URL フィルタリング サービスを構成する

URL フィルタリング サービスを使用すると、特定のウェブ ドメインへのアクセスをブロックまたは許可することで制御できます。ネットワークで URL フィルタリング サービスを有効にするには、ファイアウォール エンドポイント、セキュリティ プロファイル、セキュリティ プロファイル グループなど、複数の Cloud Next Generation Firewall コンポーネントを設定する必要があります。このドキュメントでは、これらのコンポーネントを構成して URL フィルタリング サービスを有効にする方法について、おおまかなワークフローを示して説明します。

URL フィルタリング サービスの詳細については、URL フィルタリング サービスの概要をご覧ください。

必要なロール

Identity and Access Management(IAM)ロールは、URL フィルタリング サービスの設定と有効化に関連するアクションを管理します。次の表に、各ステップに必要となるロールを示します。

機能 必要なロール
Virtual Private Cloud(VPC)ネットワークのファイアウォール エンドポイントとファイアウォール エンドポイントの関連付けを作成する 次のいずれかのロール:
Compute ネットワーク管理者のロールroles/compute.networkAdmin
ファイアウォール エンドポイント管理者のロールroles/networksecurity.firewallEndpointAdmin

これらのロールには、ファイアウォール エンドポイントを作成するための次の権限が含まれています。
networksecurity.firewallEndpoints.create

また、これらのロールには、ファイアウォール エンドポイントの関連付けを作成するための次の権限が含まれています。
networksecurity.firewallEndpointAssociations.create
ファイアウォール エンドポイントが作成される組織に対する networksecurity.firewallEndpoints.use
URL フィルタリング セキュリティ プロファイル、脅威防止セキュリティ プロファイル、セキュリティ プロファイル グループを作成する セキュリティ プロファイル管理者のロールroles/networksecurity.securityProfileAdmin

このロールには、次の必要な権限が含まれています。
セキュリティ プロファイル グループを作成する networksecurity.securityProfileGroups.create
URL フィルタリング セキュリティ プロファイルまたは脅威防止セキュリティ プロファイルを作成する networksecurity.securityProfiles.create
階層型ファイアウォール ポリシーとそのルールを作成する Compute 組織ファイアウォール ポリシー管理者のロールroles/compute.orgFirewallPolicyAdmin

階層型ファイアウォール ポリシーを作成するには、このロールが必要です。ポリシーを作成するリソースにロールを付与する必要があります。

また、階層型ファイアウォール ポリシーでルールを作成する場合にも、このロールが必要です。ポリシーを含むリソースまたはポリシー自体にロールを付与する必要があります。

このロールには、次の必要な権限が含まれています。
階層型ファイアウォール ポリシーを作成する compute.firewallPolicies.create
階層型ファイアウォール ポリシー ルールを作成する compute.firewallPolicies.update
階層型ファイアウォール ポリシーを組織またはフォルダに関連付ける 次のいずれかのロールセット:
ターゲット リソースに対する Compute 組織リソース管理者ロールroles/compute.orgSecurityResourceAdmin)と、ポリシー リソースまたはポリシー自体に対する Compute 組織ファイアウォール ポリシー ユーザーロールroles/compute.orgFirewallPolicyUser
または
ターゲット リソースに対する Compute 組織リソース管理者ロールroles/compute.orgSecurityResourceAdmin)と、ポリシー リソースまたはポリシー自体に対する Compute 組織ファイアウォール ポリシー管理者ロールroles/compute.orgFirewallPolicyAdmin

これらのロールには、次の必要な権限が含まれています。
ファイアウォール ポリシーに対する compute.firewallPolicies.addAssociation
ターゲット リソースに対する compute.organizations.setFirewallPolicy
グローバル ネットワーク ファイアウォール ポリシーとそのルールを作成する Compute セキュリティ管理者のロールroles/compute.securityAdmin

グローバル ネットワーク ファイアウォール ポリシーを作成するには、このロールが必要です。ポリシーを作成するプロジェクトでロールを付与する必要があります。

また、グローバル ネットワーク ファイアウォール ポリシーでルールを作成するには、このロールが必要です。ポリシーを含むプロジェクトまたはポリシー自体にロールを付与する必要があります。

