コンテンツに移動
Cloud
ブログ
お問い合わせ 無料で開始
Cloud
ブログ
お問い合わせ 無料で開始
セキュリティ & アイデンティティ

Google Cloud ファイアウォールに、IAM によって管理されるタグやネットワーク ファイアウォール ポリシーなどを導入

2022年10月3日
https://storage.googleapis.com/gweb-cloudblog-publish/images/Telecom-ITDMs-and-Tech-Practitioners.max-2600x2600.jpg
Google Cloud Japan Team

※この投稿は米国時間 2022 年 9 月 23 日に、Google Cloud blog に投稿されたものの抄訳です。

ファイアウォールが提供するネットワーク セキュリティは、安全なクラウド インフラストラクチャの基本的な構成要素の一つです。この投稿では、Google Cloud ファイアウォールの 3 つの新機能(グローバル ネットワーク ファイアウォール ポリシーリージョン ネットワーク ファイアウォール ポリシー、IAM によって管理されるタグ)の一般提供開始についてお知らせいたします。

これらの機能強化により、完全分散型のクラウドネイティブなステートフル インスペクションによるファイアウォール サービスを備えたゼロトラストのネットワーク体制を、Cloud ファイアウォールを活用してより簡単に実現できるようになりました。新しいグローバル ネットワーク ファイアウォール ポリシー構造とリージョン ネットワーク ファイアウォール ポリシー構造は Virtual Private Cloud(VPC)レベルにまで拡張され、デプロイと運用がより簡単かつスケーラブルになっています。新たに Identity and Access Management によって管理されるタグを使用して仮想マシン(VM)レベルで適用される詳細な制御では、ネットワーク アーキテクチャからは独立して、デプロイされているワークロードに自動的に適用される広範なポリシー ガバレッジを備えたサブネット内のマイクロセグメンテーションを行えます。

新しいポリシー構造と IAM によって管理されるタグを組み合わせることで、Google Cloud のリソース階層全体で一貫したファイアウォール エクスペリエンスを提供し、運用を簡素化すると同時によりきめ細かい制御を可能にして、各グループやアプリでの DevOps のセルフサービス化を促進しながら、権限を最低限に抑えた環境を実現します。

さらに、Network Intelligence Center 内のファイアウォール インサイト モジュールでも一部の機能が強化されます。

新しいネットワーク ファイアウォール ポリシー構造

以前、組織レベルおよびフォルダレベルで階層型ファイアウォール ポリシーを導入しました。そしてこのたび、新しいポリシー構造であるネットワーク ファイアウォール ポリシーを導入します。これには、グローバル ネットワーク ファイアウォール ポリシーとリージョン ネットワーク ファイアウォール ポリシーの 2 種類があります。この新しい構造は、以前のVPC ファイアウォール ルールの構造に基づいて改善されています。

階層型ファイアウォール ポリシーと同様、新しいネットワーク ファイアウォール ポリシー構造はファイアウォール ルールのコンテナとして機能します。ポリシーが VPC ネットワークに関連付けられると、ネットワーク ファイアウォール ポリシーで定義されているルールが適用され、同じポリシー内の複数のルールに対して同時にバッチ アップデートを行えるようになります。

同じネットワーク ファイアウォール ポリシーを複数の VPC ネットワークに関連付けることができます。各 VPC ネットワークでは、使用できるグローバル ネットワーク ファイアウォール ポリシーは 1 つのみです。また、使用できるリージョン ネットワーク ファイアウォール ポリシーも、関連付けられたリージョンにつき 1 つのみです。グローバル ネットワーク ファイアウォール ポリシーとリージョン ネットワーク ファイアウォール ポリシーの両方が、IAM によって管理されるタグをサポートしており、Cloud ファイアウォールの今後のすべての機能強化は、新しいネットワーク ファイアウォール ポリシー構造で提供されます。

