侵入検知および防止サービスは、 Google Cloud ワークロード トラフィックに悪意のあるアクティビティがないかモニタリングし、プリエンプティブにアクションを実行して防止します。ネットワークでこのサービスを有効にするには、複数の Cloud Next Generation Firewall コンポーネントを設定する必要があります。このチュートリアルでは、ネットワークで侵入検知および防止サービスを構成するエンドツーエンドのワークフローについて説明します。
サブネットを持つカスタム VPC ネットワークを作成する
このセクションでは、2 つの IPv4 サブネットを持つカスタムモードの VPC ネットワークを作成します。
コンソール
Google Cloud コンソールで、[VPC ネットワーク] ページに移動します。
[VPC ネットワークを作成] をクリックします。
[名前] に「
vpc-ips」と入力します。[説明] に「
VPC network to set up intrusion detection and prevention service」と入力します。[サブネット作成モード] で [カスタム] を選択します。
[新しいサブネット] セクションで、サブネットに次の構成パラメータを指定します。
- 名前:
subnet-ips-server - リージョン:
asia-southeast1 - IPv4 範囲:
10.0.0.0/24
- 名前:
[完了] をクリックします。
[サブネットを追加] をクリックし、次の構成パラメータを指定します。
- 名前:
subnet-ips-client - リージョン:
us-central1 - IPv4 範囲:
192.168.10.0/24
- 名前:
[完了] をクリックします。
[作成] をクリックします。
gcloud
VPC ネットワークを作成するには、次のコマンドを実行します。
gcloud compute networks create vpc-ips \ --subnet-mode custom \ --description "VPC network to set up intrusion detection and prevention service."
[Cloud Shell の承認] ダイアログで、[承認] をクリックします。
サブネットを作成するには、次のコマンドを実行します。
gcloud compute networks subnets create subnet-ips-server \ --network vpc-ips \ --region asia-southeast1 \ --range 10.0.0.0/24
別のサブネットを作成するには、次のコマンドを実行します。
gcloud compute networks subnets create subnet-ips-client \ --network vpc-ips \ --region us-central1 \ --range 192.168.10.0/24
Cloud Router と Cloud NAT ゲートウェイを作成する
次のセクションでパブリック IPv4 アドレスのないクライアントとサーバーの Linux VM インスタンスを作成する前に、Cloud Router と Cloud NAT ゲートウェイを作成する必要があります。これにより、これらの VM が公共のインターネットにアクセスできるようになります。
コンソール
Google Cloud コンソールで、[Cloud NAT] ページに移動します。
[開始] または [Cloud NAT ゲートウェイを作成] をクリックします。
[ゲートウェイ名] に「
gateway-ips」と入力します。[NAT タイプ] で、[パブリック] を選択します。
[Cloud Router の選択] セクションで、次の構成パラメータを指定します。
- ネットワーク:
vpc-ips - リージョン:
asia-southeast1 - Cloud Router: [新しいルーターを作成] を選択します。
- [名前] に「
router-ips」と入力します。 - [作成] をクリックします。
- [名前] に「
- ネットワーク:
[作成] をクリックします。
gcloud
Cloud Router を作成するには、次のコマンドを実行します。
gcloud compute routers create router-ips \ --network=vpc-ips \ --region=asia-southeast1
Cloud NAT ゲートウェイを作成するには、次のコマンドを実行します。
gcloud compute routers nats create gateway-ips \ --router=router-ips \ --region=asia-southeast1 \ --auto-allocate-nat-external-ips \ --nat-all-subnet-ip-ranges
VM インスタンスを作成する
このセクションでは、サーバー VM インスタンスとクライアント VM インスタンスを作成します。
サーバー VM インスタンスを作成する
このセクションでは、サブネット subnet-ips-server に VM インスタンスを作成し、Apache サーバーをインストールします。
コンソール
Google Cloud コンソールで [インスタンスの作成] ページに移動します。
[マシンの構成] ペインで、次の操作を行います。
- [名前] に「
vm-server-ips」と入力します。 - [リージョン] で、
asia-southeast1 (Singapore)を選択します。 - [ゾーン] で、[
asia-southeast1-a] を選択します。