このロールには、次の必要な権限が含まれています。
compute.firewallPolicies.create: グローバル ネットワーク ファイアウォール ポリシーを作成する
compute.firewallPolicies.update: グローバル ネットワーク ファイアウォール ポリシールールを作成する
グローバル ネットワーク ファイアウォール ポリシーを VPC ネットワークに関連付ける Compute ネットワーク管理者ロールroles/compute.networkAdmin

このロールには、次の必要な権限が含まれています。
compute.firewallPolicies.use
compute.networks.setFirewallPolicy
CA プールを作成する CA Service オペレーション マネージャー ロールroles/privateca.caManager

Transport Layer Security(TLS)インスペクションを使用している場合は、CA プールを作成するためにこのロールが必要です。
TLS インスペクション ポリシーを作成する Compute ネットワーク管理者のロールroles/compute.networkAdmin
Compute セキュリティ管理者のロールroles/compute.securityAdmin

TLS インスペクションを使用している場合は、TLS インスペクション ポリシーを作成するために、上記のいずれかのロールが必要です。

これらのロールには、次の必要な権限が含まれています。
certificatemanager.trustconfigs.list
certificatemanager.trustconfigs.use
networksecurity.operations.get
networksecurity.tlsInspectionPolicies.create
networksecurity.tlsInspectionPolicies.list
privateca.caPools.list
privateca.caPools.use
privateca.certificateAuthorities.list

ロールの付与については、プロジェクト、フォルダ、組織へのアクセス権の管理をご覧ください。

カスタムロールや他の事前定義ロールを使用して、指定された権限を取得することもできます。

TLS インスペクションなしで URL フィルタリング サービスを構成する

ネットワークで URL フィルタリング サービスを構成するには、次の操作を行います。

  1. ファイアウォール エンドポイントを作成します。

    ファイアウォール エンドポイントは、URL フィルタリング サービスで保護するワークロードと同じゾーンに作成する必要があるゾーンリソースです。

    ジャンボ フレームのサポートの有無にかかわらず、ファイアウォール エンドポイントを作成できます。

    詳細については、ファイアウォール エンドポイントを作成するをご覧ください。

  2. ファイアウォール エンドポイントを VPC ネットワークに関連付けます。

    URL フィルタリング サービスを有効にするには、ファイアウォール エンドポイントを VPC ネットワークに関連付けます。ワークロードがファイアウォール エンドポイントと同じゾーンで実行されていることを確認してください。

    ジャンボ フレームをサポートするファイアウォール エンドポイントは、最大 8,500 バイトのパケットのみを受け入れることができます。ジャンボ フレームをサポートしていないファイアウォール エンドポイントは、最大 1,460 バイトのパケットのみを受け入れることができます。URL フィルタリング サービスが必要な場合は、関連する VPC ネットワークで 8,500 バイトと 1,460 バイトの最大伝送単位(MTU)の上限を使用するように構成することをおすすめします。詳細については、 サポートされているパケットサイズをご覧ください。

    ファイアウォール エンドポイントの関連付けの作成の詳細については、ファイアウォール エンドポイントの関連付けを作成するをご覧ください。

  3. URL フィルタリングのセキュリティ プロファイルを作成します。

    特定のドメインへのアクセスを許可または拒否するには、タイプ url-filtering のセキュリティ プロファイルを作成し、URL リストを使用してマッチャー文字列を指定します。

    詳細については、URL フィルタリング セキュリティ プロファイルを作成するをご覧ください。

  4. 必要に応じて、セキュリティ プロファイルを作成してトラフィックをスキャンし、脅威を検出できます。

    トラフィックをスキャンしてセキュリティ上の脅威を検出するには、タイプ threat-prevention の別のセキュリティ プロファイルを作成します。脅威シグネチャのリストを確認し、デフォルトのレスポンスを評価して、選択したシグネチャのアクションを要件に応じてカスタマイズします。

    詳細については、脅威防止セキュリティ プロファイルを作成するをご覧ください。侵入検知および防止サービスの詳細については、侵入検知および防止サービスの概要をご覧ください。

