Google Cloud でネットワーク セキュリティ ポリシーを構築するためのヒント

※この投稿は米国時間 2023 年 11 月 8 日に、Google Cloud blog に投稿されたものの抄訳です。

ネットワーク セキュリティの視点を変える

データセンターでは、ネットワーク セキュリティ エンジニアは、強力なパスワードの作成とネットワーク デバイスの構成の強化、各エンドポイントのファイアウォール ルールの作成など、個々のデバイスの管理に多くの時間を費やす傾向があります。クラウド ネットワーキングの世界では物理的なものは何もないため、セキュリティの焦点をハードウェア保護からソフトウェア定義ネットワーキングと仮想デバイスの保護に移す必要があります。

これは、ルーター構成の強化や高可用性の構成について心配する必要がないことを意味します。ただし、データセンターからクラウド インフラストラクチャに移行するには、決定的なパラダイム シフトが必要です。

Identity and Access Management の基礎から始める

Identity Access Management（IAM）は、クラウド内のネットワーク サービスへのアクセス制御を管理します。誰かがリソースを構成するためにアクセスする必要がある場合、構成や変更を実行できるように、そのユーザーの ID を IAM ロールに割り当てる必要があります。

IAM を使用すると、クラウド内で何にアクセスする必要があるかに応じて、ユーザーにロールを付与できます。

たとえば、データセンターのネットワーク セキュリティのロールと責任は次のようになります。

データセンターと同様、Google Cloud では各ロールにタスクが定義されています。これは、許可ポリシーと拒否ポリシーを使用して、IAM を通じて適用されます。

• 許可ポリシー = ユーザー + 対象リソース + 実行できること
• 拒否ポリシー = ユーザー + 対象リソース + 実行できないこと

これにより、サービスへのアクセスを提供することで職務を分離できます。Google Cloud を使用すると、組織の進化と成長に合わせてネットワーク アクセスをリファクタリングできます。

たとえば、コンピューティング ネットワーク管理者のロールはこちらで定義されており、これによりネットワーク エンジニアは Google Cloud のネットワーキング機能に対する重要なアクセス権を得ることができます。たとえば、コンピューティング ネットワーク管理者は、ファイアウォールを除くほとんどのネットワーク リソースを作成および変更できます。ファイアウォールの構成と管理には、コンピューティング セキュリティ管理者のみが対応します。これにより、ネットワーク運用チームとセキュリティ チームの間で職務を分離できます。コピーして組織のニーズに合わせて調整できるロールが何千もあります。こちらをご参照ください。

Virtual Private Cloud（VPC）アーキテクチャ

Google Cloud では、共有 VPC とハブ アンド スポークという 2 つのネットワーク アーキテクチャが一般的に使用されています。どちらも一元化されたネットワーク ポリシーを提供しますが、制御される方法は異なります。

カスタム VPC ネットワークを使用して独自のネットワークを作成し、ネットワーク アーキテクチャの構成を完全に制御できるようにすることをおすすめします。デフォルトでは、サブネットは事前に定義されています。運用ネットワークでは、サブネットと外部アクセスを制御する必要があります。VPC はデフォルトで自動モードを使用します。これは便利ですが、運用ネットワークでは現実的ではありません。

共有 VPC アーキテクチャ

Google Cloud 上でネットワークを構築する一つの方法は、共有 VPC アーキテクチャを使用することです。Google Cloud を使用すると、複数のプロジェクトのリソースを共通の VPC ネットワークに接続できます。このアプローチによりリソースは、ネットワークの内部 IP アドレスを使用して、相互に安全かつ効率的に通信できるようになります。これにより、セキュリティ チームが組織全体にセキュリティ ポリシーを適用することもできます。

複数の共有 VPC が必要な場合は、Cloud VPN、VPC ピアリング、または Network Connectivity Center を使用して、複数の共有 VPC 間の接続を作成できます。

ネットワーク設計

どの Google Cloud ネットワーク設計を選択するかは、主に一元管理または分散管理のニーズによって決まります。

組織の設定に応じて、異なるワークロード間の IP アドレス指定、ルーティング、ファイアウォールなどのネットワークを一元管理する必要があるかどうか、またはチームに独自の環境を実行して、その環境の中でネットワーク要素を構築する際により大きな自律性を与える必要があるかどうかを決定する必要があります。

