ネットワークで侵入検出サービスと侵入防止サービスを有効にするには、複数の Cloud Next Generation Firewall コンポーネントを設定する必要があります。このドキュメントでは、これらのコンポーネントを構成して脅威の検出と防止を有効にする方法について、おおまかなワークフローを示して説明します。
TLS インスペクションのない侵入検知および防止サービスを構成する
ネットワークで侵入検知および防止サービスを構成するには、次の操作を行います。
Threat preventionタイプのセキュリティ プロファイルを作成します。ネットワークの要件に応じて、脅威や重大度のオーバーライドを設定します。プロファイルは 1 つ以上作成できます。脅威防止セキュリティ プロファイルの作成方法については、脅威防止セキュリティ プロファイルを作成するをご覧ください。前の手順で作成したセキュリティ プロファイルで、セキュリティ プロファイル グループを作成します。セキュリティ プロファイル グループの作成方法については、セキュリティ プロファイル グループを作成するをご覧ください。
脅威の防止を有効にするワークロードと同じゾーンにファイアウォール エンドポイントを作成します。
ジャンボ フレームのサポートの有無にかかわらず、ファイアウォール エンドポイントを作成できます。
ファイアウォール エンドポイントの作成方法については、ファイアウォール エンドポイントを作成するをご覧ください。
脅威の検出と防止を有効にする 1 つ以上の VPC ネットワークにファイアウォール エンドポイントを関連付けます。ワークロードがファイアウォール エンドポイントと同じゾーンで実行されていることを確認してください。
ジャンボ フレームをサポートするファイアウォール エンドポイントは、最大 8,500 バイトのパケットのみを受け入れることができます。ジャンボ フレームをサポートしていないファイアウォール エンドポイントは、最大 1,460 バイトのパケットのみを受け入れることができます。
エンドポイントは大きなパケットに対して侵入検知と防止サービスを実行しないため、関連する VPC ネットワークで 8,500 バイトと 1,460 バイトの最大伝送単位(MTU)の上限を使用するように構成することをおすすめします。詳細については、 サポートされているパケット サイズをご覧ください。
ファイアウォール エンドポイントを VPC ネットワークに関連付ける方法については、ファイアウォール エンドポイントの関連付けを作成するをご覧ください。
グローバル ネットワーク ファイアウォール ポリシーまたは階層型ファイアウォール ポリシーを使用して、侵入検知・防止サービスを構成できます。
新規または既存のグローバル ファイアウォール ポリシーで、レイヤ 7 検査が有効になっているファイアウォール ポリシールール(
apply_security_profile_groupアクション)を追加し、前の手順で作成したセキュリティ プロファイル グループの名前を指定します。ファイアウォール ポリシーが、検査を必要とするワークロードと同じ VPC ネットワークに関連付けられていることを確認します。グローバル ネットワーク ファイアウォール ポリシーと、脅威防止を有効にしたファイアウォール ポリシールールの作成に必要なパラメータの詳細については、グローバル ネットワーク ファイアウォール ポリシーを作成するとグローバル ネットワーク ファイアウォール ポリシールールを作成するをご覧ください。階層型ファイアウォール ポリシーを使用して、セキュリティ プロファイル グループが構成されたファイアウォール ポリシー ルールを追加することもできます。脅威防止を有効にして階層型ファイアウォール ポリシー ルールを作成するために必要なパラメータの詳細については、ファイアウォール ルールを作成するをご覧ください。
TLS インスペクションのある侵入検知および防止サービスを構成する
ネットワークで Transport Layer Security(TLS)インスペクションのある侵入検知 / 防止サービスを構成するには、次の操作を行います。
Threat preventionタイプのセキュリティ プロファイルを作成します。ネットワークの要件に応じて、脅威や重大度のオーバーライドを設定します。プロファイルは 1 つ以上作成できます。脅威防止セキュリティ プロファイルの作成方法については、脅威防止セキュリティ プロファイルを作成するをご覧ください。前の手順で作成したセキュリティ プロファイルで、セキュリティ プロファイル グループを作成します。セキュリティ プロファイル グループの作成方法については、セキュリティ プロファイル グループを作成するをご覧ください。
