オンプレミスのファイアウォール ルールを Cloud ファイアウォール ポリシーに簡単に移行する方法

※この投稿は米国時間 2023 年 6 月 7 日に、Google Cloud blog に投稿されたものの抄訳です。

ファイアウォールは、セキュリティ アーキテクチャの重要な要素です。ワークロードのクラウド環境への移行が進む中で、さらに多くの企業が、ネットワーク セキュリティのニーズに合わせたクラウド ファースト ソリューションに着目するようになっています。

Google Cloud ファイアウォールは高度な保護機能を備えたスケーラブルなクラウド ファースト サービスであり、ネットワーク セキュリティ対策の強化と簡素化をサポートします。Google Cloud ファイアウォールの完全な分散型アーキテクチャにより、Google Cloud にデプロイされているあらゆるワークロードに広範なポリシー カバレッジが自動的に適用されます。また、ファイアウォール ポリシーのステートフル インスペクションが、仮想マシン（VM）インスタンスごとに実施されます。

Cloud ファイアウォールは、以下のようなメリットをもたらします。

1. 組み込みのスケーラビリティ: Cloud ファイアウォールでは、ファイアウォール ポリシーが各ワークロードに転送ファブリックの一部として関連付けられるため、サービスのスケーリングが自発的に行われます。これにより、ユーザーはスケーラビリティを確保するために時間とリソースを費やす必要がなくなり、運用面の負担から解放されるようになります。

2. 可用性: Cloud ファイアウォール ポリシーは、Google Cloud 環境内でインスタンス化されているあらゆるワークロードに自動的に適用されます。完全な分散型アーキテクチャにより、1 つの VM インターフェースに至るまで正確なルール適用が可能になります。  

3. 管理の簡素化: 各ワークロードの Cloud ファイアウォール セキュリティ ポリシーは、ネットワーク アーキテクチャ、サブネット、ルーティング構成とは関連性がありません。ファイアウォール ルールのオブジェクトはコンテキストアウェアで動的に更新されるため、構成、デプロイ、継続的なメンテナンスを簡素化できます。

オンプレミスのファイアウォールから Cloud ファイアウォールに移行する方法

オンプレミスのほとんどのファイアウォール アプライアンスが、仮想か物理かにかかわらず、次のいずれかのモードでデプロイされています。

1. 信頼できるゾーンと信頼できないゾーンを作成してファイアウォール ポリシーを適用するゾーンベース モード。

2. アクセス制御リスト（ACL）をインターフェースに適用するモード。

いずれのモードも、ファイアウォールの主目的は、ある境界またはネットワーク セグメントを別の境界またはネットワーク セグメントから保護することです。たとえば、ゾーンベースのファイアウォールを使用して、「信頼できない」ゾーンから「信頼できる」ゾーンへのトラフィックをフィルタできます。同様に、ACL ベースのファイアウォールを使用して、「内部」のネットワーク セグメントを「外部」のネットワーク セグメントから保護できます。  

一方、Google Cloud ファイアウォールのポリシーやルールを使用する場合、このような戦略は最適なアプローチではありません。Cloud ファイアウォールは、境界デバイスとして動作するようには設計されていません。Cloud ファイアウォールは、完全な分散型ルールセットであり、VM といった個々のリソースの保護をサポートするものです。ところが、ほとんどのお客様が、オンプレミスのファイアウォール ロジックを複製して、クラウド環境に適用したいと考えています。次の例をご覧ください。

オンプレミスのファイアウォール アプライアンス ルールと Cloud ファイアウォール ルールでは、互いに似通っているコンポーネントがたくさんあります。ただし、いくつかの決定的な違いがあることから、ファイアウォール アプライアンスから Cloud ファイアウォールへの移行が困難な作業になることがあります。たとえば、次のような違いです。

• 従来のファイアウォールは境界を保護します。Google Cloud では、ファイアウォール ルールはリソースを保護します。これは、所定のファイアウォール ルールの適用先のリソースを指定する「ターゲット」のコンセプトを通して行われます。

• Google Cloud には、さまざまな種類のファイアウォール オプションが用意されています（階層型ファイアウォール ポリシー、グローバル / リージョン ファイアウォール ポリシー、Virtual Private Cloud（VPC）ファイアウォール ルール）。使用するルールの種類を選び、クラウド ネットワーク アーキテクチャでそのルールをどのように構成するかを決めるには、確認と計画が必要です。

また、オンプレミスのファイアウォールと比較した場合に、クラウド環境では追加が必要となる可能性のあるファイアウォール ルールもいくつかあります。たとえば、Google Cloud のヘルスチェック トラフィックがロード バランサのバックエンドにアクセスすることを許可する内向きのファイアウォール ルールの作成が必要な場合や、Google Cloud API を使用するために VM からのアクセスを許可する外向きのルールの作成が必要な場合があります。他にも、オンプレミスのファイアウォールに、ルーティング、ネットワーク アドレス変換（NAT）、VPN 終端、場合によってはレイヤ 7 検査といった、オンプレミス ネットワークに対する追加の機能が設定されていることも多いです。

Google Cloud は、オンプレミスのファイアウォール アプライアンスから Cloud ファイアウォールなどの Cloud サービスへの移行をサポートするために、ベスト プラクティス ガイドを作成しました。これには、設計とアーキテクチャに関する考慮事項や、オンプレミス ファイアウォールと Cloud ファイアウォールのルールを並べて比較したものが含まれています。このガイドについて詳しくは、こちらをご覧ください。