コンテンツに移動
Cloud
ブログ
お問い合わせ 無料で開始
Cloud
ブログ
お問い合わせ 無料で開始
セキュリティ & アイデンティティ

Google Cloud ファイアウォールに追加された新しいポリシーとインサイト

2020年6月17日
Google Cloud Japan Team

※この投稿は米国時間 2020 年 6 月 11 日に、Google Cloud blog に投稿されたものの抄訳です。

ファイアウォールは IT セキュリティ プランのほとんどに欠かすことのできない要素です。Google Cloud では、ネイティブで完全分散型のファイアウォール技術を利用して、企業のすべてのワークロードに対して最高のパフォーマンスとスケーラビリティをご提供したいと考えています。

また、制御性と柔軟性が上がれば上がるほど、セキュリティ強化につながることもわかっています。そのことを念頭に、柔軟性や制御性、可視性の改善とさらなる最適化につながる、ファイアウォール機能をいくつか新たに追加いたしました。

階層型ファイアウォール ポリシー

現在ベータ版でご提供中の Google Cloud の階層型ファイアウォール ポリシーは柔軟性を改善する新しい制御機能です。プロジェクト内のより細やかな制御をプロジェクト オーナーに安心して任せられるだけでなく、組織レベルやフォルダレベルで一元管理ができるようになりました。

Virtual Private Cloud(VPC)ファイアウォール ルールは特定の Google Cloud プロジェクト内のネットワーク レベルで作成されます。階層型ファイアウォール ポリシーを使用すれば、組織内の組織レベルやフォルダレベルで上り(内向き)ルールと下り(外向き)ルールを作成することが可能になります。これにより、セキュリティ管理者は多数のプロジェクトに対して一貫したファイアウォール ルールを定義してデプロイできます。また階層型ファイアウォール ポリシーでのターゲット サービス アカウントのサポートにより、セキュリティ管理者は個々のプロジェクト内でそれぞれファイアウォール ルールを定義しなくても、組織全体の選択したインスタンス グループに的を絞って特定のファイアウォール ルールを適用することができます。

各関連プロジェクトの既存 VM や新規 VM には組織レベルやフォルダレベルのルールが自動的に適用されます。つまり、階層型ファイアウォール ポリシーは VPC ファイアウォール ルールによりオーバーライドされることはありません。組織内のすべての VM に出入りするトラフィックに対し、特定の IP 範囲のトラフィックをブロックする、管理者の特定の IP 範囲への接続を許可する、セキュリティ プローバーからのトラフィックであればすべての VM に到達できるといった、最も重要なルールによる保護が適用されることを保証できるのです。

詳しくはドキュメントをご覧ください。

ファイアウォールのインサイト

 ファイアウォールのインサイトは、ファイアウォールの可視化と最適化を行い、構成を安全かつ管理しやすい状態に保つのに役立つ新しいツールです。こちらもベータ版でご提供中です。

ファイアウォールのインサイトは、複数の検出機能によりファイアウォール構成を安全に最適化します。そのうちの 1 つ、シャドウルール検出機能は、優先順位の高い競合するルールを解決することで、誤ってシャドウされたファイアウォール ルールを特定します。言い換えると、重複していることが原因でファイアウォール ルールの評価中にリーチできない優先順位の高いルールを自動的に検出できるということです。さらに以下も検出できます。

  • 不要な許可ルール、オープンポート、IP 範囲。これらを検出し、削除してセキュリティ境界を厳しくします。
  • ファイアウォール ルールの急激なヒット数増加と、トラフィックの送信元へのドリルダウン。これらを検出し、新しい攻撃を捕らえます。
  • 冗長なファイアウォール ルール。これらを検出してクリーンアップし、ファイアウォール ルールの合計数を削減します。
  • 未承認の IP 範囲やポートにアクセスを試みる疑わしい送信元からの拒否されたトラフィック。

指標レポートではファイアウォールの使用状況を追跡でき、VPC ネットワークでファイアウォール ルールがどのように使用されているかを分析するのに役立ちます。これにより、セキュリティ管理者は、ファイアウォール ルールが意図したとおりに使用されていること、適切に接続を許可またはブロックしていることを確認し、ファイアウォール ルールが原因で誤ってドロップされた接続をリアルタイムでデバッグできます。すべてのファイアウォール指標は自動的に Stackdriver にエクスポートされます。そのため、カスタム アラートの定義やカスタム ダッシュボードの作成が簡単です。これらを使えば、興味深い条件を継続的にキャプチャでき、堅牢なファイアウォール ルールセットの維持にも役立ちます。  

ファイアウォールのインサイトは Network Intelligence Center でご利用いただけます。API 統合を使用すると、任意のツールとインサイトを統合できます。詳細については動画をご覧ください。

Google は Google Cloud ワークロードの保護に尽力しています。今後も引き続き、柔軟で管理しやすく、さらに安全性を高めるファイアウォールにする機能を開発してまいります。詳細については、Google Cloud ファイアウォールのウェブページをご覧ください。

- By プロダクト マネージャー Tracy Jiang

投稿先
関連記事
https://storage.googleapis.com/gweb-cloudblog-publish/images/17_-_Security__Identity_NrORvDT.max-700x700.jpg
Security & Identity

Google Cloud と Swift、支払いに関する不正行為に対する対策として高度 AI / フェデレーション ラーニング技術を先駆けて開発

執筆者: Vineet Dave • 所要時間: 9 分

https://storage.googleapis.com/gweb-cloudblog-publish/images/hero_image_melcari_horizontal.max-700x700.jpg
Customers

メルカリ: Mandiant のサイバー防御ソリューションを活用し、安心・安全なサービス基盤をさらに強化

執筆者: Google Cloud Japan Team • 所要時間: 3 分

https://storage.googleapis.com/gweb-cloudblog-publish/images/17_-_Security__Identity_NrORvDT.max-700x700.jpg
Security & Identity

Defender’s Advantage - 防御側の優位性 :効果的なサイバー防御のためのアプローチと考え方

執筆者: Mandiant • 所要時間: 3 分

https://storage.googleapis.com/gweb-cloudblog-publish/images/security_AkwXJZn.max-700x700.png
Public Sector

AI のセキュリティを確保: 国家安全保障のミッションを推進

執筆者: Ron Bushar • 所要時間: 2 分