- [名前] に「
ナビゲーション メニューで [OS とストレージ] をクリックします。
[オペレーティング システムとストレージ] セクションで、[イメージ] が [Debian GNU/Linux 12(bookworm)] であることを確認します。そうでない場合は、[変更] をクリックし、[オペレーティング システム] フィールドを [Debian] に、[バージョン] フィールドを [Debian GNU/Linux 12(bookworm)] に設定します。
ナビゲーション メニューで、[ネットワーキング] をクリックします。
- [ネットワーク インターフェース] セクションで、
defaultをクリックし、次の構成パラメータを指定します。- ネットワーク:
vpc-ips - サブネットワーク:
subnet-ips-server IPv4 (10.0.0.0/24) - 外部 IPv4 アドレス: なし
- ネットワーク:
- [完了] をクリックします。
- [ネットワーク インターフェース] セクションで、
ナビゲーション メニューで [詳細設定] をクリックし、[起動スクリプト] フィールドに次のスクリプトを入力します。
#! /bin/bash apt update apt -y install apache2 cat <<EOF > /var/www/html/index.html <html><body><p>Hello world.</p></body></html> EOF[作成] をクリックします。
作成したサーバー VM の外部 IP アドレスをメモします。
gcloud
サーバー VM を作成するには、次のコマンドを実行します。
gcloud compute instances create vm-server-ips \
--network vpc-ips \
--zone asia-southeast1-a \
--subnet subnet-ips-server \
--stack-type IPV4_ONLY \
--image-project debian-cloud \
--image-family debian-11 \
--metadata=startup-script='#! /bin/bash
apt update
apt -y install apache2
cat <<EOF > /var/www/html/index.html
<html><body><p>Hello World.</p></body></html>
EOF'
返されたステータスで VM の外部 IP アドレスをメモします。
クライアント VM インスタンスを作成する
このセクションでは、subnet-ips-client サブネットに VM インスタンスを作成します。
コンソール
Google Cloud コンソールで [インスタンスの作成] ページに移動します。
[マシンの構成] ペインで、次の操作を行います。
- [名前] に「
vm-client-ips」と入力します。 - [リージョン] で、
us-central1 (Iowa)を選択します。 - [ゾーン] で、[
us-central1-a] を選択します。
- [名前] に「
ナビゲーション メニューで、[ネットワーキング] をクリックします。
- [ネットワーク インターフェース] セクションで、
defaultをクリックし、次の構成パラメータを指定します。- ネットワーク:
vpc-ips - サブネットワーク:
subnet-ips-client IPv4 (192.168.10.0/24)
- ネットワーク:
- [完了] をクリックします。
- [ネットワーク インターフェース] セクションで、
[作成] をクリックします。
gcloud
次のコマンドを実行してクライアント VM を作成します。
gcloud compute instances create vm-client-ips \
--network vpc-ips \
--zone us-central1-a \
--subnet subnet-ips-client \
--stack-type IPV4_ONLY
セキュリティ プロファイルを作成する
このセクションでは、組織で threat-prevention タイプのセキュリティ プロファイルを作成します。セキュリティ プロファイルの作成に必要な権限については、脅威防止セキュリティ プロファイルを作成するをご覧ください。
コンソール
Google Cloud コンソールで、[セキュリティ プロファイル] ページに移動します。
プロジェクト セレクタのメニューで、組織を選択します。
[セキュリティ プロファイル] タブを選択します。
[プロファイルの作成] をクリックします。
[名前] に「
sec-profile-ips」と入力します。[説明] に「
Security profile to set up intrusion detection and prevention service」と入力します。[続行] をクリックします。
[作成] をクリックします。
gcloud
セキュリティ プロファイルを作成するには、次のコマンドを実行します。
gcloud network-security security-profiles \
threat-prevention \
create sec-profile-ips \
--organization ORGANIZATION_ID \
--location global \
--project PROJECT_ID \
--description "Security profile to set up intrusion detection and prevention service."
