コンテンツに移動
Cloud
ブログ
お問い合わせ 無料で開始
Cloud
ブログ
お問い合わせ 無料で開始
セキュリティ & アイデンティティ

Cloud Firewall Standard の新機能

2023年11月1日
Google Cloud Japan Team

※この投稿は米国時間 2023 年 10 月 24 日に、Google Cloud blog に投稿されたものの抄訳です。

Google Cloud Firewall は完全分散型の次世代ステートフル インスペクション ファイアウォールです。Google のソフトウェア定義ネットワーキング ファブリックに組み込まれており、各ワークロードに適用されます。Cloud Firewall を使用すれば、クラウド規模での運用を簡素化しながら、高度なネットワーク脅威対策を実現できます。

このたび、Cloud Firewall の完全修飾ドメイン名(FQDN)機能の一般提供が始まりましたのでお知らせいたします。FQDN は、Cloud Firewall Standard ティアの一部として一般提供されます。これには Google Cloud Threat Intelligence の統合位置情報フィルタリングも含まれます。また、新しい IP レピュテーション リストを使用して Google Cloud Threat Intelligence のサポートを拡張するとともに、IAM によって管理されるタグに対する IPV6 のサポートと GKE ノードプールのサポートを公開プレビュー版としてリリースしました。

Cloud Firewall の機能は、以下の図に示す 3 つのティアで提供されています。Essentials は基本となる機能セットであり、Standard ではルール機能が拡張されます。Plus では高度な脅威対策機能を利用できます。Plus ティアの機能について詳しくは、Cloud Firewall Plus に関するブログ投稿をご覧ください。

https://storage.googleapis.com/gweb-cloudblog-publish/images/Cloud_Firewall_Tiers.max-2000x2000.jpg

図 1: Cloud Firewall の各ティア

ドメイン名を使用してトラフィックを簡単にフィルタリングできる FQDN ベースのオブジェクト

完全修飾ドメイン名(FQDN)ベースのオブジェクトの使用にあたっては、ファイアウォール ルールに使用する FQDN の正確な IP アドレスの把握を Google Cloud が担います。ルール内のこれらのオブジェクトを使用して、IP アドレスではなく FQDN に基づいてトラフィックを許可またはブロックできます。これには次のようなメリットがあります。

  • 信頼性の向上: 基礎となる IP アドレスが変更されても、FQDN は変更されません。これにより、ダウンタイムが削減され、クラウド ワークロードに対するアクセスの信頼性が向上します。
  • 使いやすさ: FQDN は IP アドレスよりも人にとって読みやすく、覚えやすくなっています。この特徴から、ファイアウォール ルールが自己文書化され、より理解しやすいものになり、監査と保守が容易になります。
  • セキュリティの強化: Cloud Firewall は FQDN の名前解決のために Cloud DNS と統合されており、DNS スプーフィング攻撃を困難にすることでアプリケーションのセキュリティを向上させます。

Cloud Firewall の拡張された脅威インテリジェンス リスト

Threat Intelligence for Cloud Firewall は、Google、サードパーティ、オープンソースのデータを組み合わせて活用し、厳選された IP レピュテーション リストを提供することで、悪意のある既知のトラフィックをブロックし、好ましい既知のトラフィックを許可できるようにユーザーを支援します。このリストは、Google Cloud Threat Intelligence の研究者によって管理され、継続的に更新されます。

Threat Intelligence for Cloud Firewall は Cloud Firewall Standard ティアで提供されていますが、このたび、次の新しい IP リストを Cloud Firewall に適用し、対象範囲を拡大することで、お客様のセキュリティ対策の強化と、悪意のあるトラフィックのブロックを支援することになりました。

  • iplist-vpn-providers: 評価の低い VPN プロバイダに属する IP アドレスと一致する IP リスト
  • iplist-anon-proxies: 公開の匿名プロキシに属する IP アドレスと一致する IP リスト
  • iplist-crypto-miners: 暗号通貨マイニング サイトに属する IP アドレスと一致する IP リスト
  • iplist-public-clouds-google-services: Google サービスに属する IP アドレスと一致する IP リスト

ファイアウォール ポリシーにおけるタグのサポートの強化

また、IAM によって管理されるタグに対する IPv6 のサポートと Google Kubernetes Engine(GKE)ノードプールのサポートを発表できることも嬉しく思います。どちらも公開プレビュー版でお試しいただけます。タグのサポートは、Cloud Firewall Essentials ティアで提供されます。

以前であれば、タグは IPv4 ベースのルールでのみ機能していました。タグの IPv6 サポートが加わったことで、IPv6 ベースのルールに適した送信元フィルタと送信先フィルタとしてタグを使用できるようになりました。

さらに、GKE ノードプールがリソース マネージャー タグをサポートするようになったことで、GKE クラスタとノードプールに Cloud Firewall ネットワーク ファイアウォール ポリシーを選択的に適用して、VM インスタンスと GKE クラスタ / ノードプールとの間のトラフィック フローを制御することが可能です。これにより、マイクロセグメンテーションが GKE ノードプール レベルにまで行き渡り、セキュリティ体制が強化されます。

次のステップ

Cloud Firewall は、高度な保護機能を含むスケーラブルなクラウド ファーストのステートフル ファイアウォール サービスです。一般提供で利用可能になった Cloud Firewall Standard の最新のアップデートでは、ファイアウォールの管理を簡素化してクラウド ワークロードの保護を強化する機能が追加されています。

Cloud Firewall について詳しくは、最新の動画かこちらのドキュメントをご覧ください。クラウド環境で Cloud Firewall Standard を活用することで、インターネット トラフィックを安全なものにすることができます。

ー プロダクト マネージャー Faye Feng

投稿先
関連記事
https://storage.googleapis.com/gweb-cloudblog-publish/images/AI_protection_uqosXp6.max-700x700.jpg
Security & Identity

AI Protection の発表: AI 時代のセキュリティ

執筆者: Archana Ramamoorthy • 所要時間: 5 分

https://storage.googleapis.com/gweb-cloudblog-publish/images/17_-_Security__Identity_NrORvDT.max-700x700.jpg
Security & Identity

Google Cloud、2025 年の Forrester Wave で Data Security Platforms のリーダーに選出

執筆者: Archana Ramamoorthy • 所要時間: 2 分

https://storage.googleapis.com/gweb-cloudblog-publish/images/post-quantum_computing_strategy.max-700x700.jpg
Security & Identity

Cloud KMS における耐量子デジタル署名の発表

執筆者: Jennifer Fernick • 所要時間: 4 分

https://storage.googleapis.com/gweb-cloudblog-publish/images/01_-_AI__Machine_Learning_H1ZyZG8.max-700x700.jpg
AI & Machine Learning

コンテンツ フィルタとシステム指示によって Gemini モデルのセキュリティを強化する

執筆者: Salah Ahmed • 所要時間: 4 分