このページでは、ゲートウェイ セキュリティ ポリシーとその作成方法について説明します。
ゲートウェイ セキュリティ ポリシー
ゲートウェイ セキュリティ ポリシーは、Secure Web Proxy インスタンスを通過するトラフィック フローを制御するすべてのセキュリティ ルールの一元管理コンテナとして機能します。ポリシーを使用すると、プロキシのアウトバウンド ウェブ トラフィックのアクセス制御を効果的に管理できます。
ポリシーを定義して、Secure Web Proxy インスタンスに関連付けることができます。これにより、ネットワークからのすべての送信ウェブ トラフィックが、一貫したセキュリティ標準に準拠していることを確認できます。
ゲートウェイ セキュリティ ポリシーは、次の 3 つのパラメータに基づいています。
トラフィック ソース: Secure Web Proxy は、サービス アカウント、セキュアタグ、IP アドレスなどのさまざまな属性を使用してトラフィック ソースを識別します。
許可される宛先: Secure Web Proxy は、ドメイン、URL パス(TLS インスペクションが有効になっている場合)、URL リスト、または宛先ポートを使用して、許可される宛先を決定します。
リクエストの詳細: Secure Web Proxy は、プロトコル、HTTP メソッド、リクエスト ヘッダーなどのリクエスト属性を評価します。暗号化されたトラフィックに対してこの分析を行うには、TLS インスペクションを有効にする必要があります。
ソース属性
Secure Web Proxy ポリシーは、次のクラウド ID とネットワーク ロケーション データを使用してトラフィックの送信元を識別します。
- サービス アカウント: アプリケーションまたはワークロードに割り当てられる一意の ID。サービス アカウントを使用すると、アプリケーションの特定の機能に基づいてポリシーを作成できます。
- 安全なタグ: 仮想マシン(VM)インスタンスなどの Google Cloud リソースに適用できるラベル。タグを使用すると、関数または環境別にワークロードをグループ化できます。たとえば、「
Productionとラベル付けされたすべてのリソースが承認済みドメインにアクセスできるようにする」などです。 - IP アドレス: 送信者のネットワーク アドレス。Secure Web Proxy がアウトバウンド トラフィックに使用するエンタープライズまたは静的 Google Cloud IP アドレスを割り当てることができます。
ソース属性でサポートされている ID
Secure Web Proxy は、サービス アカウントやセキュアタグなどの送信元 ID ベースのポリシーを使用してウェブ トラフィックを制御します。これらのポリシーを使用すると、IP アドレスだけでなく、トラフィックの送信元 ID に基づいてルールを適用できます。
次の表に、ソース ID ベースのポリシーをサポートする Google Cloud サービスを示します。
| Google Cloud サービス | サービス アカウントのサポート | セキュアタグのサポート |
|---|---|---|
| Compute Engine 仮想マシン(VM) | ||
| Google Kubernetes Engine(GKE)ノード | ||
| Google Kubernetes Engine(GKE)コンテナ | 1 | 1 |
| Cloud Run のダイレクト VPC | 1 | |
| サーバーレス VPC アクセス コネクタ | 2 | 2 |
| Cloud VPN | 1 | 1 |
| オンプレミスの Cloud Interconnect | 1 | 1 |
| アプリケーション ロードバランサ | ||
| ネットワーク ロードバランサ |
2 送信元 IP アドレスは一意であるため、代わりに使用できます。
次の表に、送信元 ID ベースのセキュリティ ポリシーをサポートする Virtual Private Cloud(VPC)アーキテクチャを示します。
| VPC | VPC アーキテクチャ | サポート |
|---|---|---|
| VPC 内 | プロジェクト間(共有 VPC) | |
| VPC 間 | ピアリング間リンク(ピア VPC) | |
| VPC 間 | Private Service Connect 間 | |
| VPC 間 | Network Connectivity Center スポーク間 |
デスティネーション属性
Secure Web Proxy ポリシーは、ターゲット ウェブサイトまたはサービスの次の属性を分析して、宛先が承認されるかどうかを判断します。
宛先ドメイン: ウェブサイトのアドレス(
example.comなど)。URL リスト: ポリシー管理を簡素化する、承認済みまたはブロック済みの URL の事前定義リスト。
宛先ポート: Secure Web Proxy インスタンスがトラフィックを送信するネットワーク ポート。たとえば、HTTPS の場合は
443。完全な URL パス: ウェブサイトの正確なパス。特定のウェブページのコンテンツ全体を表示するには、TLS インスペクションを有効にする必要があります。
HTTP および HTTPS の宛先トラフィックの場合、アプリケーションに host 宛先属性と、request.method などのさまざまな request.* 宛先関連属性を使用できます。
HTTP トラフィックと HTTPS トラフィックに使用できる宛先属性の詳細については、属性をご覧ください。
セキュリティ ポリシーの作成
ゲートウェイ セキュリティ ポリシーを作成する前に、次の初期設定手順を完了してください。
- Identity and Access Management(IAM)のロールと権限を取得する
- Google Cloud プロジェクトを作成する
- Google Cloud プロジェクトに対する課金を有効にします
ポリシーを作成したら、ルールを作成してポリシーに追加できます。ポリシーを Secure Web Proxy インスタンスに関連付ける方法については、ウェブプロキシを設定するをご覧ください。
コンソール
Google Cloud コンソールで、[SWP ポリシー] ページに移動します。
[ポリシーを作成] をクリックします。
作成するポリシーの名前を入力します(例:
policy1)。レスポンス ポリシーの説明(
My new swp policyなど)を入力します。[リージョン] リストで、ポリシーを作成するリージョン(
us-central1など)を選択します。ポリシーのルールを作成する場合は、[ルールを追加] をクリックします。詳細については、Secure Web Proxy ルールを作成するをご覧ください。
[作成] をクリックします。
Cloud Shell
任意のテキスト エディタを使用して、
policy.yamlファイルを作成します。作成した
policy.yamlファイルに次の内容を追加します。description: basic Secure Web Proxy policy name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1次のように置き換えます。
PROJECT_ID: プロジェクトの IDREGION: ポリシーが作成されるリージョン(us-central1など)
Secure Web Proxy ポリシーを作成します。
gcloud network-security gateway-security-policies import policy1 \ --source=policy.yaml \ --location=REGION
次のステップ
- セキュリティ ルール
- Private Service Connect サービスとして Secure Web Proxy をデプロイする
- ネクストホップとして Secure Web Proxy をデプロイする