Cloud Next Generation Firewall est un service de pare-feu distribué qui vous permet de sécuriser vos charges de travail Google Cloud . Les charges de travail incluent les applications et les services qui s'exécutent sur Google Cloud ou qui consomment des ressourcesGoogle Cloud . Cloud NGFW vous permet de protéger vos charges de travail contre les menaces externes provenant d'Internet public et les menaces internes au sein de votre propre réseau.
Cloud NGFW présente les avantages suivants :
Service de pare-feu distribué. Cloud NGFW applique des règles de pare-feu à chaque charge de travail d'un réseau et vérifie chaque connexion entrante et sortante pour détecter les menaces.
Cette approche met en place un framework de sécurité zéro confiance, dans lequel le service de pare-feu vérifie chaque connexion avant qu'elle n'atteigne sa destination. Si une charge de travail de votre réseau est compromise, Cloud NGFW protège les autres charges de travail en vérifiant chaque connexion entrante ou sortante vers et depuis d'autres charges de travail.
Configuration et déploiement simplifiés : Cloud NGFW implémente des stratégies de réseau et de pare-feu hiérarchiques pouvant être associées à un nœud de la hiérarchie des ressources. Ces stratégies fournissent une expérience de pare-feu cohérente dans la hiérarchie des ressourcesGoogle Cloud .
Contrôle précis et microsegmentation : Cloud NGFW vous permet de contrôler le trafic réseau de manière détaillée. Pour ce faire, il combine des stratégies de pare-feu avec des tags sécurisés.
Cette approche permet de contrôler précisément le trafic réseau, même pour une seule machine virtuelle (VM). Cloud NGFW vous aide à gérer le trafic entrant et sortant de Google Cloud (trafic nord-sud) et le trafic entre les applications et les services dans Google Cloud(trafic est-ouest). Ce contrôle s'étend aux réseaux et aux organisations de cloud privé virtuel (VPC).
Cloud NGFW est disponible dans les niveaux suivants :
- Cloud Next Generation Firewall Essentials
- Cloud Next Generation Firewall Standard
- Cloud Next Generation Firewall Enterprise
Cloud NGFW fournit également des fonctionnalités supplémentaires que vous pouvez ajouter à ces niveaux. Pour en savoir plus sur la tarification des niveaux de pare-feu et des fonctionnalités supplémentaires, consultez la page Tarifs de Cloud NGFW.
Principes de base de Cloud NGFW
Cloud NGFW Essentials est le service de pare-feu de base proposé par Google Cloud. Il propose les fonctionnalités et les possibilités suivantes :
Les stratégies de pare-feu de réseau au niveau mondial et les stratégies de pare-feu de réseau régionales vous permettent de regrouper des règles de pare-feu dans un objet de stratégie applicable à toutes les régions ou à des régions spécifiques.
Les tags sécurisés associés aux stratégies de pare-feu de réseau permettent de microsegmenter et de contrôler avec précision vos ressourcesGoogle Cloud . Les tags sécurisés sont gérés de manière centralisée avec des ID uniques et un contrôle IAM strict. Vous pouvez référencer ces tags sécurisés dans les règles de stratégie de pare-feu de réseau pour un contrôle des accès plus strict et uniforme dans vos régions et votre réseau.
Les groupes d'adresses combinent plusieurs adresses IP et plages d'adresses IP en une seule unité logique nommée. Vous pouvez référencer le même groupe d'adresses dans plusieurs règles de pare-feu pour le contrôle d'entrée et de sortie.
Les règles de pare-feu VPC qui utilisent des tags réseau et des comptes de service filtrent le trafic entrant et sortant au niveau du réseau.
Cloud NGFW Standard
Cloud NGFW Standard étend les fonctionnalités de Cloud NGFW Essentials pour fournir des fonctionnalités améliorées permettant de protéger votre infrastructure cloud contre les attaques malveillantes.
Il comprend les fonctionnalités suivantes :
Les objets de nom de domaine complet dans les règles de stratégie de pare-feu filtrent le trafic entrant ou sortant de domaines spécifiques. Selon la direction du trafic, les adresses IP associées aux noms de domaine sont mises en correspondance avec la source ou la destination du trafic.
Les objets de géolocalisation dans les règles de stratégie de pare-feu filtrent le trafic IPv4 et IPv6 externe en fonction d'emplacements géographiques ou de régions spécifiques.
- Google Threat Intelligence pour les règles de stratégie de pare-feu vous permet de sécuriser votre réseau en autorisant ou en bloquant le trafic en fonction de listes de données Google Threat Intelligence.
Cloud NGFW Enterprise
Cloud Next Generation Firewall Enterprise fournit des fonctionnalités de sécurité avancées de couche 7 qui protègent vos charges de travail Google Cloud contre les menaces et les attaques malveillantes.
Cloud Next Generation Firewall Enterprise inclut un service de détection et de prévention des intrusions basé sur les signatures, avec interception et déchiffrement TLS (Transport Layer Security), qui assure la détection et la prévention des menaces contre les logiciels malveillants, les logiciels espions et les attaques de commande et de contrôle sur votre réseau.
Autres fonctionnalités
En plus des fonctionnalités disponibles dans les niveaux Cloud NGFW Essentials, Cloud NGFW Standard et Cloud NGFW Enterprise, Cloud NGFW propose les fonctionnalités suivantes :
Les règles de stratégies de pare-feu hiérarchiques créent et appliquent une stratégie de pare-feu cohérente dans votre organisation. Elles peuvent être affectées à l'organisation dans son ensemble ou bien à des dossiers individuels.
La journalisation des règles de pare-feu vous permet de vérifier si les règles de pare-feu sont utilisées comme prévu.