Cloud Next Generation Firewall アプリケーション レイヤ検査は、 Google Cloud リソースの高度な保護を提供します。アプリケーション レイヤの検査(ディープ パケット インスペクションまたはレイヤ 7 インスペクションとも呼ばれます)は、ネットワーク パケットがファイアウォールを通過する際に、そのコンテンツを検査するセキュリティ プロセスです。
このドキュメントでは、Cloud NGFW でアプリケーション レイヤの検査に使用されるサービスとコンポーネントについて説明します。
アプリケーション レイヤの検査サービス
Cloud NGFW は、URL フィルタリング サービスと侵入検知および防止サービスというアプリケーション レイヤの検査サービスを提供します。アプリケーション レイヤの検査機能は、Cloud NGFW Enterprise ティアで利用できます。詳細については、Cloud NGFW Enterprise をご覧ください。
URL フィルタリング サービス
URL フィルタリング サービスを使用すると、特定の URL をブロックまたは許可することで、ウェブサイトへのアクセスを制御できます。このサービスは、Server Name Indication(SNI)を使用してドメインでフィルタできます。詳細については、URL フィルタリング サービスの概要をご覧ください。
侵入検知および防止サービス
侵入検知および防止サービスは、 Google Cloud ワークロード トラフィックに悪意のあるアクティビティがないか継続的にモニタリングし、プリエンプティブにアクションを実行して防止します。悪意のあるアクティビティには、ネットワークに対する侵入、マルウェア、スパイウェア、コマンド アンド コントロール攻撃などの脅威があります。詳細については、 侵入検知と防止サービスの概要をご覧ください。
コア コンポーネント
アプリケーション レイヤ検査サービスは、次のコンポーネントを使用します。
ファイアウォール エンドポイントとファイアウォール エンドポイントの関連付け: ファイアウォール エンドポイントは、ネットワークでディープ パケット インスペクションを実行する Google マネージド ゾーンリソースです。ファイアウォール エンドポイントの関連付けは、ファイアウォール エンドポイントを VPC ネットワークのゾーンにリンクします。トラフィックを検査するリージョンのゾーンごとに 1 つのエンドポイントを作成します。詳細については、ファイアウォール エンドポイントの概要をご覧ください。
暗号化されたトラフィックの内容を検査するには、TLS インスペクション ポリシーを作成し、そのポリシーをファイアウォール エンドポイントの関連付けに追加します。詳細については、TLS インスペクションの概要をご覧ください。
セキュリティ プロファイル: 特定のセキュリティ サービスの構成を含むオブジェクト。ファイアウォール エンドポイントは、セキュリティ プロファイルを使用してインターセプトされたトラフィックをスキャンします。詳細については、セキュリティ プロファイルの概要をご覧ください。
Cloud NGFW は、次のタイプのセキュリティ プロファイルをサポートしています。
url-filtering: URL フィルタリング サービスのルールを定義します。threat-prevention: 侵入検知および防止サービスを構成します。
セキュリティ プロファイル グループ: セキュリティ プロファイルのコンテナ。セキュリティ プロファイル グループに含めることができるセキュリティ プロファイルは、タイプごとに 1 つのみです。詳細については、セキュリティ プロファイル グループの概要をご覧ください。
apply_security_profile_groupアクション: インターセプトされたトラフィックを検査のためにファイアウォール エンドポイントにリダイレクトするファイアウォール ルール アクション。詳細については、一致時のアクションをご覧ください。
コア コンポーネントの連携については、URL フィルタリング サービスの仕組みと侵入検知と防止サービスの仕組みをご覧ください。