また、組織では、Google Cloud の異なるワークロード間のトラフィックが、次世代ファイアウォール（NGFW）のような一元管理されたネットワーク アプライアンスを通過する必要がある場合があります。この制約は、Virtual Private Cloud（VPC）ネットワークの設計に影響します。

デプロイするワークロードの数と仮想マシン（VM）の数、内部ロードバランサ、ワークロードで使用するその他のリソースによっては、一部の設計が他の設計と比較して組織により適している可能性があります。

1 つのアプローチは、VPC ピアリングを設定することです。VPC ピアリングを使用すると、仮想プライベート クラウドである 2 つの VPC を接続できます。これは、中央のハブ VPC と複数のスポーク VPC で構成されるネットワーク トポロジであるハブ アンド スポーク アーキテクチャで実行できます。ハブ VPC にはロード バランサやデータベースなどの共有リソースが含まれ、スポーク VPC には各部門に固有のリソースが含まれます。VPC ピアリングを使用すると、スポーク VPC をハブ VPC に接続できるため、スポーク VPC 内のリソースがハブ VPC 内の共有リソースにアクセスできるようになります。

Google Cloud ネットワーク セキュリティ サービスでクラウド リソースを保護する

組織向けにネットワークを構成したら、Google Cloud にネットワーク セキュリティ サービスを実装してネットワーク セキュリティを強化できます。ここでは、開始にあたってのおすすめのツールをいくつかご紹介します。

Google は、アプリケーション ロードバランサ（HTTP、HTTPS）とネットワーク ロードバランサを提供しています。ネットワーク ロードバランサには、TLS、TCP、UDP、ESP（IPSec）、ICMP などのサポートが含まれます。これらのロードバランサは堅牢であり、高度な構成が可能です。Google はコンテナ ネイティブのロード バランシングも提供しています。

Google Cloud Armor は、分散型サービス拒否（DDoS）攻撃のほか、クロスサイト スクリプティング（XSS）や SQL インジェクション（SQLi）などのアプリケーション攻撃といったさまざまな脅威から Google Cloud アセットを安全に保つのに役立ちます。

Cloud Firewall を使用すると、グローバル ネットワーク ファイアウォール ポリシーを利用して、すべてのファイアウォール ルールを 1 つのポリシー オブジェクトにグループ化してバッチ更新できます。リージョンまたはグローバル ネットワーク ファイアウォール ポリシーを Virtual Private Cloud（VPC）ネットワークに割り当てたり、グローバル ネットワーク ファイアウォール ポリシーをプロジェクト内の複数のネットワークに関連付けたりできます。リソース階層を通じてポリシーを継承する一元管理の場合、階層型ファイアウォール ポリシーを確認する必要があります。

Cloud Firewall 侵入防止サービスは、Google Cloud ワークロード トラフィックに悪意のあるアクティビティがないかモニタリングし、プリエンプティブにアクションを実行して防止します。プレビュー版が公開された Cloud Firewall Plus は、Google の分散型ファイアウォール サービスに対する高度な脅威保護機能と次世代ファイアウォール（NGFW）機能を追加するものです。悪意のあるアクティビティには、ネットワークに対する侵入、マルウェア、スパイウェア、コマンド アンド コントロール攻撃などの脅威があります。

Network Intelligence Center、BeyondCorp、Cloud Ops など、他のネットワーク セキュリティ オプションもあります。Google Cloud ネットワークを保護する方法について詳しくは、https://cloud.google.com/learn/what-is-cloud-network-security をご覧ください。

詳細を確認する

Google Cloud のネットワーク セキュリティ サービスについて詳しく知りたい方には、Google Cloud Skill Boost にアクセスすることをおすすめしています。次のようなさまざまなネットワーキングおよびネットワーク セキュリティのトピックに関して、ハンズオンラボで学習できます。

• VPC ネットワーキング: Cloud HA-VPN
• Securing your Network with Cloud Armor
• Cloud IDS: Qwik Start
• Build and Secure Networks in Google Cloud

ネットワークとセキュリティをカバーするコースもあります。

• Managing Security in Google Cloud
• Networking in Google Cloud: Defining and Implementing Networks

以上のガイドは、Professional Cloud Network Engineer と Professional Cloud Security Engineer の Google Cloud プロフェッショナル認定資格の準備に役立ちます。さらに詳しく知りたい方は、Google Cloud プロフェッショナル認定資格に関するこちらのサイトをご覧ください。

-インフラストラクチャ モダナイゼーション担当学習ポートフォリオ マネージャー Anne Henmi