インバンド統合の概要

Network Security Integration のインバンド統合を使用すると、ファイアウォールや侵入検知システムなどの独自のネットワーク セキュリティ アプライアンスを、検査のためにネットワーク トラフィック パスに直接挿入できます。これらのネットワーク アプライアンスを使用して、トラフィックが宛先に到達する前に、特定された脅威がないかトラフィックを検査できます。

Network Security Integration は、Cloud Next Generation Firewall とパケット インターセプト テクノロジーを使用したインバンド統合を提供し、パケット処理パイプラインに対するサービス中心のアプローチを実現します。パケット インターセプトは、既存のルーティング ポリシーを変更することなく、ネットワーク トラフィックのパスにネットワーク アプライアンスを挿入できる機能です。 Google Cloud

パケット処理は、送信パケットが転送される前、および受信転送パケットが受信された後に行われます。インバンド統合では、Generic Network Virtualization Encapsulation(GENEVE)カプセル化を使用して、送信または受信する仮想マシン(VM)とパケット処理 VM(ネットワーク アプライアンス)間でパケットを安全に転送します。

インバンド統合のメリット

インバンド統合には次の利点があります。

  • スケーラビリティ: VM ベースのファイアウォール、侵入検知システム、ネットワーク アプライアンスとして機能するパケット処理 VM をデプロイします。ニーズに合わせてパケット処理 VM をスケーリングできます。
  • Geneve カプセル化: 送信または受信 VM と検査用のパケット処理 VM の間でパケットが転送されるときに、送信元 IP アドレスと宛先 IP アドレスを含む元のパケットを保持します。GENEVE の詳細については、GENEVE RFC をご覧ください。
  • Cloud NGFW テクノロジー: apply_security_profile_group アクションを使用して、階層型ファイアウォール ポリシーまたはグローバル ネットワーク ファイアウォール ポリシーの上り(内向き)ルールまたは下り(外向き)ルールを使用してパケット検査を構成します。これにより、VPC ネットワーク内のルートへの依存関係がなくなります。詳細については、インバンド統合の仕組みをご覧ください。

プロデューサー / コンシューマー モデル

インバンド統合では、次の設定でプロデューサー / コンシューマー モデルを使用します。

サービス プロデューサー

サービス プロデューサーは、VM を介してパケット検査サービスを提供します。VM は、ネットワーク アプライアンスまたはカスタム ソフトウェア ソリューションを実行するインスタンスにできます。プロデューサーは、VM の構成、スケーリング、メンテナンスを担当します。

サービス プロデューサーは、パケット検査サービスにバックエンド VM を使用する内部パススルー ネットワーク ロードバランサをデプロイして管理します。プロデューサーは、グローバル インターセプト デプロイ グループにグループ化されたゾーン インターセプト デプロイを介して、パケット検査サービスをコンシューマーに提供します。詳細については、プロデューサー サービスを設定するをご覧ください。

サービス プロデューサーは、次の主要コンポーネントを使用してパケット検査サービスを提供します。

  • VM インスタンス: ネットワーク アプライアンスまたはカスタム ソフトウェア ソリューションをホストします。プロデューサーは、VM の構成、スケーリング、メンテナンスを担当します。プロデューサーは、ゾーン非マネージド インスタンス グループまたはゾーン マネージド インスタンス グループのいずれかを使用して、パケット検査 VM をホストできます。

  • 内部パススルー ネットワーク ロードバランサ: トラフィックをバックエンド パケット検査 VM に分散します。ロードバランサの転送ルールは、検査が必要なトラフィックのエントリ ポイントとして機能します。

  • インターセプト デプロイ: 内部パススルー ネットワーク ロードバランサの転送ルールを参照するゾーンリソース。インターセプト デプロイは、ゾーンに対するプロデューサーの検査サービスを表します。

  • インターセプト デプロイメント グループ: 複数のゾーン インターセプト デプロイメントを含むグローバル リソース。

サービス ユーザー

サービス コンシューマーは、サービス プロデューサーが提供するパケット検査サービスを使用します。

VPC ネットワークの各ゾーンで、サービス コンシューマーは、プロデューサーが提供するパケット検査サービスを選択するか、Cloud Next Generation Firewall Enterprise で使用するファイアウォール エンドポイントを構成できます。インバンド統合を使用するファイアウォール エンドポイントとパケット検査サービスは相互に排他的です。詳細については、コンシューマー サービスを設定するをご覧ください。

サービス コンシューマーは、次の主要コンポーネントを使用して、プロデューサーのパケット検査サービスにトラフィックを送信します。

  • インターセプト エンドポイント グループ: サービス プロデューサーのインターセプト デプロイメント グループを参照する、プロジェクトごとのグローバル リソース。

