Tarifs de Cloud Next Generation Firewall

Cette page décrit la tarification de Cloud Next Generation Firewall (Cloud NGFW).

Niveaux de Cloud NGFW

Cloud NGFW est disponible dans trois niveaux, chacun offrant différents niveaux de fonctionnalités et de capacités :

  • Cloud NGFW Essentials : service de pare-feu de base proposé sans frais. Ce niveau vous permet de créer des règles basées sur des attributs réseau standards, y compris des plages d'adresses IP, des ports et des protocoles.
  • Cloud NGFW Standard  : étend les fonctionnalités d'Essentials avec des fonctionnalités telles que les objets de nom de domaine complet (FQDN) et les renseignements sur les menaces.
  • Cloud NGFW Enterprise  : fournit des fonctionnalités de sécurité avancées de couche 7, telles que le service de détection et de prévention des intrusions (IDPS) et le filtrage d'URL.

Vous êtes facturé en fonction des fonctionnalités que vous utilisez dans vos règles de pare-feu.

Niveau Cloud NGFW Essentials

L'utilisation des règles Cloud NGFW Essentials dans vos stratégies de pare-feu n'entraîne aucun frais. Nous vous recommandons d'utiliser les fonctionnalités du niveau Essential pour le trafic qui ne nécessite pas d'inspection avancée.

Niveau Cloud NGFW Standard

Lorsqu'un flux de trafic est évalué par une règle de stratégie de pare-feu contenant des fonctionnalités Cloud NGFW Standard, des frais de traitement des données vous sont facturés.

Des frais de traitement des données s'appliquent aux flux de trafic nord-sud suivants :

  • Trafic provenant d'Internet et destiné à une instance de machine virtuelle (VM) cible (entrée)
  • Trafic d'une instance de VM cible vers Internet (sortie).
  • Le traitement des données est mesuré en gigaoctets (Gio).
  • Les frais sont facturés au projet dans lequel l'évaluation de la stratégie de pare-feu a lieu. Pour un réseau VPC partagé, les frais sont facturés au projet hôte.

Les frais de traitement des données ne s'appliquent pas au trafic entre les ressources au sein de Google Cloud (trafic est-ouest) ni au trafic intercepté par les équilibreurs de charge basés sur un proxy.

Le tableau suivant récapitule les tarifs du niveau Cloud Standard.

Niveau

Prix (USD) par Go évalué

Cloud NGFW Standard

0,0193 $US / 1 gibibyte

Cloud NGFW Enterprise

Lorsqu'un flux de trafic est évalué par une règle de stratégie de pare-feu contenant des fonctionnalités Cloud NGFW Enterprise, des frais supplémentaires vous sont facturés en fonction des composants suivants :

  • Un tarif horaire pour chaque point de terminaison de pare-feu déployé.
  • Un coût par gigaoctet pour le trafic inspecté.

Frais liés aux points de terminaison de pare-feu

Vous êtes facturé à l'heure pour chaque point de terminaison de pare-feu déployé dans votre organisation. Comme le point de terminaison de pare-feu est une ressource au niveau de l'organisation, les frais associés au point de terminaison sont facturés à votre projet de facturation.

Frais de traitement des données

Vous êtes facturé pour tout le trafic inspecté par les fonctionnalités de sécurité de couche 7 de Cloud NGFW, y compris le trafic dans les deux sens d'un flux donné.

  • Les frais de traitement des données sont facturés au projet auquel appartient la règle de pare-feu.
  • Pour un réseau VPC partagé, ces frais sont facturés au projet hôte.

Remarque : Si un flux de trafic est évalué par des règles qui utilisent à la fois des fonctionnalités Cloud NGFW Standard et Cloud NGFW Enterprise, vous n'êtes facturé que pour le traitement des données Cloud NGFW Enterprise. Les frais Cloud NGFW Standard pour ce flux sont annulés.

Le tableau suivant récapitule les tarifs du niveau Cloud Enterprise.

Niveau

Déploiement de points de terminaison

Traitement des données

Cloud NGFW Enterprise

1,75 $US / 1 hour0,0193 $US / 1 gibibyte

Stratégies de pare-feu hiérarchiques

La tarification des stratégies de pare-feu hiérarchiques dépend du nombre total d'attributs de règles dans une stratégie et du nombre d'instances de machine virtuelle (VM) auxquelles la stratégie s'applique. Un attribut de règle est une configuration spécifique au sein d'une règle, comme une plage d'adresses IP, un port, un protocole ou un compte de service.

En plus des frais de traitement des données spécifiques à chaque niveau, les stratégies de pare-feu hiérarchiques entraînent des frais supplémentaires. Le prix est calculé par VM et par mois, en fonction du nombre total d'attributs dans toutes les règles de la stratégie.

Nombre d'attributs inclus dans l'ensemble des règles d'une stratégie

Prix (USD)

500 ou moins (standard)

0,001369863 $US / 1 hour

501 ou plus (étendue)

0,002054795 $US / 1 hour

Une stratégie qui ne s'applique à aucune VM n'est pas facturée.

