外向きトラフィックを保護するための Secure Web Proxy のご紹介
Google Cloud Japan Team
※この投稿は米国時間 2023 年 6 月 14 日に、Google Cloud blog に投稿されたものの抄訳です。
Google Cloud は、お客様が新たな脅威の一歩先を行き、クラウド ワークロードを安全に保てるよう何層ものセキュリティを提供しています。本日、年に一度の Security Summit で、Secure Web Proxy の一般提供開始を発表いたします。これは、下り(外向き)ウェブ トラフィックの検査、保護、制御のための新しいクラウド ファースト ネットワーク セキュリティ サービスです。Secure Web Proxy(Cloud SWP)は、ネットワーキング チームとセキュリティ チームが、ゼロトラスト ネットワーキング原則を実装し、悪意のあるアクティビティを検出して、フォレンジック調査をサポートするのに役立ちます。
Secure Web Proxy の仕組み
サービスを利用するには、Secure Web Proxy をゲートウェイとして使用するようにワークロードを構成します。ウェブ リクエストの発信元としては、仮想マシン(VM)インスタンス、コンテナ、サーバーレス環境、および Cloud VPN または Cloud Interconnect によって接続されている Google Cloud 外部のワークロードが考えられます。Cloud SWP のポリシーとルールは、こういったワークロードからインターネットに送信されるトラフィックに適用されます。
Cloud SWP を使用することで組織は、送信元、ID、送信先、リクエストの種類に基づいて外向きウェブ トラフィックを制限してきめ細かいアクセス ポリシーを適用できます。Cloud SWP では、サービス アカウントとセキュアタグを使用して、Google Cloud Identity and Access Management(IAM)コンテキストでポリシーを作成し、外向きトラフィックをブロックできます。たとえば、サービス アカウントが特定の送信先にのみトラフィックを送信するよう制限するポリシーを設定することが可能です。
Secure Web Proxy を介してスケーラブルな TLS インスペクション サービスを利用できるので、TLS トラフィックのインターセプト、暗号化されたリクエストの検査、ポリシーの適用を行えるようになります。また、Cloud Logging との連携により、このプロキシで処理されるリクエストの指標とトランザクション ログが記録されます。
Secure Web Proxy の一般的なユースケース
多くの組織が Cloud SWP のようなプロキシを導入し、プログラムによって、ワークロードのアクセス対象を信頼のおける外部ウェブサービスのみに制限しています。
Cloud SWP は、送信アクセスのモニタリングにも使用できます。このプロキシでは、ポリシーに準拠していないトラフィックが特定されて、Cloud Logging に記録されます。これにより、インターネット使用状況をモニタリングして、コマンド&コントロール トラフィックや異常なデータ転送を特定し、ネットワーク上の脅威を検出、阻止できるようになります。ログをフォレンジックで使用して、外向きウェブ トラフィックに関連したセキュリティ イベントやインシデントを調査することもできます。
運用上のメリット
Google Cloud は、お客様の業務効率化に役立つ組み込みのクラウド ファースト セキュリティ機能を提供する取り組みを続けており、Secure Web Proxy はその新たな一例です。
Cloud SWP はマネージド サービスであるため、デプロイと管理が簡単です。頻繁にデプロイされるプロキシ ソリューションとは異なり、Cloud SWP ではプロキシを実行およびスケールするために仮想マシン(VM)を構成する必要がありません。セキュリティ パッチは自動的に処理されます。ビジネスの成長や送信トラフィックの増加に合わせて、Cloud SWP がプロキシ インフラストラクチャのスケーリングを自動的に行います。
また、Secure Web Proxy によって、よりシームレスなクラウド移行が実現します。オンプレミスのプロキシを使用している場合、アプリの移行時に既存のプロキシのポリシーを Cloud SWP に簡単に移植でき、それまでと同じ外向きトラフィック保護機能をクラウドでも維持できます。
お客様の声
プレビュー版のお客様に、Cloud SWP を実装することの運用上とセキュリティ上の価値を検証していただきました。
「Google の Secure Web Proxy は優れたツールで、あらゆる規模のビジネスがクラウド ワークロードをオンラインの脅威から保護するために活用できます。当社では、きめ細かいポリシー コントロールと TLS インスペクションを使用することで、クラウド アプリケーションが外部の承認されている宛先にのみアクセスするようにしています。データ セキュリティ関連の規制遵守にも役立っています。」ATB Financial、クラウド アーキテクチャおよびアプリケーション セキュリティ担当ディレクター David Saleh 氏
「Secure Web Proxy は、Google Cloud でのセキュリティを強化するうえで役立っています。アプリケーションからの HTTP と HTTPS の送信トラフィックをフィルタできるようになりました。また、現在使用している VM ベースのソリューションの代わりにネイティブ ソリューションを使用することで、費用を削減できるだけでなく、プロダクトをクラウド ネイティブ サービスに置き換えるという当社の戦略を継続して進めていくことができます。」Carrefour、クラウド アナリスト Roberto Vega 氏
Secure Web Proxy のスタートガイド
Cloud SWP をご利用になるには、まずは Google Cloud のドキュメント ページで、Cloud SWP の前提条件と構成オプションの詳細をご確認ください。お使いのクラウド環境に対して Cloud SWP をすぐに評価したい場合は、SWP 評価ガイドで詳しい手順をご確認いただけます。今年の Google Cloud Security Summit のセッションもご覧いただけますと幸いです。
- Google Cloud プロダクト マネージャー Naveen Prabhu
- Google Cloud セキュリティ担当プロダクト マーケティング リード Anil Nandigam
