Cloud Firewall Threat Intelligence と位置情報機能の一般提供開始のお知らせ
Google Cloud Japan Team
※この投稿は米国時間 2023 年 6 月 10 日に、Google Cloud blog に投稿されたものの抄訳です。
Google Cloud Firewall は完全分散型のステートフル インスペクション ファイアウォール エンジンです。Google のソフトウェア定義ネットワーキング ファブリックに組み込まれており、各ワークロードに適用されます。Cloud Firewall は、クラウド ワークロードにおけるセキュリティ体制の強化と簡素化、ゼロトラスト ネットワーキングの導入に役立ちます。
Cloud Firewall プロダクトの機能強化と拡張については、以前もお伝えしました。このたび、以下の Cloud Firewall 機能の一般提供が始まりましたのでお知らせいたします。
Threat Intelligence for Cloud Firewall: Google がキュレート、構築、管理する脅威インテリジェンス リスト
位置情報オブジェクト: 特定の地理的位置に基づいてトラフィックをフィルタ
アドレス グループ: ユーザー定義の複数の IP または IP 範囲
ローカル IP 範囲: ターゲット ワークロードをきめ細かく制御
Threat Intelligence for Cloud Firewall
Threat Intelligence for Cloud Firewall は、クラウド ワークロードにおいて、悪意のあるトラフィックを特定してブロックし既知の良好なトラフィックを許可するために役立ちます。この機能では、Google、サードパーティ、オープンソースのデータベースから得られた脅威インテリジェンス データのキュレート済みリストを使用し、ファイアウォール ルールを強化します。Google Cloud Threat Intelligence の研究者がこれらのリストを管理し継続的に更新するため、ファイアウォール ルールは最新の状態に保たれます。
Threat Intelligence for Cloud Firewall を使用すると、たとえば、既知の不正な IP アドレスをブロックし、攻撃者がネットワークに侵入するのを防止できます。また、検索エンジンのクローラなど、信頼できるソースからの正常なトラフィックは許可できます。
位置情報オブジェクト
IP アドレス範囲は、世界中で絶えず変化しています。位置情報オブジェクトを導入することで、指定した地理的位置からのトラフィックを、根本の IP が変わってもブロックすることができます。Google が IP アドレスと国のマッピングを構築して管理するため、ユーザーはこの情報を管理する費用と労力を削減できます。この機能は、特定の場所からのトラフィックをブロックすることで、規制遵守の徹底に役立ちます。
アドレス グループ
アドレス グループを使用すると、ファイアウォール ルールの設定と管理を簡素化できます。同じ送信元 IP または宛先 IP を参照する複数のルールを作成することは、ファイアウォール管理作業としてよくあることです。これまでは、こういった IP 範囲設定をユーザーが個別に管理し、それを参照する各ルールに手動で IP 範囲を入力する必要がありました。
アドレス グループは、複数の IP または IP 範囲をまとめたものです。アドレス グループを使用すると、プロジェクト レベルまたは組織レベルで独自のアドレス グループを保持し、同じオブジェクトを複数の異なるファイアウォール ルールで再利用することが可能になります。また、新しいネットワーク ファイアウォール ポリシーで使用することもできます。これにより、ファイアウォール ルールの管理にかかる時間と労力が減り、一貫性が確保されます。また、ファイアウォール構成の把握やトラブルシューティングが容易になるため、エラーの減少にもつながります。
ローカル IP 範囲
ファイアウォール ルールの構成では、適用するルールのターゲットタグやサービス アカウントを指定できます。ファイアウォール ルールの構成にタグやサービス アカウントがある場合、その特定のタグやサービス アカウントを使用したワークロードのみがルールの影響を受けます。以前は、タグやサービス アカウントを指定すると、ターゲット ワークロードの IP アドレスをそれ以上利用することはできませんでした。たとえば、ターゲット ワークロードが複数の IP が割り当てられた GKE ノードの場合、以前の構成では特定の IP からのトラフィックのみを許可することはできませんでした。
このたび、Cloud Firewall 向けのローカル IP 範囲の一般提供が始まりました。ローカル IP 範囲のサポートにより、上り(内向き)ファイアウォール ルールに宛先 IP を構成できるようになり、仮想マシン(VM)インターフェースの特定の IP のみをターゲットとする上り(内向き)トラフィックを許可できるようになりました。ローカル IP 範囲は、上り(内向き)ルールと下り(外向き)ルールの送信元と宛先の IP 範囲で使用できます。これにより、ゲートウェイ型のエンドポイントを通じたトラフィックのフィルタリングが可能になります。これは、上り(内向き)ルールに宛先 IP を含み、下り(外向き)ルールに送信元 IP を含む対称的なファイアウォール ルールを構成することで実現できます。
Forrester Wave™ IaaS Platform Native Security
これらのプロダクトは「The Forrester Wave™: Infrastructure-As-A-Service Platform Native Security for Q2 2023」で評価を受け、Google はリーダーに選出されました。Forrester は Wave において、各ベンダーが現在提供しているプロダクト、戦略、市場への浸透度に基づき、特に重要なクラウド プラットフォーム プロバイダのクラウド ファーストなセキュリティ機能と市場開拓状況を評価しました。8 社のベンダーのうち、Google Cloud は戦略カテゴリで最高スコアを獲得し、Wave で評価された 22 の基準において、最も多く 5 段階中 5 の評価を獲得しました。
レポートには次のように書かれています。「Google は納得の管理 IAM 機能に加えて、堅牢なハイパーバイザと Confidential Computing セキュリティを提供しています。ネットワーク セキュリティ、特にウェブ アプリケーション ファイアウォールとセグメンテーション / マイクロセグメンテーションは、競合他社よりも優れています」。このレポートについて詳しくは、こちらをお読みください。
次のステップ
Cloud Firewall を使用すると、高度な保護機能を含むスケーラブルでクラウド ファースト、かつステートフル インスペクション式のファイアウォール サービスを使用して、クラウド ワークロードのゼロトラストのネットワーク体制を実現することができます。完全分散型のアーキテクチャである Cloud Firewall は、VM レベルで適用されるきめ細かい制御を通じて、マイクロセグメンテーションを実現します。一般提供で利用可能になった Cloud Firewall Standard の最新のアップデートでは、ファイアウォールの管理を簡素化してクラウド ワークロードの保護を強化する機能が追加されています。
お使いのクラウド環境でこれらの機能を有効にする方法の詳細については、こちらのドキュメントをご覧ください。もしくはこちらの Cloud コンソールで利用を開始してください。