Règles de pare-feu VPC

Les règles de pare-feu de cloud privé virtuel (VPC) sont sans frais.

Firewall Insights

Les tarifs de Firewall Insights sont décrits dans les tarifs de Network Intelligence Center.

Journalisation des règles de pare-feu

Les tarifs de la journalisation des règles de pare-feu sont décrits dans les tarifs de Network Telemetry.

Scénarios de tarification

Les scénarios suivants illustrent comment la tarification de Cloud NGFW s'applique à des cas d'utilisation courants.

Scénario 1 : Mettre à niveau vos pare-feu VPC

Vous utilisez des règles de pare-feu VPC et vous souhaitez passer à une structure de stratégie plus moderne sans payer pour des fonctionnalités supplémentaires.

Solution : Vous pouvez migrer vos règles existantes vers le niveau Cloud NGFW Essentials. Ce niveau inclut toutes les fonctionnalités des règles de pare-feu VPC et ajoute sans frais des fonctionnalités plus puissantes, comme les groupes d'adresses.

Coût : les outils de migration et l'utilisation des fonctionnalités du niveau Essentials sont entièrement sans frais.

Scénario 2 : Sécuriser le trafic est-ouest et le trafic de sortie avec des règles en couches

Vous souhaitez utiliser des règles sans frais basées sur des tags pour le trafic interne est-ouest, bloquer l'accès à Internet pour un groupe spécifique de VM taguées "Internal-VM" et appliquer des règles avancées au trafic sortant restant destiné à Internet.

Solution  : vous pouvez créer une stratégie de pare-feu dans laquelle les règles sont traitées selon un ordre de priorité spécifique :

  1. Règle n° 1 (priorité 1000, la plus élevée) : Créer des règles de pare-feu Cloud NGFW Essentials pour gérer tout le trafic est-ouest. Vous devez également taguer les VM qui ne sont pas connectées à Internet avec le tag "Internal-VM".
  2. Règle n° 2 (priorité 2000) : créez une règle Essentials basée sur les tags qui refuse l'accès à Internet pour toute VM dotée du tag "Internal-VM".
  3. Règle n° 3 (priorité 3000) : créez une règle qui inspecte tout le trafic sortant restant destiné à Internet à l'aide des fonctionnalités Cloud NGFW Standard.

Coût  : vous ne payez que le traitement du trafic de sortie évalué par votre règle de pare-feu finale (règle n° 3). Comme les règles sans frais gèrent tout votre trafic interne et les VM bloquées, vous limitez vos coûts au trafic lié à Internet que vous envoyez explicitement pour inspection.

Scénario 3 : Appliquer IDPS à un trafic est-ouest spécifique

Vous souhaitez appliquer des règles IDPS avancées uniquement au trafic entrant et sortant d'une base de données de production, tout en autorisant le passage de tout autre trafic interne est-ouest sans frais.

Solution : vous pouvez créer une stratégie de pare-feu qui superpose une règle spécifique de priorité élevée à vos règles de trafic générales :

  1. Règle n° 1 (priorité 1000, la plus élevée) : créez des règles Cloud NGFW Essentials sans frais pour gérer la majeure partie de votre trafic est-ouest en fonction des adresses IP et des tags.
  2. Règle n° 2 (priorité 2000) : vous créez une règle spécifique de priorité supérieure à l'aide de Cloud NGFW Enterprise. Cette règle est configurée pour ne correspondre qu'au trafic avec une balise cible "Database" et une balise source "valid-DB-client", et son action est définie sur "Effectuer une inspection IDPS".

Coût : vous ne payez que les frais Cloud NGFW Enterprise pour les flux de trafic précis que vous envoyez pour l'inspection IDPS. Cette approche granulaire basée sur des tags vous permet de protéger les charges de travail critiques sans avoir à payer pour inspecter chaque paquet sur votre réseau interne.

Fonctionnement de la facturation

Cloud NGFW vous facture le traitement des données du trafic évalué par des règles contenant des fonctionnalités des niveaux Cloud NGFW Standard ou Cloud NGFW Enterprise. Des frais vous sont facturés lorsqu'une règle est évaluée, qu'elle autorise ou refuse le trafic. Par exemple, si vous activez une règle de géolocalisation standard, vous êtes facturé pour tout le trafic évalué par cette règle, même si le trafic provient d'un pays autorisé.

Dans le niveau Standard, vous n'êtes facturé que pour le trafic nord-sud d'Internet vers les instances de VM (entrée) et le trafic des instances de VM vers Internet (sortie). Pour le niveau Enterprise, vous êtes facturé pour le trafic nord-sud et est-ouest (trafic entre les ressources dans Google Cloud).

Les stratégies de pare-feu évaluent le trafic par rapport aux règles en fonction de leur priorité. Des frais sont facturés dès qu'un flux de trafic donné est évalué par une règle avec des fonctionnalités payantes. Dans un flux de trafic typique, le trafic est d'abord traité par des règles qui utilisent les fonctionnalités Cloud NGFW Essentials. Pour optimiser les coûts, vous pouvez attribuer une priorité plus élevée aux règles Essentials qu'aux règles des niveaux payants. Si le trafic ne correspond à aucune règle Essentials, il est ensuite évalué par les règles qui utilisent des fonctionnalités des niveaux Cloud NGFW Standard ou Cloud NGFW Enterprise.

