リージョン ネットワーク ファイアウォール ポリシーを使用して、内部アプリケーション ロードバランサと内部プロキシ ネットワーク ロードバランサを保護する

内部アプリケーション ロードバランサと内部プロキシ ネットワーク ロードバランサで使用されるマネージド Envoy プロキシに適用される Cloud Next Generation Firewall（Cloud NGFW）ファイアウォール ポリシーでルールを構成できます。これらのプロキシは、プロキシ専用サブネットで実行されます。

内部アプリケーション ロードバランサと内部プロキシ ネットワーク ロードバランサには、次のファイアウォール ルールの要件とオプションがあります。

• ロードバランサのバックエンドに適用されるファイアウォール ルール: インスタンス グループまたは GCE_VM_IP_PORT ゾーン NEG バックエンドを使用する場合は、マネージド Envoy プロキシがバックエンド VM に接続できるようにするファイアウォール ルールを構成する必要があります。

• マネージド Envoy プロキシに適用されるファイアウォール ルール: これらのファイアウォール ルールは、マネージド Envoy プロキシに適用されます。このルールは、ロードバランサの転送ルールへのアクセス制御（省略可）を提供します。これは、ロードバランサがリージョン インターネット NEG または Private Service Connect NEG を使用する場合に便利です。

このドキュメントでは、マネージド Envoy プロキシに適用されるファイアウォール ルールを設定する方法について説明します。

ロード バランシング リソースを作成する

ファイアウォール ルールとポリシーを構成する前に、Virtual Private Cloud（VPC）ネットワーク、サブネット、バックエンドと転送ルールを含むロードバランサ、接続テスト用のクライアント VM インスタンスなど、環境とロード バランシング リソースを設定します。

選択したロードバランサのリソースを作成して構成するには、次のドキュメントをご覧ください。

• VM インスタンス グループのバックエンドを使用してクロスリージョン内部アプリケーション ロードバランサを設定する
• VM インスタンス グループのバックエンドを使用してリージョン内部アプリケーション ロードバランサを設定する
• VM インスタンス グループのバックエンドを使用してクロスリージョン内部プロキシ ネットワーク ロードバランサを設定する
• VM インスタンス グループのバックエンドを使用してリージョン内部プロキシ ネットワーク ロードバランサを設定する

リソースを作成したら、次の詳細を記録します。これらの詳細は、このドキュメントで後述するファイアウォール ルールとポリシーの構成に使用します。

• ロードバランサのリージョン
• 転送ルールの名前と IP アドレス
• VPC ネットワークの名前
• ロードバランサの接続をテストするために作成したクライアント VM インスタンスの名前、ゾーン、IP アドレス

Cloud NGFW リソースを作成する

1. ロードバランサと同じリージョンにリージョン ネットワーク ファイアウォール ポリシーを作成します。詳細については、リージョン ネットワーク ファイアウォール ポリシーを作成するをご覧ください。

2. ファイアウォール ポリシーを VPC ネットワークに関連付けます。

   ファイアウォール ポリシーのルールをロードバランサの転送ルールに適用するには、その転送ルールが存在する VPC ネットワークにポリシーを関連付ける必要があります。この関連付けにより、VPC ネットワークでファイアウォール ポリシーのルールが有効になります。

3. ロードバランサに到達するトラフィックを制御するには、リージョン ネットワーク ファイアウォール ポリシーで上り（内向き）ファイアウォール ルールを作成します。VM ターゲットとは異なり、内部アプリケーション ロードバランサと内部プロキシ ネットワーク ロードバランサで使用されるマネージド Envoy プロキシにファイアウォール ルールが適用されない場合、上り（内向き）は許可されます。1 つ以上のロードバランサ転送ルールへのアクセスを制限するには、--target-type INTERNAL_MANAGED_LB を使用して少なくとも 2 つの上り（内向き）ファイアウォール ルールを作成する必要があります。

   • --src-ip-ranges=0.0.0.0/0 の優先度の低い上り（内向き）拒否ファイアウォール ルール。

   • --src-ip-ranges が承認済みの送信元 IP アドレス範囲に設定されている、優先度の高い上り（内向き）許可ファイアウォール ルール。

   • --src-ip-ranges がマネージド Envoy プロキシの Google ヘルスチェック プローブの IP アドレスに設定されている、優先度の高い上り（内向き）許可ファイアウォール ルール。詳細については、ヘルスチェックの概要のプローブの IP 範囲とファイアウォール ルールをご覧ください。

   • ファイアウォール ログを表示します。詳細については、ログの表示をご覧ください。

制限事項

Cloud NGFW ファイアウォール ポリシーを使用してロードバランサ バックエンドを保護する場合、次の制限が適用されます。

• ロードバランサは、クライアントからのトラフィックを検査する上り（内向き）ファイアウォール ルールをサポートしています。ファイアウォール ルールは、ロードバランサの仮想 IP（VIP）アドレス宛てのトラフィックを評価するように構成されています。バックエンド インスタンスからプロキシ専用サブネットを介してロードバランサに流れる下り（外向き）トラフィックは、ファイアウォール ルールで許可されます。

• ロードバランサは階層型ファイアウォール ポリシーをサポートしていません。ネットワーク ファイアウォール ポリシーのみがサポートされています。

• ロードバランサ バックエンドを保護するファイアウォール ポリシー ルールは、TCP プロトコルのみをサポートします。

• ロードバランサは、次の Cloud NGFW 機能をサポートしていません。

  • 位置情報
  • ネットワーク脅威インテリジェンス（NTI）
  • 送信先 IP 範囲の指定
  • ポートの指定

• ファイアウォール ルールは、単一の転送ルールまたは VPC ネットワーク内のすべての転送ルールをターゲットにできます。複数の転送ルールの特定のリストをターゲットとするようにファイアウォール ルールを構成することはできません。

• target-type が INTERNAL_MANAGED_LB に設定されているファイアウォール ルールは、VPC_NETWORKS または INTRA_VPC ネットワーク タイプを使用できますが、INTERNET または NON_INTERNET ネットワーク タイプは使用できません。

• ロードバランサは、VPC_NETWORKS と INTRA_VPC のネットワーク タイプを持つファイアウォール ポリシーをサポートします。VPC_NETWORKS は、定義された VPC からの送信元トラフィックを指定します。INTRA_VPC は、同じ VPC 内の送信元トラフィックを指定します。