Google Cloud Platform

ファイアウォールルールを堅固にする 3 つの方法

Google Cloud Japan Team

2018年1月25日

GCP を試す

12 か月以上のご利用で 300 US ドル分の無料クレジットをゲット。

Google Cloud VPC（Virtual Private Cloud）のファイアウォールルール管理者は、社内の開発者がルールを正しい VM インスタンスに適用できるように設定を施す必要があります。この保証がなければ、VPC 内の VM に置かれた機密データへのアクセスを管理しきれなくなったり、これらのインスタンスへの外部アクセスを許したりする恐れが出てきます。

管理者は、インスタンスの監視や監査体制を強化し、タグを使った不正なアクセスを食い止めなければなりません。その手助けとなるべく、Google VPC には必要なレベルの管理を実現する方法が複数用意されています。本稿ではそれを詳しく説明します。

例として、VPC 内の一連の VM で実行されているデータストアにおいて、利用者の課金データという機密情報へのアクセスを制限するファイアウォールルールの設定について見ていきます。さらに、アプリケーションで使われる VM のうち、課金フロントエンド以外のものを作成できる開発者に対して、課金データへのアクセスを許可しないようにルールを設定してみます。

こうしたケースでは、従来は VM にタグを付け、特定のタグだけにアクセスを認めるファイアウォールルールを作成するのが一般的でした。たとえば上の例では、billing-frontend タグを持つすべての VM に対して、billing-data タグを持つすべての VM へのアクセスを許可するファイアウォールルールを作るのです。しかしこの方法には、プロジェクトの Compute InstanceAdmin ロールを持つ開発者が自身の VM に billing-frontend タグを与えると、機密データに不正アクセスできてしまうという欠点があります。

サービスアカウントを用いたファイアウォールルールの設定

タグの代わりにサービスアカウントを用いたファイアウォールルールの設定機能が正式リリース（GA）されたことにより、中央で一元管理されているサービスアカウントにアクセスできない開発者は、自身のインスタンスにファイアウォールルールを適用できなくなりました。

サービスアカウントは、VM 上で実行されるアプリケーションやサービスに属する特殊な Google アカウントで、それらのアプリケーションやサービスがリソースにアクセスするのを認証するために使われます。上の例で言うと、アクセス元のサービスアカウントが billing-frontend@ の場合のみ billing-data@ サービスアカウントへのアクセスを許可するファイアウォールルールを作成できます。

ソースおよびターゲットのサービスアカウントを使ったファイアウォールルール（サービスアカウント名は略してあります）

このファイアウォールルールを作成する gcloud コマンドは以下のとおりです。

  gcloud compute firewall-rules create secure-billing-data \
    --network web-network \
    --allow TCP:443 \
    --source-service-accounts billing-frontend@web.iam.gserviceaccount.com \
    --target-service-accounts billing-data@web.iam.gserviceaccount.com

上の例で、課金フロントエンドと課金データの両アプリケーションが自動スケーリングされる場合は、VM 作成用のインスタンステンプレートでそれぞれのアプリケーションにサービスアカウントを指定できます。

この方法の利点は、ファイアウォールルールをいったん設定してしまえば、IAM パーミッションを変更してもルールを変える必要がないことです。ただし、現時点では VM に関連づけられるサービスアカウントは 1 つだけであり、サービスアカウントを変更する際はインスタンスを停止状態にする必要があります。

InstanceAdmin のためのカスタム IAM ロールの作成

タグの柔軟性やサービスアカウントの制限が気になるのであれば、VM にタグを設定できないように権限を縮小したカスタムロールを作るという方法もあります。具体的には、compute.instances.setTag パーミッションを取り除くのです。

このカスタムロールは、InstanceAdmin ロールが持つその他の権限を備え、社内の開発者に安心して与えることが可能です。このカスタムロールを使用すれば、タグを使ってファイアウォールルールを作成できます。

  gcloud compute firewall-rules create secure-billing-data \
    --network web-network \
    --allow TCP:443 \
    --source-tags billing-frontend \
    --target-tags billing-data

ただし、カスタムロールに与えた権限はその性質上静的であり、InstanceAdmin ロールに新しい権限が追加されたときなどは手作業で更新する必要があります。

サブネットワークを使ったワークロードの分割

次の図のように、ワークロードを異なる範囲のサブネットワークに分割できる場合は、送信元および宛先 IP アドレスの CIDR レンジをファイアウォールルールで指定することも可能です。

特定のサブネットワークに compute.networkUser ロールを付与する開発者を絞り込んだり、共有 VPC を使ったりすれば、これらのサブネットワーク内で VM を作成する権限を制限できます。

送信元および宛先 IP レンジを gcloud コマンドでファイアウォールルールに指定する方法は以下のとおりです。

  gcloud compute firewall-rules create secure-billing-data \
    --network web-network \
    --allow TCP:443 \
    --source-ranges 10.20.0.0/16 \
    --destination-ranges 10.30.0.0/16

この方法なら、大規模な VPC でスケーラビリティが向上し、ネットワークトポロジーを変えないかぎり管理下の VM の変更が可能になります。ただし、VM インスタンスが can_ip_forward を有効にしていると、上の送信元 IP レンジを使ってトラフィックを送れるため、機密性の高いワークロードにアクセスできてしまいます。

以上のように、VPC のファイアウォールルールを設定するときには、考慮すべき点がたくさんあります。よりセキュアで効率的なファイアウォールルールを設定するうえで、本稿の内容がお役に立てば幸いです。ファイアウォールルールの詳細な設定方法はこちらのドキュメントを参照してください。

* この投稿は米国時間 1 月 12 日、Staff Software Engineer である Neha Pattan によって投稿されたもの（投稿はこちら）の抄訳です。

- By Neha Pattan, Staff Software Engineer

Posted in: