VPC ファイアウォール ルールからネットワーク ファイアウォール ポリシーに移行する必要性

※この投稿は米国時間 2023 年 3 月 1 日に、Google Cloud blog に投稿されたものの抄訳です。

2022 年秋、Google は Google Cloud Firewall の新しいポリシー構造を発表しました。Google Cloud Firewall は、Google Cloud 上のワークロード間のトラフィック フローを安全に保つスケーラブルかつクラウド ファーストなファイアウォール サービスで、その分散アーキテクチャにより、マイクロセグメンテーションなどの簡素化されたきめ細かい制御が可能になります。従来の VPC ファイアウォール ルールには、IAM インフラストラクチャによって管理されていないネットワーク タグが含まれていましたが、IAM によって管理されるタグを使用した Cloud Firewall の新しいネットワーク ファイアウォール ポリシーは、階層型制御モデルに準拠しており、セキュリティ運用の改善に役立ちます。

Google は、VPC ファイアウォール ルールから、新しく導入されたネットワーク ファイアウォール ポリシーに移行することをおすすめしています。なお、この移行を支援するために、グローバル ネットワーク ファイアウォール ポリシーを作成し、既存の VPC ファイアウォール ルールを新しいポリシーに変換する移行ツールを開発しました。

Google Cloud のネットワーク ファイアウォール ポリシーでは、ネットワークのすべてのリージョン（グローバル ネットワーク ファイアウォール ポリシー）または単一のリージョン（リージョン ネットワーク ファイアウォール ポリシー）のいずれかに対し、VPC ネットワークごとに定義したルールを設けています。IAM によって管理されるタグを使用して仮想マシン（VM）レベルで適用される詳細な制御では、ネットワーク アーキテクチャに依存することなく、デプロイ済みのワークロードに自動的に適用される広範なポリシー カバレッジを備えたサブネット内のマイクロセグメンテーションを行えます。

ネットワーク ファイアウォール ポリシーにより、次のことが可能になります。

• 単一のポリシー内で複数のルールを一括編集することで、時間を節約し、ルール管理を簡素化し、単一のルール更新パターンによって生み出される競合状態を排除することができます。

• VPC ネットワークに適用されるすべてのファイアウォールのルールセットが単一のリソースに含まれているため、単一のリソース上で統合 API を使用してファイアウォール構成を簡単に変更および更新できます。

• ファイアウォール ポリシーの作成、更新、関連付けのための個別の IAM 権限など、ニーズと要件に基づくきめ細かな IAM コントロールが可能になります。

• 同じプロジェクト内の VPC ネットワーク間で、ファイアウォール構成が共有および接続されているため、構成と管理が簡素化されます。

これらの強化された機能により、新しいポリシー構造と IAM が管理するタグを組み合わせることで、運用が簡素化されるとともに、より信頼性の高いきめ細かな制御と最小権限ポリシーの実装を実現できます。

今後、Cloud Firewall の新しい改善と機能はすべて、ファイアウォール ポリシーを通じてのみサポートされます。ネットワーク ファイアウォール ポリシーとタグの統合は、Cloud Firewall Essentials 階層の一部であり、追加料金なしでお客様に提供されます。Cloud Firewall Standard 階層に導入される脅威インテリジェンス、FQDN、位置情報フィルタリング機能など、将来の Cloud Firewall プロダクトの拡張機能を利用するために、お客様にはネットワーク ファイアウォール ポリシーに移行することをおすすめしています。詳しくは、Cloud Firewall Standard に関するお知らせのブログ投稿をご覧ください。

ネットワーク ファイアウォール ポリシー移行ツールの概要

新しい移行ツールにより、既存の VPC ファイアウォール ルールを新しいポリシーに変換できます。このツールによって既存の VPC ファイアウォール ルールが削除されたり、影響を受けたりすることはありません。新しいグローバル ネットワーク ファイアウォール ポリシーが作成されたら、ネットワーク ファイアウォール ポリシーを VPC に適用できます。また、ネットワーク ファイアウォール ポリシーと VPC ファイアウォール ルールの評価順序を入れ替えるオプションもあります。

新しく作成されたネットワーク ファイアウォール ポリシーが意図したとおりに機能することを確認したら、既存の VPC ファイアウォール ルールを削除できます。最善の確認方法は、既存の VPC ファイアウォール ルールと新しいネットワーク ファイアウォール ポリシーの両方でファイアウォール ロギングを有効にすることです。新しいグローバル ポリシーを最初に評価するように評価順序を入れ替えた後に、ファイアウォール ログを調べると、新しいネットワーク ファイアウォール ポリシールールが評価され、意図したとおりにヒットしたことと、同等の VPC ファイアウォール ルールのヒット数が隠され、これ以上ヒットしないことを確認できます。ヒット数とシャドウルールの分析のサポートも、ファイアウォール インサイトの今後のリリースで利用できるようになります。詳しくは、移行ツールガイドをご覧ください。

移行ツールには gcloud コマンドとしてアクセスできます。このコマンドには、（1）ソース VPC ネットワーク（SOURCE_VPC_NETWORK）と（2）ターゲット ネットワーク ファイアウォール ポリシー（TARGET_NETWORK_FIREWALL_POLICY）という 2 つの必須の引数があります。

ネットワーク ファイアウォール ポリシーは移行ツールによって作成されるため、このコマンドを実行する前に同じ名前のポリシーが存在することはありません。

さらに、どの移行においてもロギングは変更されません。言い換えれば、VPC ファイアウォール ルールでロギングがオンになっていると、移行ツールはロギングをオンのままにし、ロギングがオフになっていると、移行ツールはロギングをオフのままにします。

ルールの評価順序を変更する方法や、ネットワーク タグやサービス アカウントを含む VPC ファイアウォール ルールから移行する方法など、より詳細なガイドについては、移行ガイドをご覧ください。

今すぐ移行を開始する

Google は、ファイアウォール構成を VPC ファイアウォール ルールから、新しく導入されたネットワーク ファイアウォール ポリシーに移行し、完全に分散されたクラウド ファーストなステートフル インスペクション式ファイアウォール サービスでセキュリティ体制を強化することをおすすめしています。さらに、ネットワーク ファイアウォール ポリシーに移行すると、Cloud Firewall Standard などの最新のファイアウォール機能にアクセスできるようになります。この移行をサポートする移行ツールも用意されています。詳しくは、こちらのガイドをご覧ください。