Cloud Next Generation Firewall の URL フィルタリング サービスを使用すると、ウェブサイトとウェブページの URL をブロックまたは許可することで、ウェブサイトとウェブページへのアクセスを制御できます。また、下り(外向き)の HTTP(S) メッセージに含まれているドメイン名と Server Name Indication(SNI)の情報を使用して、ワークロード トラフィックをフィルタリングできます。
URL フィルタリング サービスは HTTP メッセージ ヘッダーを検査するため、このサービスを使用して、ブロックしたくない信頼できるサイトが宛先サーバーでホストされている場合や、DNS ベースのアクセス制限が有効でない場合でも、特定のドメインへのアクセスをブロックできます。URL フィルタリング サービスを侵入検知および防止サービスとともに使用すると、悪意のある URL へのトラフィックを拒否し、悪意のあるコマンド&コントロール(C2)サーバーへのアクセスを防ぎ、実行可能ファイル内のマルウェアを検出できます。
Cloud NGFW URL フィルタリング サービスは、 Google Cloudのパケット インターセプト テクノロジーを使用して、構成されたドメイン名と SNI のリストと照合するためにトラフィックをリダイレクトして検査する Google 管理のゾーン ファイアウォール エンドポイントを作成します。
パケット インターセプトは、既存のルーティング ポリシーを変更することなく、選択したネットワーク トラフィックのパスにネットワーク アプライアンスを透過的に挿入する機能です。 Google Cloud
URL フィルタリング サービスを使用するメリット
URL フィルタリング サービスを使用すると、IP アドレスの頻繁な変更、DNS の変更、時間のかかる IP アドレスベースのファイアウォールの変更によって発生するメンテナンスの必要性を軽減できます。このサービスを使用すると、アクセスできるリモート URL を正確に制御できます。これにより、複数のサービスとドメインをホストできる IP アドレスよりもきめ細かい制御が可能になります。
TLS インスペクション
URL フィルタリング サービスは、暗号化されたトラフィックと暗号化されていないトラフィックの両方を処理できます。暗号化されたトラフィックの場合、TLS インスペクションを構成して、URL フィルタリング サービスがメッセージ ヘッダーを復号し、メッセージのホスト ヘッダーのドメイン名を検査できるようにします。
URL フィルタリング サービスは、ドメインの詳細と TLS ネゴシエーション中に送信されたプレーンテキストの SNI を使用して、関連付けられたセキュリティ プロファイルで定義された構成済み URL と照合します。
TLS インスペクションがなくても、URL フィルタリング サービスは暗号化された HTTP(S) トラフィックを処理できますが、URL フィルタリング サービスは、URL の照合に TLS ネゴシエーション中の clientHello からの SNI のみに依存します。暗号化されていない HTTP トラフィックの場合、TLS インスペクションを有効にしているかどうかに関係なく、URL フィルタリング サービスは URL フィルタリングに HTTP ホスト ヘッダーを使用します。
Cloud NGFW は、選択された暗号化トラフィックのホスト ヘッダーにあるドメイン情報にアクセスするために、TLS のインターセプトと復号のみをサポートします。
URL フィルタリング サービスは、インターネットとの間のトラフィックや Google Cloud内のトラフィックなど、インバウンド接続とアウトバウンド接続の両方を検査します。
Cloud NGFW での TLS インスペクションの詳細については、TLS インスペクションの概要をご覧ください。
Cloud NGFW で TLS インスペクションを有効にする方法については、TLS インスペクションを設定するをご覧ください。
URL フィルタリング サービスのデプロイモデル
次の図は、リージョンの 2 つの異なるゾーンの Virtual Private Cloud(VPC)ネットワーク用に構成されたファイアウォール エンドポイントを使用した URL フィルタリング サービスのデプロイ例を示しています。
URL フィルタリング サービスのコンポーネント
URL フィルタリング サービスには、構成する必要がある 3 つの主要なエンティティが必要です。URL フィルタリング セキュリティ プロファイルとその関連付けられたセキュリティ プロファイル グループ、トラフィックを受信するファイアウォール エンドポイント、エンドポイントにアタッチされたファイアウォール ポリシー。
セキュリティ プロファイルとセキュリティ プロファイル グループ
Cloud NGFW は、セキュリティ プロファイルとセキュリティ プロファイル グループを使用して URL フィルタリング サービスを実装します。
URL フィルタリング セキュリティ プロファイルは、マッチャー文字列を含む URL フィルタを含む
url-filteringタイプの汎用ポリシー構造です。URL フィルタリング サービスは、これらの文字列を使用して HTTP(S)メッセージのドメイン名と SNI を照合します。各 URL フィルタには、マッチャー文字列のリスト、一意の優先度、アクションが含まれます。URL フィルタリング セキュリティ プロファイルの詳細については、URL フィルタリング セキュリティ プロファイルをご覧ください。
セキュリティ プロファイル グループは、セキュリティ プロファイルのコンテナとして機能します。各グループには、異なるタイプのセキュリティ プロファイルが 1 つ以上含まれています。たとえば、セキュリティ プロファイル グループには、
