Cloud Next Generation Firewall は、高度な保護機能、マイクロセグメンテーション、内部および外部の攻撃から Google Cloud ワークロードを広範囲に保護する機能を備えた、完全分散型のファイアウォール サービスです。
Cloud NGFW には次の利点があります。
分散ファイアウォール サービス: Cloud NGFW では、各ワークロードに完全に分散されたステートフルなホストベースの適用が可能で、ゼロトラスト セキュリティ アーキテクチャを実現できます。
構成とデプロイの簡素化: Cloud NGFW は、リソース階層ノードに接続できるネットワークと階層型ファイアウォール ポリシーを実装します。これらのポリシーにより、Google Cloud リソース階層全体で一貫性のあるファイアウォール エクスペリエンスが提供されます。
きめ細かい制御とマイクロセグメンテーション: ファイアウォール ポリシーと Identity and Access Management(IAM)によって管理されるタグを組み合わせて、Virtual Private Cloud(VPC)ネットワークと組織全体で、North-South トラフィックと East-West トラフィックの両方を 1 つの VM に至るまできめ細かく制御できます。
Cloud NGFW は次の階層で使用できます。
- Cloud Next Generation Firewall Essentials
- Cloud Next Generation Firewall Standard
- Cloud Next Generation Firewall Enterprise
Cloud NGFW には、これらの階層の上に追加できる追加機能も用意されています。ファイアウォール階層の料金と追加機能の詳細については、Cloud NGFW の料金をご覧ください。
Cloud NGFW Essentials
Cloud NGFW Essentials は、Google Cloud が提供する基本的なファイアウォール サービスです。主な特長と機能は次のとおりです。
グローバル ネットワーク ファイアウォール ポリシーとリージョン ネットワーク ファイアウォール ポリシーによって、ファイアウォール ルールを、すべてのリージョンまたは特定のリージョンに適用される 1 つのポリシー オブジェクトにグループ化できます。
IAM によって管理されるタグとネットワーク ファイアウォール ポリシーを組み合わせることで、Google Cloud リソースのマイクロセグメンテーションときめ細かい制御を実現できます。タグは、一意の ID と厳格な IAM 制御によって一元管理されます。これらのタグをネットワーク ファイアウォール ポリシー ルール内で参照することで、リージョンとネットワーク全体でより緊密かつ均一なアクセス制御を行うことができます。
アドレス グループは、複数の IP アドレスと IP 範囲を 1 つの名前付き論理単位に結合します。上り(内向き)と下り(外向き)の制御について、複数のファイアウォール ルールで同じアドレス グループを参照できます。
ネットワーク タグとサービス アカウントを使用する VPC ファイアウォール ルールは、ネットワーク レベルで受信トラフィックと送信トラフィックをフィルタします。
Cloud NGFW Standard
Cloud NGFW Standard は、Cloud NGFW Essentials の機能を拡張し、悪意のある攻撃からクラウド インフラストラクチャを保護する高度な機能を提供します。
App Engine スタンダード環境には次の機能が含まれます。
ファイアウォール ポリシールールの完全修飾ドメイン名(FQDN)オブジェクトは、特定のドメインとの間で送受信されるトラフィックをフィルタリングします。ドメイン名に関連付けられた IP アドレスは、トラフィックの方向に基づいてトラフィックの送信元または宛先と照合されます。
ファイアウォール ポリシー ルールで位置情報オブジェクトを使用すると、特定の地理的位置またはリージョンに基づいて外部の IPv4 および IPv6 のトラフィックをフィルタできます。
- ファイアウォール ポリシールールの脅威インテリジェンスを使用すると、脅威インテリジェンスのデータリストに基づいてトラフィックを許可またはブロックすることで、ネットワークを保護できます。
Cloud NGFW Enterprise
Cloud Next Generation Firewall Enterprise は、脅威や悪意のある攻撃から Google Cloud ワークロードを保護する高度なレイヤ 7 セキュリティ機能を提供します。
Cloud Next Generation Firewall Enterprise には、Transport Layer Security(TLS)のインターセプトと復号を行うシグネチャベースの侵入検知と防止サービスが含まれています。このサービスは、ネットワーク上でマルウェア、スパイウェア、コマンド アンド コントロール攻撃などの脅威を検知し、攻撃を未然に防止します。
その他の機能
Cloud NGFW は、Cloud NGFW Essentials、Cloud NGFW Standard、Cloud NGFW Enterprise の各階層で利用可能な機能に加えて、次の機能を備えています。
階層型ファイアウォール ポリシールールは、組織全体で一貫したファイアウォール ポリシーを作成して適用します。階層型ファイアウォール ポリシーは、組織全体または個々のフォルダに割り当てることができます。
ファイアウォール ルールロギングを使用すると、ファイアウォール ルールが意図したとおりに使用されているかどうかを確認できます。