Cloud NGFW ne vous facture pas deux fois le même flux de trafic. Par exemple, si un flux de trafic est évalué par des règles Standard et Enterprise, vous n'êtes facturé que pour l'évaluation des règles Enterprise.

Pour vous aider à comprendre comment la facturation est calculée, les sections suivantes présentent des scénarios courants de règles de pare-feu.

Scénario 1 : Utilisation des fonctionnalités Essentials et Standard

Dans ce scénario, votre règle utilise des fonctionnalités sans frais et payantes des niveaux Cloud NGFW Essentials et Cloud NGFW Standard. Dans la stratégie, les règles Essentials ont une priorité plus élevée (un numéro de priorité plus faible) que les règles Standard.

Supposons que 100 Go de trafic nord-sud (trafic en provenance et à destination d'Internet) entrent dans votre réseau et soient évalués comme suit :

  1. 50 Go du trafic sont évalués par rapport aux règles Cloud NGFW Essential. Ce traitement est sans frais.
  2. Les 50 Go de trafic restants sont soumis à la règle suivante de la stratégie, qui inclut les fonctionnalités Cloud NGFW Standard. Ces 50 Go de trafic sont facturés au tarif Cloud NGFW Standard.

Récapitulatif de la facturation :

  • Trafic facturé au tarif standard : 50 Go
  • Trafic total facturé : 50 Go

Scénario 2 : Utilisation des fonctionnalités Essentials et Enterprise

Dans ce scénario, les règles de votre stratégie de pare-feu utilisent des fonctionnalités sans frais qui déclenchent un traitement payant pour l'inspection IDPS. Dans la stratégie, les règles Essentials ont une priorité plus élevée (un numéro de priorité plus faible) que les règles Enterprise.

Supposons que 100 Go de trafic nord-sud entrent dans votre réseau et soient évalués comme suit :

  1. 50 Go du trafic sont évalués par rapport aux règles Cloud NGFW Essential. Ce traitement est sans frais.
  2. Les 50 Go de trafic restants sont soumis à la règle suivante de la stratégie. La règle, qui inclut des fonctionnalités Enterprise, envoie le trafic correspondant pour inspection IDPS. Ces 50 Go de trafic sont facturés au tarif Cloud NGFW Enterprise.

Récapitulatif de la facturation :

  • Trafic facturé à l'entreprise : 50 Go
  • Trafic total facturé : 50 Go + frais de déploiement du point de terminaison

Scénario 3 : Combiner les fonctionnalités Essentials, Standard et Enterprise

Dans ce scénario, les règles de votre stratégie de pare-feu sont configurées avec des fonctionnalités des trois niveaux. Dans la stratégie, les règles Essentials ont la priorité la plus élevée (nombre de priorité le plus faible), suivies d'une règle de priorité inférieure qui combine des fonctionnalités d'Enterprise et de Standard.

Supposons que 100 Go de trafic nord-sud entrent dans votre réseau et soient évalués comme suit :

  1. 50 Go du trafic sont évalués par rapport aux règles Cloud NGFW Essential. Ce traitement est sans frais.
  2. Les 50 Go de trafic restants sont soumis à la règle suivante de priorité inférieure dans la stratégie qui combine des fonctionnalités des niveaux Cloud NGFW Enterprise et Cloud NGFW Standard.

Lorsqu'une seule règle utilise des fonctionnalités de plusieurs niveaux, le trafic est facturé au tarif du niveau le plus élevé utilisé. Par conséquent, ces 50 Go de trafic sont facturés au tarif Cloud NGFW Enterprise.

Récapitulatif de la facturation :

  • Trafic facturé à l'entreprise : 50 Go
  • Trafic total facturé : 50 Go + frais de déploiement du point de terminaison

Demander un devis personnalisé

Avec le paiement à l'usage de Google Cloud, vous ne payez que pour les services que vous utilisez. Contactez notre équipe commerciale pour obtenir un devis personnalisé pour votre entreprise.
Google Cloud
DocumentationAssistance
Console
Se connecter
  • Accélérez votre transformation numérique
  • Votre entreprise a déjà bien amorcé son processus de transformation numérique ? Vous n'en êtes qu'aux premiers stades ? Dans les deux cas, Google Cloud peut vous aider à relever vos défis les plus complexes.
  • Produits Google Cloud
  • Parcourez plus de 100 produits. Les nouveaux clients bénéficient de 300 $ de crédits gratuits pour exécuter, tester et déployer des charges de travail. Tous les clients peuvent utiliser plus de 25 produits gratuitement, dans les limites mensuelles spécifiées.
  • Faites des économies grâce à notre approche transparente concernant la tarification
  • Le paiement à l'usage de Google Cloud permet de réaliser des économies automatiques basées sur votre utilisation mensuelle et des tarifs réduits pour les ressources prépayées. Contactez-nous dès aujourd'hui afin d'obtenir un devis.
Google Cloud