url-filteringタイプとthreat-preventionタイプのセキュリティ プロファイルを含めることができます。ファイアウォール ポリシールールは、セキュリティ プロファイル グループを参照して、ネットワーク トラフィックの URL フィルタリング サービス、侵入検出サービス、侵入防止サービスのいずれかまたは両方を有効にします。セキュリティ プロファイル グループの詳細については、セキュリティ プロファイル グループの概要をご覧ください。
ファイアウォール エンドポイント
ファイアウォール エンドポイントは、ゾーンレベルで作成される組織リソースで、デプロイされている同じゾーン内のレイヤ 7 トラフィックを検査できます。エンドポイントは、同じゾーン内の 1 つ以上の VPC に関連付けられています。ターゲット仮想マシン(VM)インスタンスのトラフィックをフィルタリングするには、ターゲット VM が配置されている VPC と同じゾーンにファイアウォール エンドポイントを作成します。
URL フィルタリング サービスの場合、ファイアウォール エンドポイントは、メッセージのホスト ヘッダーのドメイン、または TLS インスペクションなしで暗号化されたトラフィックの TLS ネゴシエーション中に取得された SNI を、URL フィルタリング セキュリティ プロファイルの URL フィルタと照合します。エンドポイントで一致が検出されると、接続に対して URL フィルタに関連付けられたアクションが実行されます。このアクションは、デフォルトのアクションまたは URL フィルタリング セキュリティ プロファイルで構成されたアクションになります。
ファイアウォール エンドポイントとその構成方法については、ファイアウォール エンドポイントの概要をご覧ください。
ファイアウォール ポリシー
ファイアウォール ポリシーは、VM のすべての上り(内向き)トラフィックと下り(外向き)トラフィックに直接適用されます。階層型ファイアウォール ポリシーとグローバル ネットワーク ファイアウォール ポリシーを使用して、レイヤ 7 検査を含むファイアウォール ポリシールールを構成できます。
ファイアウォール ポリシールール
ファイアウォール ポリシールールを使用すると、インターセプトして検査するトラフィックの種類を制御できます。URL フィルタリング サービスを構成するには、次のことを行うファイアウォール ポリシー ルールを作成します。
- 複数のレイヤ 3 およびレイヤ 4 のファイアウォール ポリシールール コンポーネントを使用して、検査するトラフィックの種類を特定します。
- 一致したトラフィックに対する
apply_security_profile_groupアクションのセキュリティ プロファイル グループ名を指定します。
URL フィルタリング サービスの完全なワークフローについては、URL フィルタリング サービスを構成するをご覧ください。
ファイアウォール ルールでセキュアタグを使用して、URL フィルタリング サービスを構成することもできます。ネットワーク内でタグを使用して設定した任意のセグメンテーションで使用し、トラフィック検査ロジックを強化して、URL フィルタリング サービスを含めることができます。
URL フィルタリング サービスの仕組み
URL フィルタリング サービスは、HTTP(S) トラフィックを次の順序で処理します。
URL フィルタリング サービスは、ネットワーク内の VM インスタンスまたは Google Kubernetes Engine(GKE)クラスタとの間で送受信されるトラフィックにファイアウォール ポリシー ルールを適用します。
URL フィルタリング サービスは、一致したトラフィックをインターセプトして、レイヤ 7 検査のためにファイアウォール エンドポイントに送信します。
TLS インスペクションが有効になっている暗号化されたトラフィックの場合、URL フィルタリング サービスはメッセージ ヘッダーを復号し、ホスト ヘッダーで指定されたドメインと TLS ネゴシエーション中に送信された SNI を使用して、構成された URL との一致を確認します。
トラフィックが暗号化されていても TLS インスペクションが有効になっていない場合、メッセージ ヘッダーは暗号化されたままになります。代わりに、URL フィルタリング サービスは、TLS ネゴシエーション中に SNI で指定されたドメインを使用します。
暗号化されていないトラフィックの場合、URL フィルタリング サービスは常にホスト ヘッダーで指定されたドメインを使用して一致を確認します。
URL 情報が一致すると、URL フィルタリング サービスは、その接続に対してセキュリティ プロファイルで構成されたアクションを実行します。
URL フィルタリング サービスが下り(外向き)トラフィックを許可すると、侵入検知および防止サービス(有効になっている場合)がトラフィックをスキャンして脅威を検出します。
制限事項
URL フィルタリングは
http/1.xとhttp/2のみをサポートしています。TLS インスペクションが有効になっている場合、QUIC、暗号化された SNI(ESNI)、Encrypted Client Hello(ECH)はサポートされません。TLS インスペクションを有効にすると、Cloud NGFW は QUIC、ESNI、ECH トラフィックを渡しません。ただし、TLS 検査を無効にすると、Cloud NGFW はドメインと SNI 情報にアクセスせずに、このようなトラフィックを渡します。このシナリオでは、Cloud NGFW は、明示的な許可 URL フィルタが使用可能な場合にのみ、QUIC、ESNI、ECH トラフィックを許可します。明示的な許可フィルタがない場合、デフォルトの暗黙的な拒否 URL フィルタによって QUIC、ESNI、ECH トラフィックがブロックされます。明示的な許可と暗黙的な拒否の URL フィルタについて詳しくは、暗黙的な拒否の URL フィルタをご覧ください。