侵入防止サービスを構成する

ネットワークで侵入防止サービスを有効にするには、複数の Cloud Next Generation Firewall コンポーネントを設定する必要があります。このドキュメントでは、これらのコンポーネントを構成して脅威の検出と防止を有効にする方法について、おおまかなワークフローを示して説明します。

TLS インスペクションのない侵入防止サービスを構成する

ネットワークで侵入防止サービスを構成するには、次の操作を行います。

  1. Threat prevention タイプのセキュリティ プロファイルを作成します。ネットワークの要件に応じて、脅威や重大度のオーバーライドを設定します。プロファイルは 1 つ以上作成できます。セキュリティ プロファイルの作成方法については、セキュリティ プロファイルを作成するをご覧ください。

  2. 前の手順で作成したセキュリティ プロファイルで、セキュリティ プロファイル グループを作成します。セキュリティ プロファイル グループの作成方法については、セキュリティ プロファイル グループを作成するをご覧ください。

  3. 脅威の防止を有効にするワークロードと同じゾーンにファイアウォール エンドポイントを作成します。ファイアウォール エンドポイントの作成方法については、ファイアウォール エンドポイントを作成するをご覧ください。

  4. 脅威の検出と防止を有効にする 1 つ以上の VPC ネットワークにファイアウォール エンドポイントを関連付けます。ワークロードがファイアウォール エンドポイントと同じゾーンで実行されていることを確認してください。ファイアウォール エンドポイントを VPC ネットワークに関連付ける方法については、ファイアウォール エンドポイントの関連付けを作成するをご覧ください。

  5. グローバル ネットワーク ファイアウォール ポリシーまたは階層型ファイアウォール ポリシーを使用して、侵入防止サービスを構成できます。

    • 新規または既存のグローバル ファイアウォール ポリシーで、レイヤ 7 検査が有効になっているファイアウォール ポリシールール(apply_security_profile_group アクション)を追加し、前の手順で作成したセキュリティ プロファイル グループの名前を指定します。ファイアウォール ポリシーが、検査を必要とするワークロードと同じ VPC ネットワークに関連付けられていることを確認します。グローバル ネットワーク ファイアウォール ポリシーと、脅威防止を有効にしたファイアウォール ポリシールールの作成に必要なパラメータの詳細については、グローバル ネットワーク ファイアウォール ポリシーを作成するグローバル ネットワーク ファイアウォール ポリシールールを作成するをご覧ください。

    • 階層型ファイアウォール ポリシーを使用して、セキュリティ プロファイル グループが構成されたファイアウォール ポリシー ルールを追加することもできます。脅威防止を有効にして階層型ファイアウォール ポリシー ルールを作成するために必要なパラメータの詳細については、ファイアウォール ルールを作成するをご覧ください。

TLS インスペクションのある侵入防止サービスを構成する

ネットワークで Transport Layer Security(TLS)インスペクションのある侵入防止サービスを構成するには、次の操作を行います。

  1. Threat prevention タイプのセキュリティ プロファイルを作成します。ネットワークの要件に応じて、脅威や重大度のオーバーライドを設定します。プロファイルは 1 つ以上作成できます。セキュリティ プロファイルの作成方法については、セキュリティ プロファイルを作成するをご覧ください。

  2. 前の手順で作成したセキュリティ プロファイルで、セキュリティ プロファイル グループを作成します。セキュリティ プロファイル グループの作成方法については、セキュリティ プロファイル グループを作成するをご覧ください。

  3. CA プールと信頼構成を作成し、TLS インスペクション ポリシーに追加します。Cloud NGFW で TLS インスペクションを有効にする方法については、TLS インスペクションを設定するをご覧ください。

  4. 脅威の防止を有効にするワークロードと同じゾーンにファイアウォール エンドポイントを作成します。ファイアウォール エンドポイントの作成方法については、ファイアウォール エンドポイントを作成するをご覧ください。

  5. 脅威の検出と防止を有効にする 1 つ以上の VPC ネットワークにファイアウォール エンドポイントを関連付けます。前の手順で作成した TLS インスペクション ポリシーをファイアウォール エンドポイントの関連付けに追加します。ワークロードがファイアウォール エンドポイントと同じゾーンで実行されていることを確認してください。

    ファイアウォール エンドポイントを VPC ネットワークに関連付けて TLS インスペクションを有効にする方法については、ファイアウォール エンドポイントの関連付けを作成するをご覧ください。

  6. グローバル ネットワーク ファイアウォール ポリシーまたは階層型ファイアウォール ポリシーを使用して、侵入防止サービスを構成できます。

    • 新規または既存のグローバル ファイアウォール ポリシーで、レイヤ 7 検査が有効になっているファイアウォール ポリシールール(apply_security_profile_group アクション)を追加し、前の手順で作成したセキュリティ プロファイル グループの名前を指定します。TLS インスペクションを有効にするには、--tls-inspect フラグを指定します。ファイアウォール ポリシーが、検査を必要とするワークロードと同じ VPC ネットワークに関連付けられていることを確認します。グローバル ネットワーク ファイアウォール ポリシーと、脅威防止を有効にしたファイアウォール ポリシールールの作成に必要なパラメータの詳細については、グローバル ネットワーク ファイアウォール ポリシーを作成するグローバル ネットワーク ファイアウォール ポリシールールを作成するをご覧ください。

    • 階層型ファイアウォール ポリシーを使用して、セキュリティ プロファイル グループが構成されたファイアウォール ポリシー ルールを追加することもできます。脅威防止を有効にして階層型ファイアウォール ポリシー ルールを作成するために必要なパラメータの詳細については、ファイアウォール ルールを作成するをご覧ください。

デプロイモデルの例

図 1 は、同じリージョンの 2 つの異なるゾーンで 2 つの VPC ネットワークに侵入防止サービスを構成したデプロイ例を示しています。

リージョンに侵入防止サービスをデプロイする。
図 1. リージョンに侵入防止サービスをデプロイする(クリックして拡大)。

この例のデプロイには、次の脅威防止構成が含まれています。

  1. 2 つのセキュリティ プロファイル グループ:

    1. セキュリティ プロファイル Security profile 1 を持つ Security profile group 1

    2. セキュリティ プロファイル Security profile 2 を持つ Security profile group 2

  2. ユーザーの VPC 1(VPC 1)には、セキュリティ プロファイル グループが Security profile group 1 に設定されたファイアウォール ポリシーがあります。

  3. ユーザー VPC 2(VPC 2)には、セキュリティ プロファイル グループが Security profile group 2 に設定されたファイアウォール ポリシーがあります。

  4. ファイアウォール エンドポイント Firewall endpoint 1 は、ゾーン us-west1-aVPC 1VPC 2 で実行されているワークロードに対して脅威の検出と防止を行います。

  5. ファイアウォール エンドポイント Firewall endpoint 2 は、ゾーン us-west1-bVPC 1VPC 2 で実行されているワークロードに対して TLS インスペクションを有効にして、脅威の検出と防止を行います。

次のステップ