コンテンツに移動
Cloud
ブログ
お問い合わせ 無料で開始
Cloud
ブログ
お問い合わせ 無料で開始
セキュリティ & アイデンティティ

Macy’s が Google Cloud NAT を使ってセキュリティ対策を強化

2023年7月14日
Google Cloud Japan Team

※この投稿は米国時間 2023 年 7 月 8 日に、Google Cloud blog に投稿されたものの抄訳です。

Macy’s は、ハイエンドなファッションを世界展開していることで知られています。一方であまり知られていないのは、同社が顧客データを安全に保つために徹底した対策をとっているという事実です。Macy’s がインフラストラクチャをオンプレミスから Google Cloud に移行した際、要件としてあげたのは、セキュリティやユーザー エクスペリエンスをけっして犠牲にしない、ということでした。

オンプレミスからクラウドへの移行は必ずしも容易な作業でありません。特に Macy’s のように、「スループットやレイテンシに影響を及ぼさずに、ワークロードのインターネット アクセスを安全に守れるようなマネージド ソリューション」を主な要件として掲げている場合はなおさらです。

大規模環境に Cloud NAT を実装

スループットやレイテンシに影響を与えることなく安全保護対策を適用するのは簡単なことではありません。アクティブ ユーザーを 4,000 万人以上抱えるような Macy’s のようなケースでは言わずもがなです。同社は、パブリック IP アドレスを使用せずにクラスタからインターネットへのアウトバウンド接続を作成できるよう、ネットワーク アドレス変換を実行する手段を求めていました。すべてのユースケースは最終的に Cloud NAT に行き着きました。

Cloud NAT は、ワークロードにネットワーク アドレス変換の手段を提供する分散型のクラウド ファースト サービスであり、外部 IP アドレスの使用を回避できるのが特徴です。ワークロードは通常、アップデートをダウンロードしたり、SaaS サービスとやりとりしたりする目的で、インターネットにアクセスします。

Macy’s のワークロードがアウトバウンド接続を開始する際、Cloud NAT は非公開の関連付けられた IP アドレスを 1 つまたは複数の共有パブリック IP アドレスに変換します。これにより、Macy’s が外部にアクセスできるようにする一方で、外部から Marcy's 内部への接続を防ぐことができます。さらに都合のいいことに、Cloud NAT ではネットワーキング、転送、ルーティングの追加設定が不要なので、設定やメンテナンスが簡単であるというメリットもあります。

https://storage.googleapis.com/gweb-cloudblog-publish/images/1_Google_Cloud_NAT.max-1600x1600.png

高パフォーマンスを常に維持

Cloud NAT はソフトウェア定義ネットワーキングを基盤としており、管理の簡素化にとどまらないメリットを Macy’s にもたらしています。具体的には、仮想マシンや物理的なゲートウェイ デバイスを使用せず、高可用性が保たれる作りとなっているため、仮に 1 つのゾーンがダウンしても、別のリージョンで利用することが可能です。アップタイムの SLA は 99.99% であり、運用の中断について心配は無用です。

さらに、Cloud NAT では、使用するNAT IP アドレスの数を自動スケーリングするように設定することも可能です。プロキシレスのアーキテクチャによって、チョークポイントのない NAT 運用が実現され、ワークロードのスループットやレイテンシへの影響が最小限に抑えられます。従来のプロキシに比べた Cloud NAT のさまざまな特長を以下の図に示します。

https://storage.googleapis.com/gweb-cloudblog-publish/images/2_Google_Cloud_NAT.max-1700x1700.png

高度なセキュリティ基準を維持

Macy’s は、Cloud NAT に搭載されているロギングおよび監視機能を活用しています。NAT ログは SIEM ツールに自動的に転送され、変換、分析されます。この内蔵の機能により、Macy’s は自社の環境について詳しく把握し、異常な動作が検出された場合はセキュリティ チームが迅速に対応することができます。

セキュリティ機能と幅広いメリットを併せ持った Cloud NAT は、Macy’s にとってごく自然な選択肢でした。しかし、以下の図に示すように、Cloud NAT は Macy’s の多層防御戦略の一部にすぎません。Cloud NAT は既存の Cloud ファイアウォール ルールと連係動作し、適切なトラフィックのみが既存のワークロードに到達するようになっています。

Cloud NAT はファイアウォールの前面に配置されるため、既存の Cloud ファイアウォール ルールの再設定は不要です。下り(外向き)のファイアウォール ルールはパケットが NAT に到達する前に、上り(内向き)のファイアウォール ルールはパケットが NAT に到達した後に評価されます。インターネットからの未承認のインバウンド リクエストは、たとえファイアウォール ルールによって許可されても、Cloud NAT によってブロックされます。

https://storage.googleapis.com/gweb-cloudblog-publish/images/4_Google_Cloud_NAT.max-1500x1500.png

Macy’s は、セキュリティ対策においても最先端のスタイルをリードし続けています。

Cloud NAT の詳細

Cloud NAT は、非公開リソースを確実に非公開に保つ方法を提供します。ご利用の環境を保護するために Cloud NAT がどのように役立つかについて詳しくは、Cloud NAT によるネットワーク保護の動画をご覧ください。さっそく使用を開始してみるには、クイック スタートガイドをご覧ください。


- クラウド セキュリティ アーキテクト Brandon Maltzman

投稿先
関連記事
https://storage.googleapis.com/gweb-cloudblog-publish/images/17_-_Security__Identity_NrORvDT.max-700x700.jpg
Security & Identity

Google Cloud と Swift、支払いに関する不正行為に対する対策として高度 AI / フェデレーション ラーニング技術を先駆けて開発

執筆者: Vineet Dave • 所要時間: 9 分

https://storage.googleapis.com/gweb-cloudblog-publish/images/hero_image_melcari_horizontal.max-700x700.jpg
Customers

メルカリ: Mandiant のサイバー防御ソリューションを活用し、安心・安全なサービス基盤をさらに強化

執筆者: Google Cloud Japan Team • 所要時間: 3 分

https://storage.googleapis.com/gweb-cloudblog-publish/images/17_-_Security__Identity_NrORvDT.max-700x700.jpg
Security & Identity

Defender’s Advantage - 防御側の優位性 :効果的なサイバー防御のためのアプローチと考え方

執筆者: Mandiant • 所要時間: 3 分

https://storage.googleapis.com/gweb-cloudblog-publish/images/security_AkwXJZn.max-700x700.png
Public Sector

AI のセキュリティを確保: 国家安全保障のミッションを推進

執筆者: Ron Bushar • 所要時間: 2 分