コンテンツに移動
セキュリティ & アイデンティティ

ファイアウォール インサイトがファイアウォール ポリシーと傾向に基づく分析を新たにサポート

2023年4月14日
https://storage.googleapis.com/gweb-cloudblog-publish/images/security_j9BksyF.max-2600x2600.jpg
Google Cloud Japan Team

※この投稿は米国時間 2023 年 4 月 8 日に、Google Cloud blog に投稿されたものの抄訳です。

ファイアウォール インサイトは、ファイアウォール ルールの使用状況に関する分析情報、推奨事項、指標を提供して、Cloud ファイアウォール ルールの理解と最適化を支援します。このたび、ファイアウォール インサイトの新たな機能強化により、階層型ファイアウォール ポリシーネットワーク ファイアウォール ポリシーがサポートされるようになったことをお知らせいたします。これらの機能強化は、すべてのお客様に一般公開されています。

以前、ファイアウォール インサイトは Virtual Private Cloud(VPC)ファイアウォール ルールのサポートを提供していました。最新リリースでは、VPC ファイアウォール ルールに加えて、階層型ファイアウォール ポリシーとネットワーク ファイアウォール ポリシーの構成を最適化するための推奨事項が提供されます。ファイアウォール インサイトを使用して、VPC ファイアウォール ルールが隠され、意図したとおりにファイアウォール ポリシーがヒットしていることを検証することで、VPC ファイアウォール ルールからネットワーク ファイアウォール ポリシーへの移行をサポートできます。VPC ファイアウォール ルールからネットワーク ファイアウォール ポリシーへの移行について詳しくは、こちらのブログをご覧ください。

また、AI を活用した、傾向に基づく分析機能が公開プレビュー版となったこともお知らせいたします。この更新以前は、観察期間中にヒットがない場合、ファイアウォール インサイトは使用されていないファイアウォール ルールに関する分析情報を生成していました。現在は、傾向に基づく分析機能により、傾向の変化に基づいて使用されていないファイアウォール ルールを ML モデルを使用して特定できます。たとえば、特定のファイアウォール ルールがアクティブだったものの、VM が削除された後にヒットしなくなった場合、傾向に基づく分析機能では、観察期間の終了前に分析情報を生成できるため、そのような使用されていないルールをすばやく特定して削除できます。

ファイアウォール インサイトが階層型ファイアウォール ポリシーの構成を検証

以前、ファイアウォール インサイトは VPC ごとに定義されたルールのみをサポートしていましたが、最新のアップデートにより、階層型ファイアウォール ポリシーをサポートするようになりました。ニーズに基づいて分析情報をカスタマイズでき、組織、フォルダ、VPC ネットワークのレベルで定義された、重複するルールについて推奨事項が提示されます。また、ランタイム指標などのログに基づく分析や、制限が緩すぎるルールのログに基づく分析情報が、階層型ファイアウォール ポリシーのルールに対応するようになりました。

階層型ファイアウォール ポリシーがサポートされるようになったことで、親組織や親フォルダから継承されるルールなど、特定の VPC の運用状況に影響するすべてのファイアウォール ルールを完全に把握できます。

ファイアウォール インサイトを使用してファイアウォール構成を最適化する方法

Google Cloud ファイアウォール インサイトを使用してファイアウォール ルールを最適化する方法はたくさんあります。

  • シャドウルールの分析情報: ファイアウォール インサイトでは、優先度の高い、重複するルールのために使用されていないルールを特定できます。これにより、重要なルールがヒットするようにファイアウォール ルールの優先度を調整したり、不要なルールを削除してファイアウォール構成を簡素化したりできます。

  • 制限が緩すぎるルールの分析情報: ファイアウォール インサイトは、制限が緩すぎるルールに関する推奨事項を提供するため、セキュリティ対策の強化に役立ちます。このような推奨事項を参考にして、セキュリティやコンプライアンスを改善できます。

  • ログに基づくランタイム指標: ファイアウォール インサイトは、ファイアウォールの使用状況を追跡するための指標を提供することで、意図したとおりにファイアウォール ルールが機能しているかを確認できます。

ファイアウォール インサイトを使用してネットワーク ファイアウォール ポリシーを適用する方法

このファイアウォール インサイトによる新たなネットワーク ファイアウォール ポリシーのサポートを、VPC ファイアウォール ルールからネットワーク ファイアウォール ポリシーへの移行にぜひお役立てください。移行時には、ファイアウォール インサイトで以下をご確認いただけます。

  • 新たに作成したネットワーク ファイアウォール ポリシー ルールが、意図したとおりに評価され、ヒットしていること

  • 削除する VPC ファイアウォール ルールがヒットしなくなっていること

ファイアウォール ポリシーを初めて適用する場合、ネットワーク ファイアウォール ポリシーがヒットしており、意図したとおりに機能していることもファイアウォール インサイトで確認できます。

まとめ

ファイアウォール インサイトは、セキュリティ、モニタリング、効率の改善に役立つ強固なツールとなる可能性があります。ファイアウォール インサイトの最新アップデートでは、階層型ファイアウォール ポリシーとネットワーク ファイアウォール ポリシーに関する推奨事項が提供され、AI を活用した、制限が緩すぎるルールの傾向に基づく分析機能が新たに追加されています。このような最新機能は、ファイアウォール ポリシーの移行をサポートするだけでなく、グローバルな管理のために階層型ファイアウォール ポリシーを安全に導入したり、ファイアウォール ルールを最適化して Google Cloud への投資から価値をさらに引き出したりするうえでも役立ちます。


- ソフトウェア エンジニア Kan Cai
- プロダクト マネージャー Tracy Jiang

投稿先