次のように置き換えます。
ORGANIZATION_ID: セキュリティ プロファイルが作成される組織。PROJECT_ID: セキュリティ プロファイルの割り当てとアクセス制限に使用するプロジェクト ID。
セキュリティ プロファイル グループを作成する
このセクションでは、前のセクションで作成したセキュリティ プロファイルを含めるセキュリティ プロファイル グループを作成します。セキュリティ プロファイル グループの作成に必要な権限については、このタスクに必要な権限をご覧ください。
コンソール
Google Cloud コンソールで、[セキュリティ プロファイル] ページに移動します。
プロジェクト セレクタのメニューで、組織を選択します。
[セキュリティ プロファイル グループ] タブを選択します。
[プロファイル グループを作成] をクリックします。
[名前] に「
sec-profile-group-ips」と入力します。[説明] に「
Security profile group to set up intrusion detection and prevention service」と入力します。[脅威防止プロファイル] リストで、
sec-profile-ipsを選択します。[作成] をクリックします。
gcloud
セキュリティ プロファイル グループを作成するには、次のコマンドを実行します。
gcloud network-security security-profile-groups \
create sec-profile-group-ips \
--organization ORGANIZATION_ID \
--location global \
--project PROJECT_ID \
--threat-prevention-profile \
organizations/ORGANIZATION_ID/locations/global/securityProfiles/sec-profile-ips \
--description "Security profile group to set up intrusion detection and prevention service."
次のように置き換えます。
ORGANIZATION_ID: セキュリティ プロファイル グループが作成される組織。PROJECT_ID: セキュリティ プロファイル グループの割り当てとアクセス制限に使用するプロジェクト ID。
ファイアウォール エンドポイントを作成する
このセクションでは、特定のゾーンにファイアウォール エンドポイントを作成します。ファイアウォール エンドポイントの作成に必要な権限については、このタスクに必要な権限をご覧ください。
注: ファイアウォール エンドポイントを作成すると、ファイアウォール エンドポイントの状態は Creating に設定されます。ファイアウォール エンドポイントの準備が完了すると、状態は Active に変わります。
コンソール
Google Cloud コンソールで、[ファイアウォール エンドポイント] ページに移動します。
プロジェクト セレクタのメニューで、組織を選択します。
[作成] をクリックします。
[リージョン] リストで [
asia-southeast1 (Singapore)] を選択します。[ゾーン] リストで
asia-southeast1-aを選択します。[名前] に「
endpoint-ips」と入力します。[作成] をクリックします。
gcloud
ファイアウォール エンドポイントを作成するには、次のコマンドを実行します。
gcloud network-security firewall-endpoints \
create endpoint-ips \
--organization ORGANIZATION_ID \
--zone asia-southeast1-a \
--billing-project PROJECT_ID
次のように置き換えます。
ORGANIZATION_ID: ファイアウォール エンドポイントが作成される組織 ID。PROJECT_ID: ファイアウォール エンドポイントの課金に使用するプロジェクト ID。
ファイアウォール エンドポイントの関連付けを作成する
このセクションでは、ファイアウォール エンドポイントを前の手順で作成した VPC ネットワークに関連付けます。
コンソール
Google Cloud コンソールで、[VPC ネットワーク] ページに移動します。
vpc-ipsネットワークをクリックして、[VPC ネットワークの詳細] ページを表示します。[ファイアウォール エンドポイント] タブを選択します。
[エンドポイントの関連付けを追加] をクリックします。
[リージョン] リストで [
asia-southeast1] を選択します。[ゾーン] リストで
asia-southeast1-aを選択します。[ファイアウォール エンドポイント] リストで、
endpoint-ipsを選択します。[作成] をクリックします。
gcloud
ファイアウォール エンドポイントの関連付けを作成するには、次のコマンドを実行します。
gcloud network-security firewall-endpoint-associations \
create endpoint-association-ips \
--endpoint organizations/ORGANIZATION_ID/locations/asia-southeast1-a/firewallEndpoints/endpoint-ips \
--network vpc-ips \
--zone asia-southeast1-a \
--project PROJECT_ID
次のように置き換えます。
