) 또는 프록시 기반 부하 분산기에 의해 가로채인 트래픽에는 적용되지 않습니다.

다음 표에는 Cloud Standard 등급의 가격 책정 정보가 요약되어 있습니다.

Cloud NGFW Enterprise 기능이 포함된 방화벽 정책 규칙에 의해 트래픽 흐름이 평가되면 다음 구성요소를 기준으로 추가 요금이 발생합니다.

• 배포된 각 방화벽 엔드포인트에 대한 시간당 요금.
• 검사된 트래픽에 대한 GB당 요금

방화벽 엔드포인트 요금

조직에 배포된 각 방화벽 엔드포인트에 대해 시간당 요금이 청구됩니다. 방화벽 엔드포인트는 조직 수준 리소스이므로 엔드포인트 요금은 결제 프로젝트에 청구됩니다.

데이터 처리 요금

Cloud NGFW 레이어 7 보안 기능으로 검사된 모든 트래픽에 대해 요금이 청구되며, 여기에는 지정된 흐름의 양방향 트래픽이 포함됩니다.

• 데이터 처리 요금은 방화벽 정책을 소유하는 프로젝트에 청구됩니다.
• 공유 VPC 네트워크의 경우 이러한 요금은 호스트 프로젝트에 청구됩니다.

참고: 트래픽 흐름이 Cloud NGFW Standard 및 Cloud NGFW Enterprise 기능을 모두 사용하는 규칙에 의해 평가되는 경우 Cloud NGFW Enterprise 데이터 처리 비용만 청구됩니다. 해당 흐름에 대한 Cloud NGFW Standard 요금이 면제됩니다.

다음 표에는 Cloud Enterprise 등급의 가격 책정 정보가 요약되어 있습니다.

계층식 방화벽 정책의 가격은 정책 내 규칙 속성의 총 개수와 정책이 적용되는 가상 머신 (VM) 인스턴스 수에 따라 책정됩니다. 규칙 속성은 IP 주소 범위, 포트, 프로토콜, 서비스 계정과 같은 규칙 내의 특정 구성입니다.

계층식 방화벽 정책에는 등급별 데이터 처리 요금 외에 자체 요금이 부과됩니다. 가격은 정책의 모든 규칙에 걸쳐 총 속성 수를 기준으로 VM당 월별로 계산됩니다.

Virtual Private Cloud (VPC) 방화벽 규칙은 무료입니다.

방화벽 통계 가격 책정은 Network Intelligence Center 가격 책정에 설명되어 있습니다.

방화벽 규칙 로깅 가격 책정에 관한 설명은 Network Telemetry 가격 책정에 나와 있습니다.

다음 시나리오에서는 일반적인 사용 사례에 Cloud NGFW 가격 책정이 어떻게 적용되는지 보여줍니다.

VPC 방화벽 규칙을 사용 중이며 추가 기능에 대한 비용을 지불하지 않고도 최신 정책 구조로 업그레이드하고 싶습니다.

해결 방법: 기존 규칙을 Cloud NGFW Essentials 등급으로 마이그레이션할 수 있습니다. 이 등급에는 VPC 방화벽 규칙의 모든 기능이 포함되어 있으며 주소 그룹과 같은 더 강력한 기능이 무료로 추가됩니다.

비용: 마이그레이션 도구와 Essentials 등급 기능은 완전히 무료로 사용할 수 있습니다.

내부 동서 트래픽에 대해 무료 태그 기반 규칙을 사용하고, Internal-VM으로 태그된 특정 VM 그룹에 대한 인터넷 액세스를 차단하며, 나머지 인터넷 바운드 이그레스 트래픽에 고급 규칙을 적용하려고 합니다.

해결 방법: 규칙이 특정 우선순위 순서로 처리되는 방화벽 정책을 만들어 이를 달성할 수 있습니다.

