Palo Alto 在 Google Cloud Platform 上的方案選擇
在上一次的文章結尾我們說到要來談怎樣選擇所使用的 Palo Alto 方案,而在介紹它們之前,我想先來談談 Palo Alto 防火牆在 GCP 上的定位點。
一般在地端的做法,會先在服務主機前,透過防火牆、資安設備進行防護,但如果是把服務搬上雲端呢?大部分的客戶都會優先直接採用 VM 的防火牆來進行管控,因為非常的便利,而且可以以很輕鬆的堆疊 Load Balancing / WAF / CDN 等服務。
然而這樣的便利性,在複雜的環境中,就會是個問題,因為最終還是會需要進行集中化的管理,還好,我們可以透過 GCP 的 share VPC 架構,來將服務、資源藉由集中化的網路架構來進行規劃與管理。
過往許多的資安事件,都是因為 IT 人員為求管理便利,進而產生了管理服務的缺口,導致資安事件的發生,而這樣事件,仍持續的再發生中。
Shared VPC 的架構讓各個專案能夠透過 Palo Alto 所在的主專案來對外連線,以避免在每個專案都開啟防火牆所造成的重複性費用並集中化管理所有的對外連線,這樣的網路架構方式對於後續要添加新的服務、新的專案,都會有一致性的政策、規範,避免因為維運的便利,而造成資安上的風險。
Palo Alto VM 防火牆,就是最適合的選擇,它可以同時擔任網際網路以及 GCP 的VPC 網路兩者間的橋樑和關卡,針對東西、南北向的網路流量進行存取管控,並分析應用服務交換的數據資料中,是否存在潛在的威脅並進行攔阻與通報。
談完了架構,接下來我們再聊一聊關於錢這檔事,畢竟服務上了雲,就一定要錙銖必較,不是嗎?
目前我們在 GCP 的 Marketplace 上,有三種不同的 vm-series 的方案可以進行選擇,分別是 PAYG(Pay As You Go) 的 Bundle1 和 Bundle2 以及 BYOL (Bring Your Own License),各自代表了不同的功能以及不一樣的價錢。
對還不熟悉雲平台或是 Palo Alto 、抱持試試看心態的人,小編建議您可以先採用PAYG 在單一專案中來做使用、測試。 PAYG 就像是設計好的套餐,把 IPS、URL Filtering 等等的功能放進去,也不用再另外購買授權,讓你可以用最快速的方式體驗它的功能與更容易的去計算費用,PAYG 分為 Bundle1 和 Bundle2 兩種方案,後者包含的功能授權比前者要來的多,同時也比較貴,如果只是想測試或熟悉這個平台,選擇 Bundle1 即可。
如果您對 Palo Alto 防火牆,已經有一定程度的熟悉,或是已經透過 PAYG 方案,確認過相關的功能,希望進行模組的客製化選擇或者是藉由年約訂購來獲取更多的折扣,那麼選擇 BYOL 方案就對了, BYOL 方案讓您可以自己購買想要的授權來啟用,這樣的場景更適合搭配前文提到的 Shared VPC 架構進行便捷的中央管控及監測。
在內容的最後,我們再加碼幫各位整理一下比較資料,大家可以透過比較資料來評估最適合的選擇。另外,也要留意一下,因為是雲平台服務,所以這些資訊可能隨時間會有些微的變化、更新,建議大家在選購前,記得要睜大眼睛再確認一下唷!
| 授權方案 | 軟體、功能 | VM價格(持續使用折扣) |
|---|---|---|
| PAYG (Bundle 1) | Threat Prevention (includes IPS, AV, malware prevention), and Premium Support (English only) | 每月 USD 1,234.68 (8 個 vCPU + 30 GB 記憶體 (n1-standard-8)) ,價格隨規格變更 |
| PAYG (Bundle 2) | Threat Prevention (includes IPS, AV, malware prevention), DNS Security, WildFire, URL Filtering (PAN-DB),GlobalProtect and Premium Support (English only) | 每月 USD 1,541.28 (8 個 vCPU + 30 GB 記憶體 (n1-standard-8)) ,價格隨規格變更 |
| BYOL / ELA | None On GCP 客制化選擇所想要的方案 | 每月 USD 198.08 + 自行購買授權費用 (8 個 vCPU + 30 GB 記憶體 (n1-standard-8)) ,價格隨規格變更 |
發佈日期: 2021-08-12 | Jadson | 點看更多雲端好文
更多 Palo Alto Networks 解決方案 : 有效率的防疫解決方案