    インターセプト エンドポイント グループは、コンシューマーの VPC ネットワークの 1 つ以上のゾーンで、サービス プロデューサーのインターセプト デプロイ グループが提供するパケット検査サービスを使用するというコンシューマーの意図を表します。

  • インターセプト エンドポイント グループの関連付け: インターセプト エンドポイント グループを 1 つ以上のコンシューマー VPC ネットワークに論理的に接続する、プロジェクトごとのグローバル リソース。

  • ファイアウォール ルール: トラフィックをパケット検査 VM に転送する階層型ファイアウォール ポリシーまたはグローバル ネットワーク ファイアウォール ポリシーのルール。

  • セキュリティ プロファイル: インターセプト エンドポイント グループを参照する、組織ごとのグローバル リソース。

  • セキュリティ プロファイル グループ: セキュリティ プロファイルを参照する組織ごとのグローバル リソース。ファイアウォール ポリシーのルールは、セキュリティ プロファイル グループを参照し、apply_security_profile_group アクションを使用して、プロデューサーのパケット検査サービスにパケットを送信します。

インターセプト ファイアウォール ルールはステートフルです。新しいセッションがルールと一致すると、そのセッションに関連付けられている後続のすべての上り(内向き)パケットと下り(外向き)パケットがインターセプトされ、GENEVE ヘッダー内の適切なセキュリティ プロファイル グループでカプセル化されます。

インバンド統合のデプロイモデル

インバンド統合は、プロデューサー / コンシューマー モデルに基づいています。

図 1 は、インバンド統合サービスのデプロイ アーキテクチャの概要を示しています。

インバンド統合サービスのデプロイ アーキテクチャの概要
図 1. インバンド統合サービスのデプロイ アーキテクチャの概要

この図は、次のプロデューサー / コンシューマーの設定を示しています。

  • producer-project1 は、1 つの VPC ネットワーク producer-vpc を含むサービス プロデューサー プロジェクトです。ネットワークは次の設定で構成されています。

    • サービス プロデューサーは、us-west1-a ゾーンと us-west1-b ゾーンでパケット検査サービスを提供します。
    • 各ゾーンには、パケット検査 VM、内部パススルー ネットワーク ロードバランサ、インターセプト デプロイのセットがあります。
    • サービス プロデューサーのパケット検査サービスは、単一のインターセプト デプロイ グループにグループ化されます。

  • consumer-project1 は、consumer-vpc1consumer-vpc2 の 2 つの VPC ネットワークを含むサービス コンシューマー プロジェクトです。両方のネットワークは、次の設定でプロデューサーのパケット インターセプト サービスを使用するように構成されています。

    • 各ネットワークのファイアウォール ポリシーとルールの評価順序は BEFORE_CLASSIC_FIREWALL に設定されます。

    • 各ネットワークには、共通のインターセプト エンドポイント グループを参照する独自のインターセプト エンドポイント グループの関連付けがあります。図では、共通のインターセプト エンドポイント グループは consumer-project2 コンシューマー プロジェクトにあります。インターセプト エンドポイント グループは、プロデューサーのインターセプト デプロイ グループを使用するというコンシューマーの意図を表します。

    • コンシューマーの組織で、セキュリティ プロファイルを含むセキュリティ プロファイル グループが作成されています。セキュリティ プロファイルは、consumer-vpc1 VPC ネットワークと consumer-vpc2 VPC ネットワークに関連付けられている同じインターセプト エンドポイント グループを参照します。

    • パケットをプロデューサーのパケット検査サービスに転送するために、コンシューマーはファイアウォール ポリシーで上り(内向き)ルールまたは下り(外向き)ルールを使用します。

インバンド統合の仕組み

インバンド統合では、コンシューマーのトラフィック内のパケットが apply_security_profile_group アクションを使用するファイアウォール ルールと一致すると、そのパケットはインターセプトされます。ファイアウォール ルールに一致するパケットは、サービス プロデューサーの VPC ネットワーク内の内部パススルー ネットワーク ロードバランサに送信されます。

パケット検査の要件

ファイアウォール ルールが一般ユーザーのトラフィックを正常にインターセプトするには、次の条件を満たしている必要があります。

  • apply_security_profile_group アクションを使用するファイアウォール ルールは、コンシューマー VPC ネットワークに関連付けられた階層型ファイアウォール ポリシーまたはグローバル ネットワーク ファイアウォール ポリシーに属している必要があります。
  • コンシューマーのインターセプト エンドポイント グループの関連付けでは、コンシューマーの VPC ネットワークを正しいインターセプト エンドポイント グループに関連付ける必要があります。