以前の構造である VPC ファイアウォール ルールは引き続きサポートされ、VPC ネットワークでの新しいネットワーク ファイアウォール ポリシーと VPC ファイアウォール ルールの同時使用もサポートされます。ただし、お客様には、既存の VPC ファイアウォール ルールをグローバル ネットワーク ファイアウォール ポリシーとリージョン ネットワーク ファイアウォール ポリシーに移行することをおすすめします。

グローバル ネットワーク ファイアウォール ポリシーリージョン ネットワーク ファイアウォール ポリシーの詳細については、ドキュメントを参照してください。

グローバル ネットワーク ファイアウォール ポリシーとリージョン ネットワーク ファイアウォール ポリシーの仕組みの違い

グローバル ネットワーク ファイアウォール ポリシーは、Google Cloud VPC ネットワークのグローバルな性質に合わせてグローバル ファイアウォール構成の構造を提供します。これは、VPC ネットワーク内のすべての Google Cloud リージョンにデプロイされたワークロードに適用されます。リージョン ネットワーク ファイアウォール ポリシーは、対象となる単一のリージョンでのみ使用できる Google Cloud ファイアウォールのリージョン ファイアウォール構成の構造を提供します。リージョン ネットワーク ファイアウォール ポリシーを使用する場合、ユーザーはファイアウォール ポリシーの対象となるリージョンを指定できます。ファイアウォールの構成データは、その特定のリージョン内のワークロードにのみ適用され、他の Google Cloud のリージョンには反映されません。

ファイアウォールの構成は、組織にとって重要なセキュリティ構成とみなされます。リージョン ネットワーク ファイアウォール ポリシーは、リージョンベースでファイアウォール構成を定義する効果的な方法をお客様に提供し、FedRAMP で定義されているようなデータ所在地のコンプライアンス要件を満たすのに役立ちます。

VPC ファイアウォール ルールからネットワーク ファイアウォール ポリシーへのスムーズな移行の有効化

前述のように、お客様による既存の VPC ファイアウォール ルールから新しいネットワーク ファイアウォール ポリシーへの移行が円滑になるように、Cloud ファイアウォール エンジンは、ネットワーク ファイアウォール ポリシーと VPC ファイアウォール ルールの両方を同じ VPC ネットワークに構成できるハイブリッド モードをサポートしています。中断を回避するために、デフォルトのルール処理順序では、以下のようにネットワーク ファイアウォール ポリシーの前に VPC ファイアウォール ルールを評価します。

https://storage.googleapis.com/gweb-cloudblog-publish/images/Cloud_Firewall_evaluation.max-2000x2000.jpg
図 1: Cloud ファイアウォールでのルールとポリシーの評価

VPC ファイアウォール ルールと新しいグローバル ネットワーク ファイアウォール ポリシーの評価の順序は入れ替えることができます。これは、ファイアウォール ルール セットの移行が完了した後、または新規のお客様に推奨される方法です。リージョン ネットワーク ファイアウォール ポリシーは常に、グローバル ネットワーク ファイアウォール ポリシーと VPC ファイアウォール ルールに続いて最後に評価されることに注意してください。

Google は、ネットワーク ファイアウォール ポリシーへの移行を支援する自動ツールを開発しました。この新しい移行ツールでは、必要に応じた入力を行うことで、VPC ファイアウォール ルールをネットワーク ファイアウォール ポリシーに自動で移行できます。最新情報については、アカウント チームにお問い合わせください。

IAM によって管理されるタグのインテグレーション

IAM によって管理される タグ は「Resource Manager タグ」や単純に「タグ」と呼ばれることがあります。これは強化されたセキュリティ プロパティを備える新しいタイプのタグリソースで、さまざまな Google Cloud リソース(VM インスタンスなど)に適用できます。