CA プールと信頼構成を作成し、TLS インスペクション ポリシーに追加します。Cloud NGFW で TLS インスペクションを有効にする方法については、TLS インスペクションを設定するをご覧ください。
脅威の防止を有効にするワークロードと同じゾーンにファイアウォール エンドポイントを作成します。
ジャンボ フレームのサポートの有無にかかわらず、ファイアウォール エンドポイントを作成できます。
ファイアウォール エンドポイントの作成方法については、ファイアウォール エンドポイントを作成するをご覧ください。
脅威の検出と防止を有効にする 1 つ以上の VPC ネットワークにファイアウォール エンドポイントを関連付けます。前の手順で作成した TLS インスペクション ポリシーをファイアウォール エンドポイントの関連付けに追加します。ワークロードがファイアウォール エンドポイントと同じゾーンで実行されていることを確認してください。
ジャンボ フレームをサポートするファイアウォール エンドポイントは、最大 8,500 バイトのパケットのみを受け入れることができます。ジャンボ フレームをサポートしていないファイアウォール エンドポイントは、最大 1,460 バイトのパケットのみを受け入れることができます。
エンドポイントは大きなパケットに対して侵入検知と防止サービスを実行しないため、関連する VPC ネットワークで 8,500 バイトと 1,460 バイトの最大伝送単位(MTU)の上限を使用するように構成することをおすすめします。詳細については、 サポートされているパケット サイズをご覧ください。
ファイアウォール エンドポイントを VPC ネットワークに関連付けて TLS インスペクションを有効にする方法については、ファイアウォール エンドポイントの関連付けを作成するをご覧ください。
グローバル ネットワーク ファイアウォール ポリシーまたは階層型ファイアウォール ポリシーを使用して、侵入検知・防止サービスを構成できます。
新規または既存のグローバル ファイアウォール ポリシーで、レイヤ 7 検査が有効になっているファイアウォール ポリシールール(
apply_security_profile_groupアクション)を追加し、前の手順で作成したセキュリティ プロファイル グループの名前を指定します。TLS インスペクションを有効にするには、--tls-inspectフラグを指定します。ファイアウォール ポリシーが、検査を必要とするワークロードと同じ VPC ネットワークに関連付けられていることを確認します。グローバル ネットワーク ファイアウォール ポリシーと、脅威防止を有効にしたファイアウォール ポリシールールの作成に必要なパラメータの詳細については、グローバル ネットワーク ファイアウォール ポリシーを作成するとグローバル ネットワーク ファイアウォール ポリシールールを作成するをご覧ください。階層型ファイアウォール ポリシーを使用して、セキュリティ プロファイル グループが構成されたファイアウォール ポリシー ルールを追加することもできます。脅威防止を有効にして階層型ファイアウォール ポリシー ルールを作成するために必要なパラメータの詳細については、ファイアウォール ルールを作成するをご覧ください。
デプロイモデルの例
図 1 は、同じリージョンの 2 つの異なるゾーンで 2 つの VPC ネットワークに侵入検知と防止サービスを構成したデプロイ例を示しています。
この例のデプロイには、次の脅威防止構成が含まれています。
2 つのセキュリティ プロファイル グループ:
セキュリティ プロファイル
Security profile 1を持つSecurity profile group 1。セキュリティ プロファイル
Security profile 2を持つSecurity profile group 2。
ユーザーの VPC 1(
VPC 1)には、セキュリティ プロファイル グループがSecurity profile group 1に設定されたファイアウォール ポリシーがあります。ユーザー VPC 2(
VPC 2)には、セキュリティ プロファイル グループがSecurity profile group 2に設定されたファイアウォール ポリシーがあります。ファイアウォール エンドポイント
Firewall endpoint 1は、ゾーンus-west1-aのVPC 1とVPC 2で実行されているワークロードに対して脅威の検出と防止を行います。ファイアウォール エンドポイント
Firewall endpoint 2は、ゾーンus-west1-bのVPC 1とVPC 2で実行されているワークロードに対して TLS インスペクションを有効にして、脅威の検出と防止を行います。