Network Security Integration の概要

Network Security Integration を使用すると、パケット検査ソフトウェアとファイアウォール ソフトウェアを実行する VM などのネットワーク セキュリティ アプライアンス VM を、VPC ネットワーク内のルートを変更せずに VPC ネットワークに統合できます。

Network Security Integration は、Generic Network Virtualization Encapsulation(GENEVE)プロトコルを使用します。GENEVE は、作成したファイアウォール ルールに基づいて、1 つ以上の VPC ネットワークからネットワーク セキュリティ アプライアンス VM に元のパケットとメタデータを配信します。詳細については、GENEVE 形式についてをご覧ください。

統合の種類

Network Security Integration には、ネットワーク セキュリティ アプライアンス VM を統合する 2 つの方法があります。

  • インバンド: このオプションは、パケットを検査のためにネットワーク アプライアンス VM に転送します。ネットワーク アプライアンス VM は、パケットを許可するかブロックするかを決定します。インバンドでは、ネットワーク アプライアンスは、トラフィックが宛先に到達する前に、特定された脅威をブロックできます。詳細については、インバンド統合の概要をご覧ください。

  • アウトオブバンド: このオプションは、元のトラフィック フローに影響を与えることなく、パケットのコピーをネットワーク アプライアンス VM に転送して分析します。詳細については、アウトオブバンド統合の概要をご覧ください。

サービス プロデューサーとコンシューマー

大まかに言うと、Network Security Integration は、トラフィック データのデータ検査とモニタリングにプロデューサー / コンシューマー モデルを使用します。このモデルでは、次のようになります。

  • プロデューサーには、トラフィックの検査とモニタリングを行うネットワーク アプライアンス VM があります。
  • コンシューマーは、プロデューサーのサービスを使用して、独自のサービスのネットワーク トラフィックを保護またはモニタリングします。

たとえば、ネットワーク セキュリティ会社の機器が、 Google Cloudで実行されているアプリケーション向けに、金融サービス組織にカスタム ネットワーク分析を提供しているシナリオを考えてみましょう。このシナリオでは、ネットワーク セキュリティ会社がプロデューサー、金融サービス組織がコンシューマーです。

図 1 は、コンシューマーとプロデューサーが同じ組織に属しているネットワーク セキュリティ統合サービスの大まかなデプロイ アーキテクチャを示しています。

ネットワーク セキュリティ統合サービスのデプロイ アーキテクチャの概要。
図 1. ネットワーク セキュリティ統合サービスのデプロイ アーキテクチャの概要(クリックして拡大)。

上の図では、プロデューサー / コンシューマー モデルによってネットワークがサービス プロデューサー ネットワークとサービス コンシューマー ネットワークの 2 つに分割されています。

  • サービス プロデューサー ネットワークには、トラフィックを検査する一連のスケーラブルなネットワーク アプライアンスが含まれています。
  • サービス コンシューマー ネットワークには Google Cloud VM が含まれています。コンシューマー ネットワークは、インバンド統合用のグローバル ネットワーク ファイアウォール ポリシーまたは階層型ファイアウォール ポリシーのルールを使用して、プロデューサー ネットワークにトラフィックを送信します。

構成に応じて、ネットワーク セキュリティ統合は 1 つ以上のコンシューマー ネットワークからのトラフィックを傍受またはミラーリングします。次に、トラフィックを GENEVE でカプセル化し、検査のためにプロデューサーのネットワーク アプライアンスに送信します。

サービス プロデューサー ネットワーク

  • プロデューサー VPC ネットワークには、コンシューマー ネットワーク トラフィックを検査またはミラーリングするネットワーク アプライアンスの 1 つ以上のゾーン デプロイが含まれています。各ゾーン デプロイは、バックエンド VM がユーザーが管理するネットワーク アプライアンスである内部パススルー ネットワーク ロードバランサで構成されます。

  • ゾーン デプロイは、各コンシューマー VPC ネットワークのエンドポイント グループによって参照される単一のデプロイ グループにグループ化されます。

サービス ユーザー ネットワーク

  • コンシューマー VPC ネットワークには、仮想マシン(VM)インスタンスで実行されるワークロードが含まれています。 Google Cloud 各コンシューマー VPC ネットワークは、エンドポイント グループを使用してプロデューサーのパケット検査または分析サービスを参照します。

  • 各コンシューマー VPC ネットワークは、グローバル ネットワーク ファイアウォール ポリシーのルール、またはインバンド統合用の階層型ファイアウォール ポリシーを使用して、プロデューサーのアプライアンスによって検査またはミラーリングされるトラフィックを制御します。これらのファイアウォール ルールは apply_security_profile_group アクションを使用します。セキュリティ目標を達成するために必要なだけルールを具体的に設定できます。IP アドレスや IP 範囲、セキュリティ タグなどの複数の属性を使用してトラフィックを照合します。

次のステップ