このドキュメントは、Cross-Cloud Network の設計ガイドシリーズの一部です。このパートでは、ネットワーク セキュリティ レイヤについて説明します。
このシリーズは、次のパートで構成されています。
- 分散型アプリケーション向けの Cross-Cloud Network
- クロスクラウド ネットワークにおける分散型アプリケーションのネットワーク セグメンテーションと接続
- クロスクラウド ネットワークにおける分散型アプリケーションのサービス ネットワーキング
- Cross-Cloud Network における分散型アプリケーションのネットワーク セキュリティ(このドキュメント)
セキュリティ サーフェス
Cross-Cloud Network のセキュリティ レイヤを設計する際は、次のセキュリティ サーフェスを考慮する必要があります。
- ワークロード セキュリティ
- ドメイン境界セキュリティ
ワークロード セキュリティは、Virtual Private Cloud(VPC)間のワークロードと VPC 内のワークロードとの間の通信を制御します。ワークロード セキュリティでは、アーキテクチャ内のワークロードに近いセキュリティ適用ポイントが使用されます。可能な限り、Cross-Cloud Network は Google Cloud の Cloud Next Generation Firewall を使用してワークロード セキュリティを実現します。
境界セキュリティは、すべてのネットワーク境界で必要です。境界は通常、異なる組織で管理されているネットワークを相互接続しているため、多くの場合より厳格なセキュリティ制御が必要になります。ネットワーク間の次の通信が保護されていることを確認する必要があります。
- VPC 間の通信
- 他のクラウド プロバイダまたはオンプレミス データセンターへのハイブリッド接続を介した通信
- インターネットとの通信
ハイブリッド接続全体の境界セキュリティの要件に対応するには、Google Cloud 環境内にサードパーティのネットワーク仮想アプライアンス(NVA)を挿入する機能が不可欠です。
クラウドでのワークロード セキュリティ
Google Cloud のファイアウォール ポリシーを使用して、ワークロードを保護し、水平スケーラブルで各 VM インスタンスに適用されるステートフル ファイアウォール機能を提供します。Google Cloud ファイアウォールは分散型であるため、ワークロードのパフォーマンスに悪影響を与えることなく、ネットワーク マイクロ セグメンテーションのセキュリティ ポリシーを実装できます。
階層型ファイアウォール ポリシーを使用して、管理性を向上させ、ファイアウォール ポリシーのポスチャー コンプライアンスを適用します。階層型ファイアウォール ポリシーを使用すると、組織全体で一貫したファイアウォール ポリシーを作成して適用できます。階層型ファイアウォール ポリシーを組織または個別のフォルダに割り当てることができます。また、階層型ファイアウォール ポリシールールでは、goto_next
アクションを使用して、下位レベルのポリシー(グローバルまたはリージョン ネットワーク ファイアウォール ポリシー)に評価を委任できます。
下位レベルのルールは、リソース階層の上位にあるルールをオーバーライドできません。このルール構造により、組織全体の管理者は必須のファイアウォール ルールを 1 か所で管理できます。階層型ファイアウォール ポリシーの一般的なユースケースには、組織またはマルチプロジェクトの踏み台インスタンスへのアクセス、一元管理型プローブまたはヘルスチェック システムの許可、組織またはプロジェクト グループ全体での仮想ネットワーク境界の適用などがあります。階層型ファイアウォール ポリシーのその他の使用例については、階層型ファイアウォール ポリシーの例をご覧ください。
グローバルとリージョン ネットワーク ファイアウォール ポリシーを使用して、ネットワークのすべてのリージョン(グローバル)または単一のリージョン(リージョン)のいずれかに対し、個別の VPC ネットワークに基づいてルールを定義します。
仮想マシン(VM)レベルでよりきめ細かい制御を行うには、組織またはプロジェクト レベルで Identity and Access Management(IAM)で管理されているタグを使用することをおすすめします。IAM で管理されるタグを使用すると、ホスト IP アドレスではなくワークロード ホストの ID に基づいてファイアウォール ルールを適用できます。このタグは VPC ネットワーク ピアリング全体で機能します。タグを使用してデプロイされたファイアウォール ルールは、ネットワーク アーキテクチャに依存することなく、デプロイされたワークロードに自動的に適用されるポリシー カバレッジを備えたサブネット内のマイクロ セグメンテーションを提供できます。
Cloud Next Generation Firewall は、ステートフル インスペクション機能とタグサポートに加えて、脅威インテリジェンス、FQDN、位置情報のフィルタリングもサポートしています。