新しいネットワーク ファイアウォール ポリシー構造は、マイクロセグメンテーションを可能にするメカニズムとして、タグと簡単に統合できるように構築されています。ネットワーク タグとは異なり、このタグは IAM 権限によって厳密に制御されるため、企業は認可されていない担当者による違反というリスクなしに、ファイアウォールに関する管理について設定できます。IAM 権限を使用すると、ユーザーはタグによって論理グループについてネットワーク ファイアウォール ポリシーを定義し、組織内のこれらのグループの管理をきめ細かい認可制御を通じて委任できます。

たとえば、IAM によるきめ細かい制御を使用して、論理名への VM のアサインメントを組織内の他のチーム(アプリ開発者、データベース管理者、運用チームなど)に委任できます。VM のプライマリ IP アドレスだけにマッピングされるネットワーク タグとは異なり、ネットワーク ファイアウォール ポリシーでの新しいタグは、プライマリ IP 範囲とエイリアス IP 範囲の両方のマッピングに対応しています。VM インスタンスのファイアウォール ルールを定義する際に推奨されるベスト プラクティスのタグ付けメカニズムとして、タグがネットワーク タグに取って代わります。

IAM によって管理されるタグの利点

タグがお客様にもたらす利点には、次のものがあります。

  • IAM によるきめ細かい制御: IAM の認可ポリシーを使用して、タグの変更を許可されるユーザーと個々のタグのバインドを許可されるユーザーを制限できます。

  • スケーラビリティ: ユーザーは、組織内に最大 1,000 個のタグキーを作成できます。タグキーごとに作成可能なタグ値は、最大で 1,000 個です。各タグ値は、無制限の数の VM インスタンスに適用できます。

  • なりすまし対策: VM インスタンスが通信すると、トラフィックの発信元の VM に送信元 IP のなりすましが許可されている場合でも、送信者の ID を使用して、タグベースのファイアウォール ポリシーが適用されます。

  • ピア ネットワーク全体の参照: 1 つの VPC ネットワーク内のワークロードに関連付けられたタグを、そのピア VPC ネットワークのファイアウォール ルールで参照して、VPC ネットワーク トラフィック間で名前ベースのルール制御を提供できます。

  • タグ付けのより詳細な制御: ユーザーは、各 VPC の 1 つの VM について、最大 10 個のタグを添付できます。

ネットワーク タグとサービス アカウントではなく、IAM によって管理されるタグをネットワーク ファイアウォール ポリシーと一緒に活用する場合の利点

ネットワーク セキュリティとマイクロセグメンテーションに関する以前の推奨事項では、VPC ファイアウォール ルール、ネットワーク タグ、サービス アカウントを使用してワークロードを保護していました。ネットワーク タグには組み込みの IAM ガバナンスが含まれていないため、これらのタグは任意の VM インスタンスに追加できます。これにより、内部の脅威アクターによってタグが悪用される危険性が残ります。

サービス アカウントは優れた IAM 制御を備えていますが、各 VM に関連付けられるのは 1 つのサービス アカウントのみであるため、より柔軟なアクセス制御を適用するために複数の項目にワークロードを分類する柔軟性が制限されます。サービス アカウントに変更を加える必要がある場合、VM をシャットダウンして再作成する必要があり、これは本番環境のワークロードには適していません。

サービス アカウントとネットワーク タグは別の VPC から参照できなかったため、以前の実装では VPC 間のネットワーク トラフィックを制御する唯一の方法は IP アドレスを使用することでした。さらに、VPC ファイアウォール ルールは各ルールレベルで個別に更新する必要があり、バッチ アップデートはサポートされていないため、競合状態や運用上の課題が生じます。

ネットワーク ファイアウォール ポリシーの導入によるメリットとしては、次のようなものが挙げられます。

  • 単一のポリシー内で複数のルールを一括編集することで、時間を節約し、ルール管理を簡素化して、単一のルール更新パターンによって作成される競合状態を排除します。

  • VPC ネットワークに適用されるすべてのファイアウォールのルールセットが単一のリソースに含まれているため、単一のリソースで統合 API を使用してファイアウォール構成を操作できます。

