グローバル ネットワーク ファイアウォール ポリシーを使用すると、すべてのファイアウォール ルールを 1 つのポリシー オブジェクトにまとめて更新できます。Virtual Private Cloud(VPC)ネットワークにネットワーク ファイアウォール ポリシーを割り当てることができます。これらのポリシーには、接続を明示的に拒否または許可するルールが含まれています。
仕様
- グローバル ネットワーク ファイアウォール ポリシーは、ファイアウォール ルールのコンテナ リソースです。各グローバル ネットワーク ファイアウォール ポリシー リソースは、プロジェクト内で定義されます。
- グローバル ネットワーク ファイアウォール ポリシーを作成した後、ポリシーでファイアウォール ルールを追加、更新、削除できます。
- グローバル ネットワーク ファイアウォール ポリシーのルールの仕様については、ファイアウォール ポリシールールをご覧ください。
- グローバル ネットワーク ファイアウォール ポリシー ルールを VPC ネットワークに適用するには、ファイアウォール ポリシーをその VPC ネットワークに関連付ける必要があります。
- グローバル ネットワーク ファイアウォール ポリシーは、複数の VPC ネットワークに関連付けることができます。ファイアウォール ポリシーと関連するネットワークが同じプロジェクトに属していることを確認します。
- 各 VPC ネットワークは、1 つのグローバル ネットワーク ファイアウォール ポリシーにのみ関連付けることができます。
- ファイアウォール ポリシーがどの VPC ネットワークにも関連付けられていない場合、そのポリシーのルールは無効になります。どのネットワークにも関連付けられていないファイアウォール ポリシーは、関連付けのないグローバル ネットワーク ファイアウォール ポリシーです。
- グローバル ネットワーク ファイアウォール ポリシーが 1 つ以上の VPC ネットワークに関連付けられている場合、ファイアウォール ポリシールールは次の方法で適用されます。
- 既存のルールは、関連する VPC ネットワーク内の該当するリソースに適用されます。
- ルールに加えた変更は、関連する VPC ネットワーク内の該当するリソースに適用されます。
- ポリシーとルールの評価の順序で説明されているように、グローバル ネットワーク ファイアウォール ポリシー ルールは、他のファイアウォール ルールと一緒に適用されます。
グローバル ネットワーク ファイアウォール ポリシールールを使用して、URL フィルタリング サービスや侵入検出 / 防止サービスの使用時などに、一致したトラフィックのレイヤ 7 検査を構成します。
apply_security_profile_groupアクションとセキュリティ プロファイル グループの名前を使用して、ファイアウォール ポリシー ルールを作成します。ファイアウォール ポリシー ルールに一致するトラフィックは、レイヤ 7 検査のためにファイアウォール エンドポイントに透過的に転送されます。ファイアウォール ポリシー ルールの作成方法については、グローバル ネットワーク ファイアウォール ルールを作成するをご覧ください。
グローバル ネットワーク ファイアウォール ポリシー ルールの詳細
グローバル ネットワーク ファイアウォール ポリシー ルールのコンポーネントとパラメータの詳細については、ファイアウォール ポリシー ルールをご覧ください。
次の表に、グローバル ネットワーク ファイアウォール ポリシー ルールと VPC ファイアウォール ルールの主な違いを示します。
| グローバル ネットワーク ファイアウォール ポリシールール | VPC ファイアウォール ルール | |
|---|---|---|
| 優先度 | ポリシー内で一意である必要があります | 優先度の重複は可能です |
| ターゲットとしてのサービス アカウント | ○ | ○ |
| ソースとしてのサービス アカウント (上り(内向き)ルールのみ) |
× | ○ |
| タグタイプ | セキュアタグ | ネットワーク タグ |
| 名前と説明 | ポリシー名、ポリシー、ルールの説明 | ルール名と説明 |
| バッチ アップデート | ○(ポリシーのクローン作成、編集、置換機能) | × |
| 再利用 | ○ | × |
| 割り当て | 属性数 - ポリシー内のルールの全体的な複雑さに基づく | ルール数 - 複雑なファイアウォール ルールと単純なファイアウォール ルールで、割り当てへの影響は変わりません |
事前定義ルール