1. 규칙 1 (우선순위 1000, 가장 높은 우선순위): 모든 동서 트래픽을 처리하기 위한 Cloud NGFW Essentials 방화벽 규칙을 만듭니다. 또한 인터넷에 연결되지 않은 VM에 Internal-VM 태그를 지정해야 합니다.
2. 규칙 2 (우선순위 2000): Internal-VM 태그가 있는 모든 VM의 인터넷 액세스를 거부하는 태그 기반 Essentials 규칙을 만듭니다.
3. 규칙 3 (우선순위 3000): Cloud NGFW Standard 기능을 사용하여 나머지 모든 인터넷 바운드 이그레스 트래픽을 검사하는 규칙을 만듭니다.

비용: 최종 방화벽 규칙 (규칙 3번)에 의해 평가되는 이그레스 트래픽을 처리하는 데에만 비용을 지불합니다. 무료 규칙이 모든 내부 트래픽과 차단된 VM을 처리하므로 비용은 검사를 위해 명시적으로 전송하는 인터넷 바운드 트래픽으로만 제한됩니다.

프로덕션 데이터베이스를 오가는 트래픽에만 고급 IDPS 규칙을 적용하고 다른 모든 내부 동서 트래픽은 무료로 통과하도록 허용하고 싶습니다.

해결책: 일반 트래픽 규칙 위에 특정 우선순위가 높은 규칙을 계층화하는 방화벽 정책을 만들어 이를 달성할 수 있습니다.

1. 규칙 1 (우선순위 1000, 가장 높은 우선순위): IP 주소와 태그를 기반으로 대부분의 동서 트래픽을 처리하기 위해 무료 Cloud NGFW Essentials 규칙을 만듭니다.
2. 규칙 2 (우선순위 2000): Cloud NGFW Enterprise를 사용하여 우선순위가 더 높은 특정 규칙을 만듭니다. 이 규칙은 데이터베이스 대상 태그와 유효한 DB 클라이언트 소스 태그가 있는 트래픽만 일치하도록 구성되어 있으며, IDPS 검사를 수행하도록 작업을 설정합니다.

비용: IDPS 검사를 위해 전송하는 정확한 트래픽 흐름에 대해서만 Cloud NGFW Enterprise 요금이 청구됩니다. 이 세분화된 태그 기반 접근방식을 사용하면 내부 네트워크의 모든 패킷을 검사하는 데 비용을 지불하지 않고도 중요한 워크로드를 보호할 수 있습니다.

Cloud NGFW는 Cloud NGFW Standard 또는 Cloud NGFW Enterprise 등급의 기능을 포함하는 규칙에 의해 평가되는 트래픽의 데이터 처리에 대해 요금을 청구합니다. 규칙이 트래픽을 허용하는지 거부하는지에 관계없이 규칙이 평가될 때 요금이 발생합니다. 예를 들어 표준 지리적 위치 규칙을 사용 설정하면 트래픽이 허용된 국가에서 발생한 경우에도 해당 규칙에 의해 평가된 모든 트래픽에 대해 요금이 청구됩니다.

스탠더드 등급의 경우 인터넷에서 VM 인스턴스로의 트래픽 (인그레스)과 VM 인스턴스에서 인터넷으로의 트래픽 (이그레스)인 남북 트래픽에 대해서만 요금이 청구됩니다. Enterprise 등급의 경우 남북 트래픽과 동서 트래픽 (Google Cloud 내 리소스 간 트래픽) 모두에 대해 요금이 청구됩니다.

방화벽 정책은 규칙 우선순위에 따라 규칙에 대해 트래픽을 평가합니다. 유료 기능이 포함된 규칙으로 주어진 트래픽 흐름을 평가하는 즉시 요금이 발생합니다. 일반적인 트래픽 흐름에서 트래픽은 먼저 Cloud NGFW Essentials 기능을 사용하는 규칙에 의해 처리됩니다. 비용을 최적화하려면 유료 등급의 규칙보다 Essentials 규칙에 더 높은 우선순위를 할당할 수 있습니다. 트래픽이 Essentials 규칙과 일치하지 않으면 Cloud NGFW Standard 또는 Cloud NGFW Enterprise 등급의 기능을 사용하는 규칙에 의해 평가됩니다.

