Cloud NGFW の概要

Cloud Next Generation Firewall は、分散型の最新のクラウド ファイアウォール サービスです。これにより、 Google Cloud で実行されるアプリケーションやサービス、 Google Cloudリソースを使用するアプリケーションやサービスなどの Google Cloud ワークロードを保護できます。

Cloud NGFW は、north-south トラフィック（Virtual Private Cloud（VPC）ネットワークに出入りするトラフィック）と east-west トラフィック（VPC ネットワーク内のリソース間の通信）の両方に対して、ステートフル インスペクションとレイヤ 7 アプリケーション制御を提供します。高度なセキュリティのために、Cloud NGFW には侵入検知および防止サービスと URL フィルタリング サービスが含まれています。侵入検知および防止サービスは、アプリケーション レイヤでトラフィックを検査して、ネットワークベースの脅威を特定してブロックします。URL フィルタリング サービスを使用すると、URL をブロックまたは許可することで、ウェブサイトやウェブページへのアクセスを制御できます。

このドキュメントでは、Cloud NGFW の機能、サービスティア、Cloud NGFW がサポートするさまざまなネットワークの概要について説明します。

Cloud NGFW の主な機能

Cloud NGFW には、次の主なセキュリティ機能があります。

• 分散ファイアウォール サービス。Cloud NGFW は、VPC ネットワーク内の VM インスタンス、VM ベースのリソース、サポートされているロードバランサにファイアウォール ルールを適用して、トラフィックを許可、拒否、または検査に送信します。

• グローバル ネットワーク ファイアウォール ポリシーとリージョン ネットワーク ファイアウォール ポリシー。Cloud NGFW を使用すると、ファイアウォール ルールをポリシー オブジェクトにグループ化して、複数の Virtual Private Cloud（VPC）ネットワークにグローバルに、または特定のリージョン内で一貫して適用できます。詳細については、グローバル ネットワーク ファイアウォール ポリシーとリージョン ネットワーク ファイアウォール ポリシーをご覧ください。

• 階層型ファイアウォール ポリシー。Cloud NGFW を使用すると、ファイアウォール ルールをポリシー オブジェクトにグループ化して、組織全体または特定のフォルダに適用できます。これらのポリシーにより、 Google Cloudリソース階層全体で一貫したファイアウォールが適用されます。詳細については、階層型ファイアウォール ポリシーをご覧ください。

• 多層セキュリティ。Cloud NGFW は、ネットワーク スタックのレイヤ 3、レイヤ 4、レイヤ 7 で制御を適用してワークロードを保護します。ネットワーク レイヤとアプリケーション レイヤでトラフィックを制御するファイアウォール ルールを作成できます。

• きめ細かい制御とマイクロセグメンテーション。マイクロセグメンテーションは、ネットワークを小さな個別のゾーンに分割して、ワークロードのゼロトラスト フレームワークを作成するセキュリティ プラクティスです。セキュアタグを使用すると、マイクロセグメンテーションを有効にして、きめ細かい ID ベースのセキュリティ ルールを適用し、内部トラフィックと外部トラフィックの両方をフィルタできます。

Cloud NGFW の階層

Cloud NGFW の機能は、次の階層に分類されます。

• Cloud Next Generation Firewall Essentials: Google Cloud が提供する基本的なファイアウォール サービス階層。この階層の機能を使用すると、IP 範囲、ポート、プロトコルなどの標準ネットワーク属性に基づいてルールを作成できます。この階層の機能は無料で提供されます。

• Cloud Next Generation Firewall Standard: 完全修飾ドメイン名（FQDN）オブジェクトや脅威インテリジェンスなどの拡張機能により、Essentials ティアの機能を拡張します。

• Cloud Next Generation Firewall Enterprise: Cloud NGFW の最上位ティア。高度な構成とレイヤ 7 セキュリティ機能（URL フィルタリング、侵入検知と防止など）を提供します。

Cloud NGFW の階層システムを使用すると、セキュリティ費用をきめ細かく制御できます。Cloud NGFW の機能、階層、料金の詳細については、Cloud NGFW の階層と Cloud NGFW の料金をご覧ください。

サポートされている VPC ネットワーク

Cloud NGFW は、特定のワークロード要件とパフォーマンス プロファイルに合わせて設計された次の VPC ネットワークをサポートしています。

• 通常の VPC ネットワーク: 通常の VPC ネットワークは、次の Cloud NGFW ファイアウォール ポリシーをサポートしています。

  • グローバル ネットワーク ファイアウォール ポリシー
  • リージョン ネットワーク ファイアウォール ポリシー
  • 階層型ファイアウォール ポリシー

  通常の VPC ネットワークは VPC ファイアウォール ルールもサポートしています。

• リモート ダイレクト メモリ アクセス（RDMA）ネットワーク: リージョン ネットワーク ファイアウォール ポリシーを適用することで、RDMA ネットワークを保護できます。

次のステップ

• Cloud NGFW の階層
• ファイアウォール ポリシーとルール
• ファイアウォール ポリシーとルールの評価順序
• ネットワーク プロファイル