Cloud Next Generation Firewall を使用すると、インターネットからの外部の脅威やネットワーク内の内部の脅威からワークロードを保護できます。
このドキュメントでは、Cloud NGFW の動作とルールの評価方法について説明する基本的なコンセプトと用語を定義します。
ファイアウォール ポリシールール
Cloud NGFW では、ファイアウォール ポリシールールはセキュリティ構成の基本単位です。 トラフィックを許可、拒否、検査する条件を定義します。詳細については、ファイアウォール ポリシー ルールをご覧ください。
ファイアウォール ポリシー
ファイアウォール ポリシーは、複数のファイアウォール ルールをグループ化するコンテナです。 詳細については、ファイアウォール ポリシーをご覧ください。
Cloud NGFW は、リソース階層内の場所に応じて、次のポリシータイプをサポートしています。
- 階層型ファイアウォール ポリシー: これら のポリシーには、1 つ以上のプロジェクトの複数の Virtual Private Cloud(VPC)ネットワークに対して、組織レベルまたはフォルダレベルで定義されたルールが含まれています。
- グローバル ネットワーク ファイアウォール ポリシー: これらのポリシーには、特定の VPC ネットワークのすべてのリージョンに対する ルールが含まれています。
- リージョン ネットワーク ファイアウォール ポリシー: これらのポリシーには、VPC ネットワークの特定のリージョンに対する ルールが含まれています。
- リージョン システム ファイアウォール ポリシー: これらのポリシーには、 VPC ネットワークの特定のリージョンに対する Google マネージド ルールが含まれています。リージョン システム ファイアウォール ポリシーのルールは変更できません。
階層型ファイアウォール ポリシーまたはネットワーク ファイアウォール ポリシーを作成すると、 Google Cloud は 事前定義された ルールをポリシーに追加します。
ファイアウォール ポリシーの関連付け
ファイアウォール ポリシーのルールを使用するには、ポリシーをリソースに関連付ける必要があります。関連付けの方法は、ポリシーのタイプによって異なります。
- 階層型ファイアウォール ポリシー: 階層型ポリシーを Google Cloud 組織またはフォルダに関連付けます。
- グローバル ネットワーク ファイアウォール ポリシー: グローバル ネットワーク ファイアウォール ポリシーを、ファイアウォール ポリシーと同じプロジェクト内の 1 つ以上の VPC ネットワークに関連付けます。
- リージョン ネットワーク ファイアウォール ポリシー: リージョン ネットワーク ファイアウォール ポリシーを、ファイアウォール ポリシーと同じプロジェクト内の 1 つ以上の VPC ネットワークの単一リージョンに関連付けます。
ファイアウォール ポリシーをリソースに関連付けると、ポリシーのルールが一致するトラフィックに適用されます。
Cloud NGFW の仕組み
Cloud NGFW は、ファイアウォール ポリシールール、VPC ファイアウォール ルール、暗黙的なアクションを評価します。詳細については、ファイアウォール ポリシーと ルールの 評価順序をご覧ください。
VPC ファイアウォール ルール
VPC ファイアウォール ルールを使用すると、単一の VPC ネットワークのネットワーク レイヤ(レイヤ 3 とレイヤ 4)のトラフィックを管理できます。
VPC ファイアウォール ルールは、ファイアウォール ポリシールールよりも機能が少なくなっています。ベスト プラクティスとして、VPC ファイアウォール ルールではなくファイアウォール ポリシーを使用してください。詳細については、VPC ファイアウォール ルールをご覧ください。
ファイアウォール ポリシールールのコア コンポーネント
ファイアウォール ポリシールールを構成するには、次のコンポーネントを定義します。
方向: ターゲット リソースの視点 から見たトラフィック フローの方向を指定します。
- 上り(内向き): ファイアウォール ポリシールールが 受信トラフィックに適用されるかどうかを指定します。詳細については、上り(内向き) ルールをご覧ください。
- 下り(外向き): ルールが送信トラフィックに適用されるかどうかを指定します。詳細については、下り(外向き)ルールをご覧ください。
優先度: ポリシー内のルールの評価順序を決定する一意の整数 。小さい整数が高い優先度を示します。詳細については、 優先度をご覧ください。
条件: プロトコル、IP アドレス、ポート番号など、ネットワーク パケットの一致条件。
ターゲット タイプ: ファイアウォール ルールが保護する Google Cloud リソースのタイプ 。ファイアウォール ポリシールールを構成して、仮想マシン(VM)インスタンス (デフォルト)または内部アプリケーション ロードバランサと 内部プロキシ ネットワーク ロードバランサ (プレビュー)が使用するマネージド Envoy プロキシに適用できます。
ターゲット: 特定の ターゲットにルールを適用します。
送信元: 上り(内向き)ルールでは必須、下り(外向き)ルールでは省略可。 詳細については、 送信元をご覧ください。
宛先: 下り(外向き)ルールでは必須、上り(内向き)ルールでは省略可。 詳細については、 宛先をご覧ください。
プロトコルとポート: 通信プロトコルと宛先ポート。 詳細については、プロトコルと ポートをご覧ください。
アクション: ネットワーク パケットがルールの条件に一致した場合に Cloud NGFW が実行するアクション。詳細については、一致時の アクションをご覧ください。
標準 VPC ネットワークのすべてのルール コンポーネントを確認するには、 ファイアウォール ポリシールール のコンポーネントをご覧ください。
Cloud NGFW の階層
Google Cloud は、さまざまなセキュリティ要件と料金要件に合わせて、Cloud NGFW の機能を複数の階層に整理しています。詳細については、Cloud NGFW の階層をご覧ください。
ネットワーク レイヤの検査
基本的な保護として、Cloud NGFW は開放型システム間相互接続(OSI) モデルのレイヤ 3 とレイヤ 4 でネットワーク トラフィックを検査します。
すべての Cloud NGFW 階層で、分散型のステートフル レイヤ 3 とレイヤ 4 のフィルタリングが使用されます。ファイアウォールは、アクティブな接続状態を追跡し、接続トラッキング テーブルに対してパケットを評価します。
アプリケーション レイヤの検査
高度な保護として、Cloud NGFW は OSI モデルのアプリケーション レイヤ(レイヤ 7)でトラフィックを検査できます。この検査により、ファイアウォールは IP アドレスとポートだけでなく、アプリケーション レベルのデータに基づいて判断できます。アプリケーション レイヤの検査の例としては、URL フィルタリング サービスや侵入検知および防止サービスなどがあります。アプリケーション レイヤの検査機能は、Cloud Next Generation Firewall Enterprise 階層でのみ使用できます。詳細については、アプリケーション レイヤの検査の概要をご覧ください。
次のステップ
- Cloud NGFW のコンセプトについては、 Cloud NGFW の概要をご覧ください。
- ファイアウォール ポリシールールのコンセプトについては、ファイアウォール ポリシー ルール コンポーネントをご覧ください。
- VPC ファイアウォール ルールを作成、更新、モニタリング、削除するには、 VPC ファイアウォール ルールを使用するをご覧ください。
- 費用を確認するには、Cloud NGFW の料金をご覧ください。