Cloud NGFW는 동일한 트래픽 흐름에 대해 이중으로 요금을 청구하지 않습니다. 예를 들어 트래픽 흐름이 Standard 규칙과 Enterprise 규칙 모두에 의해 평가되는 경우 Enterprise 규칙 평가에 대해서만 요금이 청구됩니다.

청구 계산 방식을 이해하는 데 도움이 되도록 다음 섹션에서는 일반적인 방화벽 정책 시나리오를 안내합니다.

이 시나리오에서 정책은 Cloud NGFW Essentials 및 Cloud NGFW Standard 등급의 무료 기능과 유료 기능을 모두 사용합니다. 정책에서 Essentials 규칙은 Standard 규칙보다 우선순위가 높습니다 (우선순위 번호가 더 작음).

100GB의 north-south 트래픽 (인터넷에서 네트워크로, 네트워크에서 인터넷으로의 트래픽)이 네트워크에 유입되어 다음과 같이 평가된다고 가정합니다.

1. 50GB의 트래픽은 Cloud NGFW Essential 규칙에 대해 평가됩니다. 이 처리는 무료입니다.
2. 나머지 50GB의 트래픽은 Cloud NGFW Standard 기능이 포함된 정책의 다음 규칙으로 진행됩니다. 이 50GB 트래픽은 Cloud NGFW Standard 요금으로 청구됩니다.

결제 요약:

• 표준 청구 트래픽: 50GB
• 청구된 총 트래픽: 50GB

이 시나리오에서는 방화벽 정책 규칙이 IDPS 검사를 위한 청구 가능한 처리를 트리거하는 무료 기능을 사용합니다. 정책에서 Essentials 규칙은 Enterprise 규칙보다 우선순위가 높습니다 (우선순위 번호가 더 낮음).

100GB의 북-남 트래픽이 네트워크에 유입되어 다음과 같이 평가된다고 가정해 보겠습니다.

1. 50GB의 트래픽은 Cloud NGFW Essential 규칙에 대해 평가됩니다. 이 처리는 무료입니다.
2. 나머지 50GB의 트래픽은 정책의 다음 규칙으로 진행됩니다. 엔터프라이즈 기능이 포함된 규칙은 IDPS 검사를 위해 일치하는 트래픽을 전송합니다. 이 50GB 트래픽은 Cloud NGFW Enterprise 요금으로 청구됩니다.

결제 요약:

• Enterprise 청구 트래픽: 50GB
• 청구된 총 트래픽: 50GB + 엔드포인트 배포 비용

이 시나리오에서는 방화벽 정책 규칙이 세 가지 등급의 모든 기능으로 구성됩니다. 정책에서 Essentials 규칙은 우선순위가 가장 높고 (우선순위 번호가 낮음), 그 다음으로 Enterprise와 Standard의 기능을 결합한 우선순위가 낮은 규칙이 옵니다.

100GB의 북-남 트래픽이 네트워크에 유입되어 다음과 같이 평가된다고 가정해 보겠습니다.

1. 50GB의 트래픽은 Cloud NGFW Essential 규칙에 대해 평가됩니다. 이 처리는 무료입니다.
2. 나머지 50GB의 트래픽은 Cloud NGFW Enterprise 및 Cloud NGFW Standard 등급의 기능을 결합한 정책에서 우선순위가 낮은 다음 규칙으로 진행됩니다.

단일 규칙이 여러 등급의 기능을 사용하는 경우 트래픽은 사용된 가장 높은 등급의 요율로 청구됩니다. 따라서 이 50GB 트래픽은 Cloud NGFW Enterprise 요금으로 청구됩니다.

결제 요약:

• Enterprise 청구 트래픽: 50GB
• 청구된 총 트래픽: 50GB + 엔드포인트 배포 비용