VPC ファイアウォール ルールからファイアウォール ポリシーに移行することをおすすめします。移行を支援するために、移行ツールを使用します。このツールにより、グローバル ネットワーク ファイアウォール ポリシーが作成され、既存の VPC ファイアウォール ルールが新しいポリシーに変換されます。
クラウドの境界セキュリティ
マルチクラウド ネットワーク環境では、境界セキュリティは通常、各ネットワークに実装されます。たとえば、オンプレミス ネットワークでは独自に一連の境界ファイアウォールを保持しており、各クラウド ネットワークでは個別の境界ファイアウォールが実装されています。
Cross-Cloud Network はすべての通信のハブとなるように設計されているため、境界セキュリティ コントロールを統一して一元化し、Cross-Cloud Network に境界ファイアウォールの 1 セットをデプロイできます。選択可能な組み込み型境界セキュリティ スタックを提供するために、Cross-Cloud Network には、NVA を挿入するための柔軟なオプションが用意されています。
図に示す設計では、ハブ プロジェクトのトランジット VPC にサードパーティの NVA をデプロイできます。
NVA は、単一のネットワーク インターフェース(シングル NIC モード)または複数の VPC 間の複数のネットワーク インターフェース(マルチ NIC モード)でデプロイできます。Cross-Cloud Network では、NVA にシングル NIC のデプロイをおすすめします。このオプションを使用すると、次のことが可能になるためです。
- ポリシーベースのルートで NVA を挿入できる。
- 厳密なトポロジの作成を回避できる。
- さまざまな VPC 間トポロジでデプロイできる。
- NVA の自動スケーリングが可能になる。
- NVA インターフェースのデプロイを変更しなくても、時間の経過とともにさまざまなの VPC にスケーリングできる。
設計でマルチ NIC が必要な場合は、マルチ NIC NVA 境界セキュリティで推奨事項の詳細をご確認ください。
NVA のデプロイに必要なトラフィック ステアリングを実現するために、このガイドでは、VPC ルーティング テーブルでポリシーベース ルートと静的ルートを選択的に適用することをおすすめします。ポリシーベースのルートは、送信元情報と宛先情報の両方で照合するため、標準ルートより柔軟です。また、ポリシーベース ルートは、クラウド ネットワーク トポロジの特定の場所でのみ適用されます。この粒度により、明確に特定された接続フローに特定のトラフィック ステアリング動作を定義できます。
さらに、この設計により、NVA に必要な復元性メカニズムも実現されます。NVA のフロントエンドに内部 TCP / UDP ロードバランサを配置することで、NVA の冗長性、処理能力を柔軟に拡大 / 縮小する自動スケーリング、ステートフルな双方向トラフィック処理をサポートするフローの対称性を実現します。
単一 NIC NVA 境界セキュリティ
一元管理型サービスのための VPC 間接続で説明されている設計では、トランジット VPC は、VPC ネットワーク ピアリングと HA VPN を使用して接続されたスポーク VPC へのハブとして機能します。また、トランジット VPC により、外部ネットワークとスポーク VPC 間の接続も可能になります。
単一の NIC NVA の挿入を目的として、この設計では次の 2 つのパターンを組み合わせています。
- 外部ハイブリッド接続を使用して VPC ネットワーク ピアリングハブに NVA を挿入する
- 外部ハイブリッド接続を使用して HA VPN VPC ハブに NVA を挿入する
次の図は、VPC ネットワーク ピアリングと HA VPN のハブに挿入された NVA を示しています。
上記の図は、組み合わせパターンを示しています。
- ハイブリッド接続またはマルチクラウド接続を実現する Cloud Interconnect VLAN アタッチメントをホストするトランジット VPC。この VPC には、ハイブリッド接続をモニタリングする単一 NIC NVA も含まれています。
- VPC ネットワーク ピアリングを介してトランジット VPC に接続されたアプリケーション VPC。
- HA VPN を介してトランジット VPC に接続された一元管理サービス VPC。
この設計では、HA VPN を使用して接続されたスポークは、トランジット VPC を使用して、VPC ネットワーク ピアリングで接続されたスポークと通信します。この通信は、次のパススルー ロード バランシング、静的ルート、ポリシーベース ルートの組み合わせを使用して、サードパーティの NVA ファイアウォールでステアリングされます。