  5. セキュリティ プロファイル グループを作成します。

    セキュリティ プロファイル グループは、セキュリティ プロファイルのコンテナとして機能します。前の手順で作成したセキュリティ プロファイルを含めるセキュリティ プロファイル グループを作成します。

    詳細については、セキュリティ プロファイル グループを作成するをご覧ください。

  6. URL フィルタリング サービスを構成して、ネットワーク トラフィックに適用します。

    URL フィルタリング サービスを構成するには、レイヤ 7 検査を含むグローバル ネットワーク ファイアウォール ポリシーまたは階層型ファイアウォール ポリシーを作成します。

    • 新しいグローバル ファイアウォール ポリシーを作成するか、既存のグローバル ファイアウォール ポリシーを使用する場合は、apply_security_profile_group アクションを使用してファイアウォール ポリシー ルールを追加し、前に作成したセキュリティ プロファイル グループの名前を指定します。ファイアウォール ポリシーが、検査を必要とするワークロードと同じ VPC ネットワークに関連付けられていることを確認します。

      詳細については、グローバル ネットワーク ファイアウォール ポリシーを作成するルールを作成するをご覧ください。

    • 新しい階層型ファイアウォール ポリシーを作成するか、既存のポリシーを使用する場合は、apply_security_profile_group アクションを含むファイアウォール ポリシールールを追加します。ファイアウォール ポリシーが、検査を必要とするワークロードと同じ VPC ネットワークに関連付けられていることを確認します。

      詳細については、ルールを作成するをご覧ください。

TLS インスペクションを使用して URL フィルタリング サービスを構成する

ネットワークで TLS インスペクションのある URL フィルタリング サービスを構成するには、次の操作を行います。

  1. ファイアウォール エンドポイントを作成します。

    ジャンボ フレームのサポートの有無にかかわらず、ファイアウォール エンドポイントを作成できます。

    ファイアウォール エンドポイントは、URL フィルタリング サービスで保護するワークロードと同じゾーンに作成する必要があるゾーンリソースです。

    詳細については、ファイアウォール エンドポイントを作成するをご覧ください。

  2. ファイアウォール エンドポイントを VPC ネットワークに関連付けます。

    URL フィルタリング サービスを有効にするには、ファイアウォール エンドポイントを VPC ネットワークに関連付けます。ワークロードがファイアウォール エンドポイントと同じゾーンで実行されていることを確認してください。

    ジャンボ フレームをサポートするファイアウォール エンドポイントは、最大 8,500 バイトのパケットのみを受け入れることができます。ジャンボ フレームをサポートしていないファイアウォール エンドポイントは、最大 1,460 バイトのパケットのみを受け入れることができます。URL フィルタリング サービスが必要な場合は、関連する VPC ネットワークで 8,500 バイトと 1,460 バイトの最大伝送単位(MTU)の上限を使用するように構成することをおすすめします。詳細については、 サポートされているパケットサイズをご覧ください。

    ファイアウォール エンドポイントの関連付けの作成の詳細については、ファイアウォール エンドポイントの関連付けを作成するをご覧ください。

  3. URL フィルタリングのセキュリティ プロファイルを作成します。

    特定のドメインへのアクセスを許可または拒否するには、タイプ url-filtering のセキュリティ プロファイルを作成し、URL リストを使用してマッチャー文字列を指定します。

    詳細については、URL フィルタリング セキュリティ プロファイルを作成するをご覧ください。

  4. 必要に応じて、セキュリティ プロファイルを作成してトラフィックをスキャンし、脅威を検出できます。

    セキュリティ上の脅威を検出するためにトラフィックをスキャンするには、タイプ threat-prevention の別のセキュリティ プロファイルを作成します。脅威シグネチャのリストを確認し、デフォルトのレスポンスを評価して、選択したシグネチャのアクションを要件に応じてカスタマイズします。

    詳細については、脅威防止セキュリティ プロファイルを作成するをご覧ください。侵入検知および防止サービスの詳細については、侵入検知および防止サービスの概要をご覧ください。

  5. セキュリティ プロファイル グループを作成します。

    セキュリティ プロファイル グループは、セキュリティ プロファイルのコンテナとして機能します。前の手順で作成したセキュリティ プロファイルを含めるセキュリティ プロファイル グループを作成します。

