ネットワークで侵入防止サービスを有効にするには、複数の Cloud Next Generation Firewall コンポーネントを設定する必要があります。このドキュメントでは、これらのコンポーネントを構成して脅威の検出と防止を有効にする方法について、おおまかなワークフローを示して説明します。
TLS インスペクションのない侵入防止サービスを構成する
ネットワークで侵入防止サービスを構成するには、次の操作を行います。
Threat prevention
タイプのセキュリティ プロファイルを作成します。ネットワークの要件に応じて、脅威や重大度のオーバーライドを設定します。プロファイルは 1 つ以上作成できます。セキュリティ プロファイルの作成方法については、セキュリティ プロファイルを作成するをご覧ください。前の手順で作成したセキュリティ プロファイルで、セキュリティ プロファイル グループを作成します。セキュリティ プロファイル グループの作成方法については、セキュリティ プロファイル グループを作成するをご覧ください。
脅威の防止を有効にするワークロードと同じゾーンにファイアウォール エンドポイントを作成します。ファイアウォール エンドポイントの作成方法については、ファイアウォール エンドポイントを作成するをご覧ください。
脅威の検出と防止を有効にする 1 つ以上の VPC ネットワークにファイアウォール エンドポイントを関連付けます。ワークロードがファイアウォール エンドポイントと同じゾーンで実行されていることを確認してください。ファイアウォール エンドポイントを VPC ネットワークに関連付ける方法については、ファイアウォール エンドポイントの関連付けを作成するをご覧ください。
グローバル ネットワーク ファイアウォール ポリシーまたは階層型ファイアウォール ポリシーを使用して、侵入防止サービスを構成できます。
新規または既存のグローバル ファイアウォール ポリシーで、レイヤ 7 検査が有効になっているファイアウォール ポリシールール(
apply_security_profile_group
アクション)を追加し、前の手順で作成したセキュリティ プロファイル グループの名前を指定します。ファイアウォール ポリシーが、検査を必要とするワークロードと同じ VPC ネットワークに関連付けられていることを確認します。脅威防止を有効にしたファイアウォール ポリシー ルールの作成に必要なパラメータの詳細については、グローバル ネットワーク ファイアウォール ポリシー ルールを作成するをご覧ください。階層型ファイアウォール ポリシーを使用して、セキュリティ プロファイル グループが構成されたファイアウォール ポリシー ルールを追加することもできます。脅威防止を有効にして階層型ファイアウォール ポリシー ルールを作成するために必要なパラメータの詳細については、ファイアウォール ルールを作成するをご覧ください。
TLS インスペクションのある侵入防止サービスを構成する
ネットワークで Transport Layer Security(TLS)インスペクションのある侵入防止サービスを構成するには、次の操作を行います。
Threat prevention
タイプのセキュリティ プロファイルを作成します。ネットワークの要件に応じて、脅威や重大度のオーバーライドを設定します。プロファイルは 1 つ以上作成できます。セキュリティ プロファイルの作成方法については、セキュリティ プロファイルを作成するをご覧ください。前の手順で作成したセキュリティ プロファイルで、セキュリティ プロファイル グループを作成します。セキュリティ プロファイル グループの作成方法については、セキュリティ プロファイル グループを作成するをご覧ください。
CA プールと信頼構成を作成し、TLS インスペクション ポリシーに追加します。Cloud NGFW で TLS インスペクションを有効にする方法については、TLS インスペクションを設定するをご覧ください。
脅威の防止を有効にするワークロードと同じゾーンにファイアウォール エンドポイントを作成します。ファイアウォール エンドポイントの作成方法については、ファイアウォール エンドポイントを作成するをご覧ください。
脅威の検出と防止を有効にする 1 つ以上の VPC ネットワークにファイアウォール エンドポイントを関連付けます。前の手順で作成した TLS インスペクション ポリシーをファイアウォール エンドポイントの関連付けに追加します。ワークロードがファイアウォール エンドポイントと同じゾーンで実行されていることを確認してください。
ファイアウォール エンドポイントを VPC ネットワークに関連付けて TLS インスペクションを有効にする方法については、ファイアウォール エンドポイントの関連付けを作成するをご覧ください。
グローバル ネットワーク ファイアウォール ポリシーまたは階層型ファイアウォール ポリシーを使用して、侵入防止サービスを構成できます。
新規または既存のグローバル ファイアウォール ポリシーで、レイヤ 7 検査が有効になっているファイアウォール ポリシールール(
apply_security_profile_group
アクション)を追加し、前の手順で作成したセキュリティ プロファイル グループの名前を指定します。TLS インスペクションを有効にするには、--tls-inspect
フラグを指定します。ファイアウォール ポリシーが、検査を必要とするワークロードと同じ VPC ネットワークに関連付けられていることを確認します。脅威防止を有効にしたファイアウォール ポリシー ルールの作成に必要なパラメータの詳細については、グローバル ネットワーク ファイアウォール ポリシー ルールを作成するをご覧ください。階層型ファイアウォール ポリシーを使用して、セキュリティ プロファイル グループが構成されたファイアウォール ポリシー ルールを追加することもできます。脅威防止を有効にして階層型ファイアウォール ポリシー ルールを作成するために必要なパラメータの詳細については、ファイアウォール ルールを作成するをご覧ください。
デプロイモデルの例
図 1 は、同じリージョンの 2 つの異なるゾーンで 2 つの VPC ネットワークに侵入防止サービスを構成したデプロイ例を示しています。
この例のデプロイには、次の脅威防止構成が含まれています。
2 つのセキュリティ プロファイル グループ:
セキュリティ プロファイル
Security profile 1
を持つSecurity profile group 1
。セキュリティ プロファイル
Security profile 2
を持つSecurity profile group 2
。
ユーザーの VPC 1(
VPC 1
)には、セキュリティ プロファイル グループがSecurity profile group 1
に設定されたファイアウォール ポリシーがあります。ユーザー VPC 2(
VPC 2
)には、セキュリティ プロファイル グループがSecurity profile group 2
に設定されたファイアウォール ポリシーがあります。ファイアウォール エンドポイント
Firewall endpoint 1
は、ゾーンus-west1-a
のVPC 1
とVPC 2
で実行されているワークロードに対して脅威の検出と防止を行います。ファイアウォール エンドポイント
Firewall endpoint 2
は、ゾーンus-west1-b
のVPC 1
とVPC 2
で実行されているワークロードに対して TLS インスペクションを有効にして、脅威の検出と防止を行います。