  • ポリシーの作成、更新、関連付けを管理する個別の IAM 権限をサポートしているため、企業はニーズと要件に基づいて、IAM によるさらにきめ細かい制御を実装できます。

  • 同じプロジェクト内の VPC ネットワーク間で、ファイアウォール構成が共有および接続されているため、構成と管理が大幅に簡素化されます。

  • IAM によって管理されるタグのサポート

今後は、ネットワーク ファイアウォール ポリシーをタグと組み合わせて使用し、マイクロセグメンテーションを有効にすることをおすすめします。

ファイアウォール インサイト: カスタム更新サイクルと IPv6 サポート

Network Intelligence Centerファイアウォール インサイトでは、ファイアウォール ルールの構成の問題を特定するための自動分析を利用できます。シャドウルールの分析情報生成のカスタム更新サイクルと IPv6 のサポートという、2 つの機能強化の一般提供の開始を、ここにお知らせいたします。

これまで、ファイアウォール インサイト サービスは固定スケジュール(24 時間ごと)で実行され、お客様のファイアウォール ルールの変更を監視し、変更が検出されたときに分析情報を更新するように設計されていました。カスタム更新サイクルのサポートが開始されたことで、お客様は費用対効果を最適化するために、運用サイクルと容量に基づいて分析情報の更新頻度を独自に定義できるようになりました。

さらに、IPv6 ルールのサポート拡大により、ユーザーは IPv6 の導入プロセスの実行時に IPv4 ルールと同じ方法で IPv6 ルールを分析できます。

まとめ

新しいポリシー構造であるグローバル ネットワーク ファイアウォール ポリシー、リージョン ネットワーク ファイアウォール ポリシー、IAM によって管理されるタグの導入により、完全分散型のクラウドネイティブなファイアウォール サービスで新しい基本的な機能セットが使用できるようになりました。これらの機能により、さらに適切なスケールでファイアウォール ポリシーを簡素化し、よりきめ細かく制御することができます。これらの機能を階層型ファイアウォール ポリシーと組み合わせることで、組織全体のチームに対してセルフサービスでありながら、セキュリティ体制で最小限の権限を付与できる環境の作成に役立てることができます。これらすべての新機能については、プロダクト ドキュメントをご確認ください。

- プロダクト マネージャー Tracy Jiang
- ネットワーキング スペシャリスト Albert Colas Prunera
デベロッパー
Cloud IAM Google Cloud

Identity and access management: Authorization on Google Cloud(Identity and Access Management: Google Cloud での認可)

執筆者: Google Cloud Japan Team • 所要時間: 6 分

https://storage.googleapis.com/gweb-cloudblog-publish/images/googlecloud_2022_RYqbQfm.max-900x900.jpg
投稿先
関連記事
https://storage.googleapis.com/gweb-cloudblog-publish/images/hero_image_mitsuifudosan_horizontal.max-700x700.jpg
Customers

三井不動産: Mandiant の Attack Surface Management で自社のインターネット公開資産を正確に把握し、セキュリティ対策を万全に

執筆者: Google Cloud Japan Team • 所要時間: 5 分

https://storage.googleapis.com/gweb-cloudblog-publish/images/20501___Mandiant_Hero.max-700x700.png
Security & Identity

Mandiant Hunt for Chronicle を発表 - 潜在的な脅威をリアルタイムで見つけることが可能に

執筆者: Google Cloud Japan Team • 所要時間: 4 分

https://storage.googleapis.com/gweb-cloudblog-publish/images/security_j9BksyF.max-700x700.jpg
Security & Identity

セキュリティ課題への対応に役立つ新たな AI 機能

執筆者: Google Cloud Japan Team • 所要時間: 7 分

https://storage.googleapis.com/gweb-cloudblog-publish/images/cybersecurity_action_team_jl2RU0c.max-700x700.jpg
Security & Identity

Cloud CISO の視点: 2023 年 8 月上旬

執筆者: Google Cloud Japan Team • 所要時間: 9 分