コンテンツに移動
Cloud
ブログ
お問い合わせ 無料で開始
Cloud
ブログ
お問い合わせ 無料で開始
セキュリティ & アイデンティティ

Google Cloud ファイアウォールに追加された新しいポリシーとインサイト

2020年6月17日
https://storage.googleapis.com/gweb-cloudblog-publish/images/Google_Security-identity-03.max-2600x2600.jpg
Google Cloud Japan Team

※この投稿は米国時間 2020 年 6 月 11 日に、Google Cloud blog に投稿されたものの抄訳です。

ファイアウォールは IT セキュリティ プランのほとんどに欠かすことのできない要素です。Google Cloud では、ネイティブで完全分散型のファイアウォール技術を利用して、企業のすべてのワークロードに対して最高のパフォーマンスとスケーラビリティをご提供したいと考えています。

また、制御性と柔軟性が上がれば上がるほど、セキュリティ強化につながることもわかっています。そのことを念頭に、柔軟性や制御性、可視性の改善とさらなる最適化につながる、ファイアウォール機能をいくつか新たに追加いたしました。

階層型ファイアウォール ポリシー

現在ベータ版でご提供中の Google Cloud の階層型ファイアウォール ポリシーは柔軟性を改善する新しい制御機能です。プロジェクト内のより細やかな制御をプロジェクト オーナーに安心して任せられるだけでなく、組織レベルやフォルダレベルで一元管理ができるようになりました。

Virtual Private Cloud(VPC)ファイアウォール ルールは特定の Google Cloud プロジェクト内のネットワーク レベルで作成されます。階層型ファイアウォール ポリシーを使用すれば、組織内の組織レベルやフォルダレベルで上り(内向き)ルールと下り(外向き)ルールを作成することが可能になります。これにより、セキュリティ管理者は多数のプロジェクトに対して一貫したファイアウォール ルールを定義してデプロイできます。また階層型ファイアウォール ポリシーでのターゲット サービス アカウントのサポートにより、セキュリティ管理者は個々のプロジェクト内でそれぞれファイアウォール ルールを定義しなくても、組織全体の選択したインスタンス グループに的を絞って特定のファイアウォール ルールを適用することができます。

各関連プロジェクトの既存 VM や新規 VM には組織レベルやフォルダレベルのルールが自動的に適用されます。つまり、階層型ファイアウォール ポリシーは VPC ファイアウォール ルールによりオーバーライドされることはありません。組織内のすべての VM に出入りするトラフィックに対し、特定の IP 範囲のトラフィックをブロックする、管理者の特定の IP 範囲への接続を許可する、セキュリティ プローバーからのトラフィックであればすべての VM に到達できるといった、最も重要なルールによる保護が適用されることを保証できるのです。

詳しくはドキュメントをご覧ください。

ファイアウォールのインサイト

 ファイアウォールのインサイトは、ファイアウォールの可視化と最適化を行い、構成を安全かつ管理しやすい状態に保つのに役立つ新しいツールです。こちらもベータ版でご提供中です。

ファイアウォールのインサイトは、複数の検出機能によりファイアウォール構成を安全に最適化します。そのうちの 1 つ、シャドウルール検出機能は、優先順位の高い競合するルールを解決することで、誤ってシャドウされたファイアウォール ルールを特定します。言い換えると、重複していることが原因でファイアウォール ルールの評価中にリーチできない優先順位の高いルールを自動的に検出できるということです。さらに以下も検出できます。

  • 不要な許可ルール、オープンポート、IP 範囲。これらを検出し、削除してセキュリティ境界を厳しくします。
  • ファイアウォール ルールの急激なヒット数増加と、トラフィックの送信元へのドリルダウン。これらを検出し、新しい攻撃を捕らえます。
  • 冗長なファイアウォール ルール。これらを検出してクリーンアップし、ファイアウォール ルールの合計数を削減します。
  • 未承認の IP 範囲やポートにアクセスを試みる疑わしい送信元からの拒否されたトラフィック。

指標レポートではファイアウォールの使用状況を追跡でき、VPC ネットワークでファイアウォール ルールがどのように使用されているかを分析するのに役立ちます。これにより、セキュリティ管理者は、ファイアウォール ルールが意図したとおりに使用されていること、適切に接続を許可またはブロックしていることを確認し、ファイアウォール ルールが原因で誤ってドロップされた接続をリアルタイムでデバッグできます。すべてのファイアウォール指標は自動的に Stackdriver にエクスポートされます。そのため、カスタム アラートの定義やカスタム ダッシュボードの作成が簡単です。これらを使えば、興味深い条件を継続的にキャプチャでき、堅牢なファイアウォール ルールセットの維持にも役立ちます。  

ファイアウォールのインサイトは Network Intelligence Center でご利用いただけます。API 統合を使用すると、任意のツールとインサイトを統合できます。詳細については動画をご覧ください。

Google は Google Cloud ワークロードの保護に尽力しています。今後も引き続き、柔軟で管理しやすく、さらに安全性を高めるファイアウォールにする機能を開発してまいります。詳細については、Google Cloud ファイアウォールのウェブページをご覧ください。

- By プロダクト マネージャー Tracy Jiang

投稿先
関連記事
https://storage.googleapis.com/gweb-cloudblog-publish/images/Next24_Blog_blank_2-08.max-700x700.jpg
Security & Identity

Confidential Computing ポートフォリオの拡張にともない導入された AI ワークロードの機密アクセラレータ

執筆者: Google Cloud Japan Team • 所要時間: 9 分

https://storage.googleapis.com/gweb-cloudblog-publish/images/Next24_Blog_blank_2-07.max-700x700.jpg
Networking

Cloud Next Generation Firewall Enterprise の一般提供開始のお知らせ

執筆者: Google Cloud Japan Team • 所要時間: 7 分

https://storage.googleapis.com/gweb-cloudblog-publish/images/Hero_Blog_Image_AI_and_Certs_Launch.max-700x700.jpg
Training and Certifications

Google Cloud は AI、サイバーセキュリティ、データ分析の新たなトレーニングを提供し就業機会を拡大

執筆者: Google Cloud Japan Team • 所要時間: 9 分

https://storage.googleapis.com/gweb-cloudblog-publish/images/Next24_Blog_blank_2-01.max-700x700.jpg
Security & Identity

Isolator のご紹介: 医療データを使用した安全なマルチパーティ コラボレーションの実現

執筆者: Google Cloud Japan Team • 所要時間: 7 分