コンテンツに移動
ネットワーキング

セキュリティの合理化: Network Security Integration のご紹介

2025年4月1日
Pradeep Nair

Product Manager

Susan Wu

Outbound Product Manager

※この投稿は米国時間 2025 年 3 月 14 日に、Google Cloud blog に投稿されたものの抄訳です。

 

Google Cloud の多くのお客様は、ネットワークを保護し、複数のクラウドにわたって一貫したポリシーを適用するために、アプライアンスなど、サードパーティの ISV セキュリティ ソリューションに多額の投資をしています。しかし、これらのセキュリティ ソリューションをクラウド アプリケーション環境に統合するには、次のような課題があります。

  • ネットワークの再設計: トラフィック検査のためにサードパーティのアプライアンスを統合する場合、アプリケーション トラフィックをアプライアンス経由でルーティングするために、通常はネットワークを再設計する必要があります。クラウド アプリケーション環境は変更の頻度が高いため、このプロセスはエラーが発生しやすく、運用上のオーバーヘッドやアプリケーションのデプロイ時間を増やしてしまう可能性もあります。

  • 運用コストが高い: 検査のためにトラフィックを選択的にサードパーティのアプライアンスにルーティングすることができないため、オーバープロビジョニングやコスト増加につながります。お客様の多くは、アプリケーションのセキュリティ検査のニーズにかかわらず、すべてのトラフィックを処理するために、より大規模で高価なアプライアンスに投資しています。

  • コンプライアンス要件の対応が困難: アプリケーションのデプロイに関するセキュリティと規制の要件を満たすのは複雑で、多くの場合はカスタムツールの実装を必要とします。

こうした課題に対処するため、このたび Google では、Network Security Integration の提供を開始したことを発表いたします。Network Security Integration を使用すると、サードパーティのネットワーク アプライアンスやサービスのデプロイメントを Google Cloud ワークロードと統合し、ハイブリッド環境やマルチクラウド環境全体で一貫したポリシーを維持できます。ルーティング ポリシーやネットワーク アーキテクチャを変更する必要はありません。また、包括的なワークロード トラフィックの可視化が可能となり、高度なネットワーク セキュリティ、アプリケーション / ネットワーク パフォーマンスのモニタリングを実現できます。Network Security Integration は、Generic Network Virtualization Encapsulation(Geneve)トンネリングを使用して、元のパケットを変更することなく、トラフィックをサードパーティの検査先に安全に送信します。

また、Network Security Integration は、アプリケーションのデプロイを加速し、プロデューサー / コンシューマー モデルとのコンプライアンスを達成するのにも役立ちます。これにより、インフラストラクチャ運用チームは、アプリケーション開発チームにコレクタの Infrastructure as a Service を提供できるようになり、Infrastructure as a Service の動的な利用が可能になります。階層型ファイアウォール ポリシー管理がサポートされているため、遅延なしでコンプライアンスを適用できます。

Network Security Integration には、主に次の 2 つのモードがあります。

  • アウトオブバンド インテグレーション(一般提供中): オフライン分析のために、対象のトラフィックを別の宛先にミラーリングします。

  • インバンド インテグレーション(プレビュー版): インライン検査のために、特定のトラフィックをサードパーティのセキュリティ スタックに送信します。

Network Security Integration のアウトオブバンドでの実行

Network Security Integration をアウトオブバンドで実行する場合、ワークロードを送信元または宛先とするパケットが、宛先コレクタ グループに透過的にミラーリングされます。Geneve により、宛先への安全な送信が保証されます。

https://storage.googleapis.com/gweb-cloudblog-publish/original_images/Network_Security_Integration_Out-band.gif

Network Security Integration のアウトオブバンドでの実行は、次のユースケースに適しています。

  • 高度なネットワーク セキュリティの実装 - 高度なオフライン分析を使用することで、事前定義されたシグネチャ パターンに基づいて既知の攻撃を検出するだけでなく、アノマリベースの検出で未知の攻撃も特定できます。きめ細かいフィルタリング機能により、脆弱なワークロード トラフィックが高度な検査のためにミラーリングされます。

