Cloud Next Generation Firewall 侵入防止サービスは、Google Cloud ワークロード トラフィックに悪意のあるアクティビティがないか継続的にモニタリングし、プリエンプティブにアクションを実行して防止します。悪意のあるアクティビティには、ネットワークに対する侵入、マルウェア、スパイウェア、コマンド アンド コントロール攻撃などの脅威があります。
Cloud NGFW 侵入防止サービスは、パケット インターセプト テクノロジーを使用して、構成された脅威シグネチャを使用してワークロードを透過的に検査し、脅威から保護する Google 管理のゾーン ファイアウォール エンドポイントを作成します。これらの脅威防止機能は、Palo Alto Networks の脅威防止テクノロジーを利用しています。
侵入防止サービスは、Cloud Next Generation Firewall Enterprise の機能の一部として提供されます。詳細については、Cloud NGFW Enterprise と Cloud NGFW の料金をご覧ください。
このドキュメントでは、さまざまな Cloud NGFW 侵入防止サービス コンポーネントの概要と、これらのコンポーネントが Virtual Private Cloud(VPC)ネットワーク内の Google Cloud ワークロードに高度な保護機能を提供する仕組みについて説明します。
侵入防止サービスの仕組み
侵入防止サービスは、トラフィックを次の順序で処理します。
ファイアウォール ポリシー ルールは、ネットワーク内の仮想マシン(VM)インスタンスまたは Google Kubernetes Engine(GKE)クラスタとの間で送受信されるトラフィックに適用されます。
一致したトラフィックがインターセプトされ、レイヤ 7 検査のためにパケットがファイアウォール エンドポイントに送信されます。
ファイアウォール エンドポイントがパケットをスキャンし、構成済みの脅威シグネチャを取得します。
脅威が検出されると、セキュリティ プロファイルで構成されたアクションがそのパケットに対して実行されます。
図 1 は、侵入防止サービスのデプロイモデルを簡略化したものです。
このセクションの残りの部分では、侵入防止サービスの設定に必要なコンポーネントと構成について説明します。
セキュリティ プロファイルとセキュリティ プロファイル グループ
Cloud NGFW は、セキュリティ プロファイルとセキュリティ プロファイル グループを参照して、脅威防止サービスの詳細なパケット検査を実装します。
セキュリティ プロファイルは、特定の脅威防止シナリオをオーバーライドするために侵入防止サービスで使用される汎用のポリシー構造です。侵入防止サービスを構成するには、
threat-preventionタイプのセキュリティ プロファイルを定義します。セキュリティ プロファイルの詳細については、セキュリティ プロファイルの概要をご覧ください。セキュリティ プロファイル グループには、
threat preventionタイプのセキュリティ プロファイルが含まれています。侵入防止サービスを構成するために、ファイアウォール ポリシー ルールはこれらのセキュリティ プロファイル グループを参照して、ネットワーク トラフィックの脅威の検出と防止を有効にします。セキュリティ プロファイル グループの詳細については、セキュリティ プロファイル グループの概要をご覧ください。
ファイアウォール エンドポイント
ファイアウォール エンドポイントは、特定のゾーンに作成され、同じゾーン内のトラフィックを検査できる組織レベルのリソースです。
侵入防止サービスの場合、ファイアウォール エンドポイントは、インターセプトされたトラフィックに脅威がないかスキャンします。脅威が検出されると、そのパケットに対して、該当する脅威に関連するアクションが実行されます。デフォルトのアクションまたは threat-prevention セキュリティ プロファイルのアクション(構成されている場合)が実行されます。
ファイアウォール エンドポイントとその構成方法については、ファイアウォール エンドポイントの概要をご覧ください。
ファイアウォール ポリシー
ファイアウォール ポリシーは、VM との間で送受信されるすべてのトラフィックに直接適用されます。階層型ファイアウォール ポリシーとグローバル ネットワーク ファイアウォール ポリシーを使用して、レイヤ 7 検査を含むファイアウォール ポリシー ルールを構成できます。
ファイアウォール ポリシールール
ファイアウォール ポリシー ルールを使用すると、インターセプトして検査するトラフィックの種類を制御できます。侵入防止サービスを構成するには、次のことを行うファイアウォール ポリシー ルールを作成します。
複数のレイヤ 3 およびレイヤ 4 ファイアウォール ポリシー ルール コンポーネントを使用して、検査するトラフィックの種類を特定します。
一致したトラフィックに対して、
apply_security_profile_groupアクションのセキュリティ プロファイル グループ名を指定します。
侵入防止サービスの完全なワークフローについては、侵入防止サービスを構成するをご覧ください。
ファイアウォール ルールでセキュアタグを使用して、侵入防止サービスを構成することもできます。ネットワーク内でタグを使用して設定した任意のセグメンテーションで使用し、トラフィック検査ロジックを強化して、脅威防止サービスを含めることができます。
暗号化されたトラフィックを検査する
Cloud NGFW は、Transport Layer Security(TLS)のインターセプトと復号をサポートし、選択された暗号化トラフィックの脅威を検査します。TLS を使用すると、インターネットとの間のトラフィックや Google Cloud 内のトラフィックなど、インバウンド接続とアウトバウンド接続の両方を検査できます。
Cloud NGFW での TLS インスペクションの詳細については、TLS インスペクションの概要をご覧ください。
Cloud NGFW で TLS インスペクションを有効にする方法については、TLS インスペクションを設定するをご覧ください。
脅威シグネチャ
Cloud NGFW の脅威の検出と防止の機能は、Palo Alto Networks の脅威防止テクノロジーを利用しています。Cloud NGFW は、ネットワークを保護するために、事前に定義された重大度レベルの脅威シグネチャのデフォルト セットをサポートしています。セキュリティ プロファイルを使用して、これらの脅威シグネチャに関連付けられているデフォルトのアクションをオーバーライドすることもできます。
脅威シグネチャについて詳しくは、脅威シグネチャの概要をご覧ください。
ネットワークで検出された脅威を確認するには、脅威を表示するをご覧ください。
制限事項
すべての脅威を明示的に
allowにオーバーライドできます。ただし、各脅威の重大度は個別にオーバーライドする必要があります。重大度レベルをオーバーライドしても、それより低い重大度に自動的には適用されません。また、重大度のオーバーライドには、ウイルス対策と DNS の脅威は含まれません。個別にオーバーライドする必要があります。Cloud NGFW は、TLS インスペクションで QUIC、HTTP/3、PROXY プロトコル トラフィックをサポートしていません。
Cloud NGFW は、ジャンボ フレームの最大伝送単位(MTU)をサポートしていません。
ファイアウォール エンドポイントは X-Forwarded-For(XFF)ヘッダーを無視します。