  • ファイアウォール ルールのセキュリティ プロファイル グループには、正しいインターセプト エンドポイント グループを参照するセキュリティ プロファイルが含まれている必要があります。

    ファイアウォール ルールのセキュリティ プロファイルで参照されているインターセプト エンドポイント グループが、VPC ネットワークに関連付けられているインターセプト エンドポイント グループと一致しない場合、パケットはインターセプトされません。

パケットフロー

パケットが パケット検査の要件を満たすファイアウォール ルールに一致すると、 Google Cloudは次のようにパケットを処理します。

  1. コンシューマー VPC ネットワークのゾーンでパケットをインターセプトします。

    Google Cloud は、トラフィックの方向に基づいてパケットをインターセプトします。

    • 下り(外向き)トラフィック(VM から送信されたパケット): パケット検査の下り(外向き)ファイアウォール ルールに一致するパケットは、パケットがルーティングされる前にインターセプトされます。

      VM の NIC に外部 IPv4 アドレスが割り当てられている場合、または VM NIC が Cloud NAT ゲートウェイを使用している場合、 Google Cloud は、下り(外向き)ファイアウォール ルールとパケット検査の処理後、送信パケットのルーティング前に、パケットの送信元 IPv4 アドレスを変更します。

    • 上り(内向き)トラフィック(VM が受信したパケット): パケット検査の上り(内向き)ファイアウォール ルールに一致するパケットは、パケットがルーティングされた後にインターセプトされます。

      VM の NIC に外部 IPv4 アドレスが割り当てられている場合、または VM NIC が Cloud NAT ゲートウェイを使用している場合、Google Cloud は、ルーティングされた上り(内向き)パケットを受信した後、上り(内向き)ファイアウォール ルールとパケット検査を処理する前に、パケットの宛先 IPv4 アドレスを変更します。

  2. パケットをカプセル化します。

    ファイアウォール処理ステージでは、元の下り(外向き)または上り(内向き)パケットが GENEVE プロトコルを使用してカプセル化されます。このカプセル化により、元のパケットの送信元 IP アドレスと宛先 IP アドレスが GENEVE パケットのペイロード内に保持されます。

  3. カプセル化されたパケットをサービス プロデューサーに送信します。

    カプセル化されたパケットは、サービス プロデューサーの VPC ネットワーク内の内部パススルー ネットワーク ロードバランサのバックエンド VM に送信されます。特定のロードバランサは、トラフィックがインターセプトされた VM のゾーンと、インターセプト エンドポイント グループによって参照されたインターセプト デプロイ グループの構成に基づいて選択されます。

  4. パケットを処理します。

    プロデューサーのバックエンド VM は、UDP ポート 6081 で GENEVE カプセル化パケットを受信します。各パケット処理 VM には、GENEVE パケットから元のパケットを抽出する方法を理解するソフトウェアがあります。

    VM の検査ソフトウェアは、元のパケットを抽出し、検査します。トラフィックが許可されている場合は、元のパケットの IP アドレス、プロトコル、ポートを変更せずに、GENEVE を使用して再カプセル化します。

  5. パケットを返します。

    パケット処理 VM は、ダイレクト サーバー リターン(DSR)を使用して、再カプセル化されたパケットをコンシューマー ネットワークに返送します。このプロセスでは、レスポンス トラフィックはネットワーク アプライアンスからクライアントに直接送信され、ロードバランサをバイパスして効率が向上します。詳細については、内部パススルー ネットワーク ロードバランサの仕組みをご覧ください。

制限事項

  • ネットワーク パケットがインターセプト ルールと一致すると、Compute Engine はパケットを低速で処理します。パケット処理のレートは、マシンタイプ、パケットサイズ、CPU 使用率によって異なり、VPC ネットワーク外の宛先への下り(外向き)レートとほぼ同じです。
  • リージョン ネットワーク ファイアウォール ポリシーは、パケット インターセプトをサポートしていません。
  • プロデューサー インターセプト デプロイでは、Dynamic NIC をバックエンドとして使用するインスタンスはサポートされていません。

  • インターセプトされた TCP セッションは SYN パケットで開始する必要があります。これにより、インターセプト アプライアンスはセッション全体を監視できます。不明な接続の場合、アプライアンスは傍受前に SYN 以外のパケットをドロップします。

    SYN パケットは、新しい TCP 接続を開始する最初のパケットです。非 SYN パケットは、その接続内の他のパケットです。トラフィック パターンに非 SYN イニシエータまたはスプリット ルーティングが含まれている場合は、Cloud サポートにアドバイスを求めてください。

次のステップ