  • アプリケーションの可用性とパフォーマンスの向上 - アプリケーション ログのみに頼るのではなく、ネットワーク上で起こっていることを診断、分析できます。ネットワーク トラフィック分析ツールが、ML と分析を活用してミラーリングされたパケットデータを検査し、ネットワークの通常の動作をベースラインとして、可用性やパフォーマンスの潜在的な問題を示唆する異常を検出します。

  • 規制とコンプライアンスの要件をサポート - 金融などの規制対象の業界では、監査とフォレンジック調査の厳しい要件を満たすために、特定の種類のネットワーク トラフィックをキャプチャして一定期間保持することが求められます。

Network Security Integration のインバンドでの実行

https://storage.googleapis.com/gweb-cloudblog-publish/original_images/Network_Security_Integration_In-band.gif

インバンド インテグレーションでは、ワークロードのトラフィックの出入りをインターセプトしてセキュリティ スタックにリダイレクトし、そこで脅威やセキュリティ ポリシーへの準拠を検査できます。インバンド インターセプションを Bump-in-the-Wire 方式で実装することにより、VPC 間のトラフィックや、同じ VPC 内の異なるアプリケーション コンポーネント間のトラフィックを検査できます。これにより、セキュリティ ドメインをワークロード単位まで縮小して、環境内で真のゼロトラスト セキュリティを展開できます。

Network Security Integration のインバンドでの実行は、次のようなシナリオに適しています。

  • Cloud Next Generation Firewall(NGFW)およびサードパーティのファイアウォールとネイティブに統合 - Network Security Integration により、Google Cloud NGFW とサードパーティのセキュリティ ソリューションのデプロイが簡素化されます。追加のセキュリティ管理が必要なトラフィックに対して、サードパーティのセキュリティ サービスをデプロイすると同時に、Cloud NGFW の分散ファイアウォール機能を使用して検査を最適化できます。

  • ブラウンフィールドのアプリケーション環境に適切なネットワーク セキュリティ ソリューションを挿入 - Network Security Integration のインバンドでの実行は、現在のルーティング構成を変更することなく、サードパーティのセキュリティ アプライアンスを既存のネットワーク インフラストラクチャに直接統合するための優れたソリューションです。インバンドで実装することで、アプリケーション トラフィックにセキュリティと保護の新たなレイヤを追加し、潜在的なネットワーク脅威に対する包括的な安全保護対策ができます。

パートナー様の声

以下に、Google Cloud の Network Security Integration について主要なパートナー様から寄せられた声をご紹介します。

https://storage.googleapis.com/gweb-cloudblog-publish/images/NSI-Partner-Logos_1.max-900x900.png

Palo Alto Networks

「当社と Google Cloud とのパートナーシップは力強い発展を続けていますが、このたびは新たな節目を迎えました。Palo Alto Networks は Google Cloud と提携し、クラウド アプリケーションと AI アプリケーション向けの高度なインライン セキュリティ保護を提供します。この新しいデプロイ オプションにより、お客様のユーザビリティは大幅に向上します。Palo Alto Networks の AI ランタイム セキュリティと VM-Series 仮想ファイアウォールを Network Security Integration と統合することで、お客様はゼロトラスト アーキテクチャに基づくきめ細かいセキュリティ ポリシーを適用し、Google Cloud 環境と AI アプリケーションを直ちに保護できます。」- Palo Alto Networks、プロダクト管理担当シニア ディレクター、Jaimin Patel 氏

Fortinet

「Fortinet は Google Cloud と提携し、Google Cloud のアプリケーションとワークロードに AI を活用した脅威インテリジェンスを提供します。これは、FortiGate 次世代ファイアウォールとネイティブに統合されています。Fortinet と Network Security Integration のインテグレーションにより、お客様は一貫性のあるクラウド セキュリティ ポリシーを実装し、クラウド ネットワークのセキュリティ対応をより迅速かつ確実に行うことができます。」- Fortinet、クラウド セキュリティ担当バイス プレジデント、Vincent Hwang 氏