ORGANIZATION_ID: ファイアウォール エンドポイントが作成される組織 ID。PROJECT_ID: 関連付けが作成されるプロジェクト ID。
グローバル ネットワーク ファイアウォール ポリシーを作成する
このセクションでは、次の 2 つのファイアウォール ルールを含むグローバル ネットワーク ファイアウォール ポリシーを作成します。
- 優先度
100の上り(内向き)ファイアウォール ルール。ポート3389と22への TCP トラフィックを許可します。このルールにより、VPC ネットワーク内の VM インスタンスへの IAP アクセスが可能になります。 - 特定のゾーンにあるサーバー VM への受信トラフィックでレイヤ 7 検査を実行する、優先度
200の上り(内向き)ファイアウォール ルール。
コンソール
Google Cloud コンソールで、[ファイアウォール ポリシー] ページに移動します。
プロジェクト セレクタのリストで、組織内のプロジェクトを選択します。
[ファイアウォール ポリシーを作成] をクリックします。
[名前] に「
fw-policy-ips」と入力します。[デプロイのスコープ] で [グローバル] を選択します。
[続行]、[ルールを追加] の順にクリックします。
[優先度] に「
100」と入力します。[ログ] で [オン] を選択します。
[トラフィックの方向] で [上り(内向き)] をオンにします。
[一致したときのアクション] で [許可] をオンにします。
[送信元] フィルタで [IPv4] を選択し、[IP 範囲] フィールドに「
35.235.240.0/20」と入力します。[プロトコルとポート] セクションで、[指定したプロトコルとポート] を選択します。
[TCP] を選択し、[ポート] に「
22,3389」と入力します。[作成] をクリックします。
[ルールの追加] をクリックします。
[優先度] に「
200」と入力します。[ログ] で [オン] を選択します。
[トラフィックの方向] で [上り(内向き)] をオンにします。
[一致したときのアクション] で [L7 の検査に進む] を選択します。
[セキュリティ プロファイル グループ] リストで、
sec-profile-group-ipsを選択します。[宛先] フィルタで [IPv4] を選択し、[IP 範囲] フィールドに、サーバー VM インスタンスの作成で作成したサーバー VM の外部 IP アドレスを入力します。
[作成] をクリックします。
[続行] をクリックします。
[ポリシーと VPC ネットワークの関連付け] をクリックします。
vpc-ipsネットワークを選択します[関連付け] をクリックします。
[作成] をクリックします。
gcloud
グローバル ネットワーク ファイアウォール ポリシーを作成するには、次のコマンドを実行します。
gcloud compute network-firewall-policies \ create fw-policy-ips \ --global \ --project PROJECT_ID
次のように置き換えます。
PROJECT_ID: グローバル ネットワーク ファイアウォール ポリシーが作成されるプロジェクト ID。
IAP アクセスを有効にするファイアウォール ルールを追加するには、次のコマンドを実行します。
gcloud compute network-firewall-policies rules create 100 \ --firewall-policy fw-policy-ips \ --direction INGRESS \ --action ALLOW \ --src-ip-ranges 35.235.240.0/20 \ --layer4-configs tcp:22, tcp:3389 \ --global-firewall-policy \ --enable-logging
脅威の防止と検出でレイヤ 7 検査を有効にするファイアウォール ルールを追加するには、次のコマンドを実行します。
gcloud compute network-firewall-policies rules create 200 \ --direction INGRESS \ --firewall-policy fw-policy-ips \ --action apply_security_profile_group \ --dest-ip-ranges SERVER_VM_IP \ --layer4-configs tcp:0-65535 \ --global-firewall-policy \ --security-profile-group \ //networksecurity.googleapis.com/organizations/ORGANIZATION_ID \ /locations/global/securityProfileGroups/sec-profile-group-ips \ --enable-logging
次のように置き換えます。
SERVER_VM_IP: サーバー VM インスタンスを作成するで作成したサーバー VM の外部 IP アドレス。ORGANIZATION_ID: セキュリティ プロファイル グループが作成される組織。
ファイアウォール ポリシーを VPC ネットワークに関連付けるには、次のコマンドを実行します。
gcloud compute network-firewall-policies associations create \ --firewall-policy fw-policy-ips \ --network vpc-ips \ --name fw-pol-association-ips \ --global-firewall-policy \ --project PROJECT_ID