- HA VPN トラフィックを内部ロードバランサにステアリングするには、タグが設定されていないポリシーベースのルートをトランジット VPC に適用します。これらのポリシーベースのルートでは、トラフィックの対称性を実現する送信元と宛先の CIDR 範囲を使用します。
- 内部パススルー ネットワーク ロードバランサに着信トラフィックをステアリングするには、トランジット VPC の Cloud Interconnect 接続にポリシーベースのルートを適用します。これらはリージョン ルートです。
- NVA から送信されるトラフィックが NVA に直接ルートバックされないように、すべての NVA インターフェースをスキップ ポリシーベース ルートのターゲットにして、他のポリシーベース ルートをスキップします。NVA によって処理されたトラフィックは、VPC ルーティング テーブルに従います。
- トランジット VPC の NVA 内部ロードバランサにトラフィックをステアリングするには、アプリケーション VPC に静的ルートを適用します。ネットワーク タグを使用してリージョンで範囲指定できます。
マルチ NIC NVA 境界セキュリティ
マルチ NIC モードでは、NVA が異なるネットワーク インターフェースが存在する異なる VPC 間の接続をブリッジするため、トポロジはより静的になります。
ファイアウォールでインターフェース ベースのゾーンが必要な場合は、次のマルチ NIC 設計により、必要な外部接続が可能になります。この設計では、外部ネットワークに異なるファイアウォール インターフェースが割り当てられます。外部ネットワークは、セキュリティ担当者から信頼できないネットワークと呼ばれ、内部ネットワークは信頼できるネットワークと呼ばれます。マルチ NIC NVA デプロイの場合、この設計は、信頼できる VPC と信頼できない VPC を使用して実装されます。
内部通信の場合、ファイアウォールは、CIDR ベースのゾーンモデルに対応する単一 NIC 挿入モデルを使用して適用できます。
この設計では、NVA を挿入するために、次の構成を行います。
- HA VPN トラフィックを内部ロードバランサにステアリングするには、タグなしのポリシーベースのルートを信頼できる VPC に適用します。これらのポリシーベースのルートでは、トラフィックの対称性を実現する送信元と宛先の CIDR 範囲を使用します。
- 内部パススルー ネットワーク ロードバランサに着信トラフィックをステアリングするには、信頼できない VPC の Cloud Interconnect 接続にポリシーベースのルートを適用します。これらはリージョン ルートです。
- NVA から送信されるトラフィックが NVA に直接ルートバックされないように、すべての NVA インターフェースをスキップ ポリシーベース ルートのターゲットにして、他のポリシーベース ルートをスキップします。NVA によって処理されたトラフィックは、VPC ルーティング テーブルに従います。
- 信頼できる VPC の NVA 内部ロードバランサにトラフィックをステアリングするには、アプリケーション VPC に静的ルートを適用します。ネットワーク タグを使用してリージョンで範囲指定できます。
次の図は、ハブ プロジェクトの信頼できない VPC ネットワークと信頼できる VPC ネットワークの間に挿入されたマルチ NIC NVA を示しています。
次のステップ
- この設計ガイドで使用する Google Cloud プロダクトの詳細を確認する。
- Cloud アーキテクチャ センターで、その他のリファレンス アーキテクチャ、設計ガイド、ベスト プラクティスを確認する。
寄稿者
作成者:
- Victor Moreno | プロダクト マネージャー、クラウド ネットワーキング
- Ghaleb Al-habian | ネットワーク スペシャリスト
- Deepak Michael | ネットワーキング スペシャリスト カスタマー エンジニア
- Osvaldo Costa | ネットワーキング スペシャリスト カスタマー エンジニア
- Jonathan Almaleh | スタッフ テクニカル ソリューション コンサルタント
その他の寄稿者:
- Zach Seils | ネットワーキング スペシャリスト
- Christopher Abraham | ネットワーキング スペシャリスト カスタマー エンジニア
- Emanuele Mazza | ネットワーキング プロダクト スペシャリスト
- Aurélien Legrand | 戦略的クラウド エンジニア
- Eric Yu | ネットワーキング スペシャリスト カスタマー エンジニア
- Kumar Dhanagopal | クロス プロダクト ソリューション デベロッパー
- Mark Schlagenhauf | テクニカル ライター、ネットワーキング
- Marwan Al Shawi | パートナー カスタマー エンジニア
- Ammett Williams | デベロッパー リレーションズ エンジニア