グローバル ネットワーク ファイアウォール ポリシーを作成すると、Cloud Next Generation Firewall は優先度が最も低い事前定義ルールをポリシーに追加します。これらのルールは、ポリシーで明示的に定義されたルールと一致しない接続に適用されます。これにより、このような接続は下位レベルのポリシーまたはネットワーク ルールで処理されます。
さまざまなタイプの事前定義ルールとその特性については、事前定義ルールをご覧ください。
Identity and Access Management(IAM)のロール
IAM ロールは、グローバル ネットワーク ファイアウォール ポリシーに関して次のアクションを管理します。
- グローバル ネットワーク ファイアウォール ポリシーの作成
- ポリシーとネットワークの関連付け
- 既存のポリシーの変更
- 特定のネットワークまたは VM で有効なファイアウォール ルールの表示
次の表に、各ステップに必要となるロールを示します。
| アクション | 必要なロール |
|---|---|
| 新しいグローバル ネットワーク ファイアウォール ポリシーを作成する | ポリシーが属するプロジェクトに対する Compute セキュリティ管理者ロール(roles/compute.securityAdmin) |
| ポリシーをネットワークに関連付ける | ポリシーが存在するプロジェクトに対する Compute ネットワーク管理者ロール(roles/compute.networkAdmin) |
| ポリシー ファイアウォール ルールを追加、更新、削除してポリシーを変更する | ポリシーが存在するプロジェクトに対する Compute セキュリティ管理者ロール(roles/compute.securityAdmin) |
| ポリシーを削除する | ポリシーが存在するプロジェクトに対する Compute ネットワーク管理者ロール(roles/compute.networkAdmin) |
| VPC ネットワーク上で効力のあるファイアウォール ルールの表示 | ネットワークに対する次のいずれかのロール: Compute ネットワーク管理者のロール( roles/compute.networkAdmin)Compute ネットワーク閲覧者のロール( roles/compute.networkViewer)Compute セキュリティ管理者のロール( roles/compute.securityAdmin)Compute 閲覧者のロール( roles/compute.viewer) |
| ネットワーク内の VM に対する有効なファイアウォール ルールの表示 | VM に対する次のいずれかのロール: Compute インスタンス管理者(v1)ロール( roles/compute.instanceAdmin)Compute セキュリティ管理者ロール( roles/compute.securityAdmin)Compute 閲覧者ロール( roles/compute.viewer) |
次のロールは、グローバル ネットワーク ファイアウォール ポリシーに関連しています。
| ロール名 | 説明 |
|---|---|
Compute セキュリティ管理者のロール(roles/compute.securityAdmin) |
(プロジェクト レベルまたはリソースレベルで付与可能)プロジェクトに付与した場合、ユーザーはグローバル ネットワーク ファイアウォール ポリシーやルールを作成、更新、削除できます。ポリシーレベルでは、ユーザーはポリシールールを更新できますが、ポリシーの作成または削除はできません。このロールが付与されたユーザーは、ポリシーをネットワークに関連付けることもできます。 |
Compute ネットワーク管理者のロール(roles/compute.networkAdmin) |
プロジェクト レベルまたはネットワーク レベルで付与。ネットワークに対して付与されている場合、ユーザーはグローバル ネットワーク ファイアウォール ポリシーのリストを表示できます。 |
Compute 閲覧者のロール(roles/compute.viewer)Compute ネットワーク ユーザーのロール( roles/compute.networkUser)Compute ネットワーク閲覧者のロール( roles/compute.networkViewer) |
ユーザーがネットワークまたはインスタンスに適用されているファイアウォール ルールを表示できるようにします。 ネットワークの compute.networks.getEffectiveFirewalls 権限とインスタンスの compute.instances.getEffectiveFirewalls 権限が含まれます。 |