次のように置き換えます。
PROJECT_ID: VPC の関連付けが作成されるプロジェクト ID。
セットアップをテストする
このセクションでは、エンドポイントによってインターセプトされるトラフィックを生成し、グローバル ネットワーク ファイアウォール ポリシーを適用してレイヤ 7 検査を行うことで、設定をテストします。
コンソール
Google Cloud コンソールで、[VM インスタンス] ページに移動します。
vm-server-ipsVM の [外部 IP] 列から、VM の外部 IP アドレスをコピーします。vm-client-ipsVM の [接続] 列で [SSH] をクリックします。[ブラウザでの SSH] ダイアログで [承認] をクリックし、接続が確立されるのを待ちます。
脅威ではないリクエストがブロックされていないかどうか確認するには、次のコマンドを実行します。
curl EXTERNAL_IP -m 2
EXTERNAL_IPは、vm-server-ipsVM の外部 IP に置き換えます。想定されるレスポンス メッセージは次のとおりです。
<!doctype html><html><body><h1>Hello World!</h1></body></html>悪意のあるリクエストがブロックされていることを確認するには、次のコマンドを実行します。このコマンドは、パスワード ファイルへのアクセス リクエストを送信しますが、この処理は禁止されています。
curl -m 2 EXTERNAL_IP:80/cgi-bin/../../../../bin/cat%20/etc/passwd/
EXTERNAL_IPは、vm-server-ipsVM の外部 IP に置き換えます。ファイアウォール エンドポイントがリクエスト内で脅威を検出し、パケットをブロックするため、
Connection timed outメッセージが返されます。[ブラウザでの SSH] ダイアログを閉じます。
gcloud
vm-client-ipsVM に接続するには、次のコマンドを実行します。gcloud compute ssh vm-client-ips \ --zone=us-central1-a \ --tunnel-through-iap
プロンプトが表示されたら、Y キーを押して確定し、Enter キーを押します。
脅威ではないリクエストがブロックされていないかどうか確認するには、次のコマンドを実行します。
curl EXTERNAL_IP -m 2
EXTERNAL_IPは、vm-server-ipsVM の外部 IP に置き換えます。想定されるレスポンス メッセージは次のとおりです。
<!doctype html><html><body><h1>Hello World!</h1></body></html>悪意のあるリクエストがブロックされていることを確認するには、次のコマンドを実行します。
curl -m 2 EXTERNAL_IP:80/cgi-bin/../../../../bin/cat%20/etc/passwd/
EXTERNAL_IPは、vm-server-ipsVM の外部 IP に置き換えます。ファイアウォール エンドポイントがリクエスト内で脅威を検出し、パケットをブロックするため、
Connection timed outメッセージが返されます。[ブラウザでの SSH] を閉じるには、「
exit」と入力します。
脅威ログを表示する
Google Cloud コンソールで、[脅威] ページに移動します。
必要に応じて、 Google Cloud プロジェクトを選択します。
[脅威] セクションには、
vpc-ipsネットワークで検出された脅威のログエントリが表示されます。
クリーンアップ
このチュートリアルで使用したリソースについて、 Google Cloud アカウントに課金されないようにするには、リソースを含むプロジェクトを削除するか、プロジェクトを維持して個々のリソースを削除します。
このセクションでは、このチュートリアルで作成したリソースを削除します。
ファイアウォール エンドポイントの関連付けを削除する
コンソール
Google Cloud コンソールで、[VPC ネットワーク] ページに移動します。
vpc-ipsネットワークをクリックして、[VPC ネットワークの詳細] ページを表示します。[ファイアウォール エンドポイント] タブを選択します。このタブには、構成済みのファイアウォール エンドポイントの関連付けの一覧が表示されます。
endpoint-ipsの横にあるチェックボックスをオンにして、[削除] をクリックします。もう一度 [削除] をクリックして確定します。
gcloud
ファイアウォール エンドポイントの関連付けを削除するには、次のコマンドを実行します。
gcloud network-security firewall-endpoint-association
delete endpoint-ips
--zone asia-southeast1-a
ファイアウォール エンドポイントを削除する
コンソール
Google Cloud コンソールで、[ファイアウォール エンドポイント] ページに移動します。
[
endpoint-ips] を選択して、[削除] をクリックします。もう一度 [削除] をクリックして確定します。
gcloud
ファイアウォール エンドポイントを削除するには、次のコマンドを実行します。
gcloud network-security firewall-endpoints delete endpoint-ips \
--organization ORGANIZATION_ID \
--zone asia-southeast1-a
次のように置き換えます。
ORGANIZATION_ID: エンドポイントが有効になっている組織。