    詳細については、セキュリティ プロファイル グループを作成するをご覧ください。

  6. 暗号化されたトラフィックを検査するリソースを作成して構成します。

    1. 認証局(CA)プールを作成します。

      CA プールは、共通の証明書発行ポリシーと IAM ポリシーを持つ CA の集合です。TLS インスペクションを構成するには、リージョン CA プールが存在している必要があります。

      詳細については、CA プールを作成するをご覧ください。

    2. ルート CA を作成します。

      TLS インスペクションを使用するには、少なくとも 1 つのルート CA が必要です。ルート CA が中間 CA に署名し、中間 CA がクライアントのすべてのリーフ証明書に署名します。詳細については、gcloud privateca roots create コマンドのリファレンス ドキュメントをご覧ください。

    3. Network Security サービス エージェント(P4SA)に必要な権限を付与します。

      Cloud NGFW では、TLS インスペクション用の中間 CA を生成するために P4SA が必要です。サービス エージェントには、CA プールの証明書をリクエストするために必要な権限が必要です。

      詳細については、サービス アカウントを作成するをご覧ください。

  7. リージョン TLS インスペクション ポリシーを作成します。

    TLS インスペクション ポリシーは、暗号化されたトラフィックを傍受する方法を指定します。リージョン TLS インスペクション ポリシーには、TLS インスペクションの構成を保持できます。

    詳細については、TLS インスペクション ポリシーを作成するをご覧ください。

  8. ファイアウォール エンドポイントを TLS インスペクション ポリシーに関連付けます。

  9. URL フィルタリング サービスを構成して、ネットワーク トラフィックに適用します。

    URL フィルタリング サービスを構成するには、レイヤ 7 検査を含むグローバル ネットワーク ファイアウォール ポリシーまたは階層型ファイアウォール ポリシーを作成します。

    • 新しいグローバル ファイアウォール ポリシーを作成するか、既存のグローバル ファイアウォール ポリシーを使用する場合は、apply_security_profile_group アクションを使用してファイアウォール ポリシー ルールを追加し、前に作成したセキュリティ プロファイル グループの名前を指定します。ファイアウォール ポリシーが、検査を必要とするワークロードと同じ VPC ネットワークに関連付けられていることを確認します。

      詳細については、グローバル ネットワーク ファイアウォール ポリシーを作成するルールを作成するをご覧ください。

    • 新しい階層型ファイアウォール ポリシーを作成するか、既存のポリシーを使用する場合は、apply_security_profile_group アクションが構成されたファイアウォール ポリシー ルールを追加します。ファイアウォール ポリシーが、検査を必要とするワークロードと同じ VPC ネットワークに関連付けられていることを確認します。

      詳細については、ルールを作成するをご覧ください。

デプロイモデルの例

次の図は、同じリージョンの 2 つの異なるゾーンで 2 つの VPC ネットワークに構成された複数のファイアウォール エンドポイントを使用した URL フィルタリング サービスのデプロイ例を示しています。

リージョンに URL フィルタリング サービスをデプロイします。
URL フィルタリング サービスをリージョンにデプロイする(クリックして拡大)。

この例のデプロイには、次の構成が含まれています。

  1. 2 つのセキュリティ プロファイル グループ:

    1. セキュリティ プロファイル Security profile 1 を持つ Security profile group 1

    2. セキュリティ プロファイル Security profile 2 を持つ Security profile group 2

  2. ユーザーの VPC 1(VPC 1)には、セキュリティ プロファイル グループが Security profile group 1 に設定されたファイアウォール ポリシーがあります。

  3. ユーザー VPC 2(VPC 2)には、セキュリティ プロファイル グループが Security profile group 2 に設定されたファイアウォール ポリシーがあります。

  4. ファイアウォール エンドポイント Firewall endpoint 1 は、ゾーン us-west1-aVPC 1VPC 2 で実行されているワークロードに対して URL フィルタリングを行います。

  5. ファイアウォール エンドポイント Firewall endpoint 2 は、ゾーン us-west1-bVPC 1VPC 2 で実行されているワークロードに対して TLS インスペクションを有効にして、URL フィルタリングを行います。

次のステップ