Check Point

「Google Cloud と提携し、Google のグローバル インフラストラクチャ全体にわたる高度な脅威の防止と安全な接続を提供できることを嬉しく思います。Network Security Integration と Check Point CloudGuard でハイブリッド メッシュを保護することにより、お客様はサイバー脅威に曝されることなく、Google Cloud のすべてのリージョンにわたり管理タスクを自動化し、デプロイを加速できます。」- Check Point Software Technologies、グローバル戦略的パートナーシップ担当バイス プレジデント、Kit Chee 氏

 Corelight

「Google Cloud の Network Security Integration とのインテグレーションにより、お客様はクラウド環境の需要の変動にシームレスに対応できるようになります。このインテグレーションにより、両社の共通のお客様が、クラウドにおける Corelight のネットワーク検知と対応(NDR)の価値を拡大し、包括的なネットワークの可視化と脅威の検出を実現できるようになります。シンプルでポリシー ドリブンな戦略を採用することで、組織のスケーリングの方向性に関係なく Google Cloud のデプロイメントを効果的に保護し、セキュリティと運用効率の両方を最適化できます。」- Corelight、グローバル アライアンスおよびチャネル担当バイス プレジデント、Todd Wingler 氏

Trellix

「Trellix Virtual Intrusion Prevention System(vIPS)は、ネットワーク全体で高度なマルウェアの脅威を検出してブロックする、次世代の侵入検知および防止システム(IDPS)です。高度な検出とエミュレーションの手法を使用して、従来のパターン マッチングを超えて、ステルス攻撃を高い精度で防ぎます。Trellix は Google Cloud と提携して、Trellix vIPS を Network Security Integration と統合しました。Trellix と Google Cloud は、この新しいアーキテクチャにより、お客様のセキュリティの課題をより迅速かつスケーラブルな方法で解決し、共通のお客様のセキュリティ導入を合理化できます。」- Trellix、シニア ソフトウェア アーキテクト、Manish Kumar 氏

cPacket

「cPacket は、Network Security Integration のロールアウトにおいて Google Cloud と提携できることを嬉しく思っています。cPacket の Cloud Suite と組み合わせることで、お客様は Google Cloud が提供する新しいインバンドとアウトオブバンドのソリューションを活用して、複数のツールへの最高水準のパケット レプリケーション機能、常時稼働の強力なパケット キャプチャとネットワーク分析、高度な可視化機能を活用できます。」 -cPacket、シニア クラウド プロダクト マネージャー、Trey Moczygemba 氏

NETSCOUT

「NETSCOUT は、リアルタイムのディープ パケット インスペクション(DPI)を通じて、オブザーバビリティとサイバーセキュリティに関する実用的なインテリジェンスを提供します。NETSCOUT と Network Security Integration を組み合わせることで、お客様は Google Cloud のワークロードや、ハイブリッド クラウド接続またはマルチクラウド接続のアプリケーションをエンドツーエンドかつパケットレベルで可視化して強力な分析情報を得ることができ、パフォーマンスとセキュリティの両方を確保できます。」- セキュリティ プロダクト マーケティング担当シニア ディレクター、Tom Bienkowski 氏

統合されたセキュリティ エコシステム

Google Cloud は、お客様のネットワーク トラフィックとワークロードの可視性を高め、最高水準のセキュリティを提供することに注力しています。Network Security Integration なら、クラウド環境でサードパーティのセキュリティ ソリューションを引き続き使用できるため、ルーティング構成を変更する必要がなく、費用を抑え、インテグレーションを強化し、コンプライアンスを向上させることができます。詳細については、Network Security Integration のドキュメントをご覧ください。Network Security Integration インバンド(プレビュー版)については、Google 担当者にお問い合わせください。また、Cloud Next Generation Firewall(NGFW)もご検討ください。これは、Google Cloud ネイティブの完全分散型ステートフル インスペクション ファイアウォール エンジンで、クラウド規模でネットワークを保護し、ワークロード単位で適用されます。

-プロダクト マネージャー、Pradeep Nair
-アウトバウンド プロダクト マネージャー、Susan Wu

投稿先