グローバル ネットワーク ファイアウォール エンドポイント ポリシーを削除する
コンソール
Google Cloud コンソールで、[ファイアウォール ポリシー] ページに移動します。
プロジェクト セレクタ メニューで、ポリシーを含むプロジェクトを選択します。
fw-policy-ipsをクリックします。[関連付け] タブをクリックします。
すべての関連付けを選択します。
[関連付けを削除] をクリックします。
すべての関連付けを削除したら、[削除] をクリックします。
gcloud
ファイアウォール ポリシーと VPC ネットワークの関連付けを解除するには、次のコマンドを実行します。
gcloud compute network-firewall-policies associations delete \ --name fw-pol-association-ips \ --firewall-policy fw-policy-ips \ --global-firewall-policy
ファイアウォール ポリシーを削除します。
gcloud compute network-firewall-policies delete fw-policy-ips --global
プロンプトが表示されたら、Y キーを押して確定し、Enter キーを押します。
セキュリティ プロファイル グループを削除する
コンソール
Google Cloud コンソールで、[セキュリティ プロファイル] ページに移動します。
[セキュリティ プロファイル グループ] タブを選択します。
[
sec-profile-group-ips] を選択して、[削除] をクリックします。もう一度 [削除] をクリックして確定します。
gcloud
セキュリティ プロファイル グループを削除するには、次のコマンドを実行します。
gcloud network-security security-profile-groups \
delete sec-profile-group-ips \
--organization ORGANIZATION_ID \
--location global
次のように置き換えます。
ORGANIZATION_ID: セキュリティ プロファイル グループが作成されている組織。
セキュリティ プロファイルを削除する
コンソール
Google Cloud コンソールで、[セキュリティ プロファイル] ページに移動します。
[セキュリティ プロファイル] タブを選択します。このタブには、構成済みのセキュリティ プロファイルのリストが表示されます。
[
sec-profile-ips] を選択して、[削除] をクリックします。もう一度 [削除] をクリックして確定します。
gcloud
セキュリティ プロファイルを削除するには、次のコマンドを実行します。
gcloud network-security security-profiles threat-prevention \
delete sec-profile-ips \
--organization ORGANIZATION_ID \
--location global
次のように置き換えます。
ORGANIZATION_ID: セキュリティ プロファイルが作成される組織。
VM を削除する
コンソール
Google Cloud コンソールで、[VM インスタンス] ページに移動します。
vm-client-ipsとvm-server-ipsの両方の VM のチェックボックスをオンにします。[削除] をクリックします。
[2 個のインスタンスを削除しますか?] ダイアログで、[削除] をクリックします。
gcloud
vm-client-ipsVM を削除するには、次のコマンドを実行します。gcloud compute instances delete vm-client-ips \ --zone us-central1-a
プロンプトが表示されたら、Y キーを押して確定し、Enter キーを押します。
vm-server-ipsVM を削除するには、次のコマンドを実行します。gcloud compute instances delete vm-server-ips \ --zone asia-southeast1-a
プロンプトが表示されたら、Y キーを押して確定し、Enter キーを押します。
VPC ネットワークとそのサブネットを削除する
コンソール
Google Cloud コンソールで、[VPC ネットワーク] ページに移動します。
[名前] 列で [
vpc-ips] をクリックします。[VPC ネットワークの削除] をクリックします。
[ネットワークの削除] ダイアログで [削除] をクリックします。
VPC を削除すると、そのサブネットも削除されます。
gcloud
vpc-ipsVPC ネットワークのsubnet-ips-clientサブネットを削除するには、次のコマンドを実行します。gcloud compute networks subnets delete subnet-ips-client \ --region us-central1プロンプトが表示されたら、Y キーを押して確定し、Enter キーを押します。
vpc-ipsVPC ネットワークのsubnet-ips-serverサブネットを削除するには、次のコマンドを実行します。gcloud compute networks subnets delete subnet-ips-server \ --region=asia-southeast1プロンプトが表示されたら、Y キーを押して確定し、Enter キーを押します。
次のコマンドを実行して、
vpc-ipsVPC ネットワークを削除します。gcloud compute networks delete vpc-ips