Was ist Cloud NGFW?
Cloud NGFW ist der cloud-native, vollständig verteilte Firewall-Dienst von Google Cloud. Anders als klassische Firewall-Appliances erzwingt Cloud NGFW die Regeln host-basiert direkt an jeder VM und nicht an einem zentralen Engpass. Die Konfiguration erfolgt über hierarchische, globale und regionale Netzwerk-Firewall-Policies, die sich konsistent über Organisationen, Ordner und VPC-Netzwerke anwenden lassen.
Cloud NGFW löst das Problem, Netzwerksegmentierung und Bedrohungsabwehr ohne separate Inline-Appliance umzusetzen. In der Enterprise-Stufe erweitert Cloud NGFW den reinen Netzwerkfilter um Layer-7-Sicherheit: Intrusion Detection und Prevention, TLS-Inspektion und URL-Filterung. So inspizieren Sie nicht nur IP-Adressen, Ports und Protokolle, sondern auch den Anwendungsverkehr selbst und blockieren Malware, Spyware sowie Command-and-Control-Verbindungen direkt im Datenpfad.
Kernfunktionen
- Drei Stufen: Essentials (kostenlos, Regeln auf Basis von IP-Bereichen, Ports und Protokollen), Standard (zusätzlich FQDN-Objekte und Threat Intelligence) und Enterprise (zusätzlich Layer-7-Sicherheit).
- Layer-7-Schutz (Enterprise): Intrusion Detection und Prevention (IDPS), TLS-Inspektion und URL-Filterung prüfen den Anwendungsverkehr und blockieren bekannte Bedrohungen.
- Threat-Engine von Palo Alto Networks: Die Threat-Prevention-Signaturen (Anti-Spyware, Vulnerability Protection, Antivirus) basieren auf Technologie von Palo Alto Networks und werden als von Google verwalteter Dienst betrieben.
- Verteilte, host-basierte Durchsetzung: Regeln greifen an jeder VM statt an einer Appliance. Zonale Firewall-Endpoints inspizieren den Workload-Traffic transparent per Packet-Intercept gegen die konfigurierten Signaturen.
Typische Anwendungsfälle
North-South-Schutz: Sie sichern den ein- und ausgehenden Internet-Traffic zu und von Ihren VM-Instanzen ab. Bereits die Standard-Stufe deckt diesen Datenverkehr über FQDN-Objekte und Threat Intelligence ab.
Ost-West-Inspektion: Sie inspizieren den Datenverkehr zwischen Workloads innerhalb von Google Cloud und setzen eine feingranulare Mikrosegmentierung um. Diese Abrechnung und Inspektion ist Teil der Enterprise-Stufe.
Bedrohungsabwehr und Web-Kontrolle: Sie erkennen und blockieren Malware, Spyware und Command-and-Control-Verkehr per IDPS, prüfen verschlüsselten Datenverkehr per TLS-Inspektion und steuern ausgehenden Web-Zugriff per URL-Filterung.
Vorteile
- Cloud-native und vollständig verteilt: kein zentraler Engpass und keine zu skalierende Appliance.
- Schrittweise Adoption über drei Stufen vom kostenlosen Basisschutz bis zu vollständiger Layer-7-Sicherheit.
- Verwaltete Threat-Prevention-Technologie von Palo Alto Networks ohne eigenen Betrieb von Drittanbieter-Software.
Integration mit innFactory
Als zertifizierter Google Cloud Partner unterstützt innFactory Sie bei Einführung und Betrieb dieses Service.
Typische Anwendungsfälle
Häufig gestellte Fragen
Was ist Cloud NGFW?
Cloud NGFW ist der cloud-native, vollständig verteilte Firewall-Dienst von Google Cloud. Die Durchsetzung erfolgt host-basiert an jeder VM statt an einer zentralen Appliance. In der Enterprise-Stufe erweitert Cloud NGFW den Netzwerkschutz um Layer-7-Funktionen wie Intrusion Detection und Prevention, TLS-Inspektion und URL-Filterung.
Wann sollte ich Cloud NGFW einsetzen?
Setzen Sie Cloud NGFW ein, wenn Sie Internet-Ingress und -Egress (North-South) absichern, Ost-West-Traffic zwischen VPC-Workloads inspizieren oder Bedrohungen wie Malware, Spyware und Command-and-Control-Verkehr erkennen und blockieren wollen. Die Enterprise-Stufe eignet sich, wenn Sie verschlüsselten Datenverkehr per TLS-Inspektion prüfen und ausgehenden Web-Zugriff per URL-Filterung steuern müssen.
Was kostet Cloud NGFW?
Das Preismodell ist gestaffelt. Die Stufe Essentials ist kostenlos. Standard wird nach verarbeitetem North-South-Datenvolumen abgerechnet. Enterprise wird nach North-South- und Ost-West-Datenvolumen sowie zusätzlich pro bereitgestellter Firewall-Endpoint-Stunde abgerechnet. Aktuelle Sätze stehen auf der offiziellen Preisseite.
Welche Layer-7-Funktionen bietet die Enterprise-Stufe und wer liefert die Threat-Engine?
Die Enterprise-Stufe bietet Intrusion Detection und Prevention (IDPS), TLS-Inspektion und URL-Filterung. Die Threat-Prevention-Signaturen (Anti-Spyware, Vulnerability Protection, Antivirus) basieren auf der Threat-Prevention-Technologie von Palo Alto Networks und werden als von Google verwalteter Dienst über zonale Firewall-Endpoints bereitgestellt.
