URL フィルタリング サービスを構成する

URL フィルタリング サービスを使用すると、特定のウェブ ドメインへのアクセスをブロックまたは許可することで制御できます。ネットワークで URL フィルタリング サービスを有効にするには、ファイアウォール エンドポイント、セキュリティ プロファイル、セキュリティ プロファイル グループなど、複数の Cloud Next Generation Firewall コンポーネントを設定する必要があります。このドキュメントでは、これらのコンポーネントを構成して URL フィルタリング サービスを有効にする方法について、おおまかなワークフローを示して説明します。

URL フィルタリング サービスの詳細については、URL フィルタリング サービスの概要をご覧ください。

TLS インスペクションなしで URL フィルタリング サービスを構成する

ネットワークで URL フィルタリング サービスを構成するには、次の操作を行います。

  1. URL フィルタリングのセキュリティ プロファイルを作成します。

    特定のドメインへのアクセスを許可または拒否するには、タイプ url-filtering のセキュリティ プロファイルを作成し、URL リストを使用してマッチャー文字列を指定します。

    詳細については、URL フィルタリング セキュリティ プロファイルを作成するをご覧ください。

  2. 必要に応じて、セキュリティ プロファイルを作成して、トラフィックで脅威をスキャンできます。

    トラフィックをスキャンしてセキュリティ上の脅威を検出するには、タイプ threat-prevention の別のセキュリティ プロファイルを作成します。脅威シグネチャのリストを確認し、デフォルトのレスポンスを評価して、要件に応じて選択したシグネチャのアクションをカスタマイズします。

    詳細については、脅威防止セキュリティ プロファイルを作成するをご覧ください。侵入検知サービスと侵入防止サービスの詳細については、侵入検知サービスと侵入防止サービスの概要をご覧ください。

  3. セキュリティ プロファイル グループを作成します。

    セキュリティ プロファイル グループは、セキュリティ プロファイルのコンテナとして機能します。前の手順で作成したセキュリティ プロファイルを含めるセキュリティ プロファイル グループを作成します。

    詳細については、セキュリティ プロファイル グループを作成するをご覧ください。

  4. ファイアウォール エンドポイントを作成します。

    ファイアウォール エンドポイントは、URL フィルタリング サービスで保護するワークロードと同じゾーンに作成する必要があるゾーンリソースです。

    詳細については、ファイアウォール エンドポイントを作成するをご覧ください。

  5. ファイアウォール エンドポイントを VPC ネットワークに関連付けます。

    URL フィルタリング サービスを有効にするには、ファイアウォール エンドポイントを VPC ネットワークに関連付けます。ワークロードがファイアウォール エンドポイントと同じゾーンで実行されていることを確認してください。

    詳細については、ファイアウォール エンドポイントの関連付けを作成するをご覧ください。

  6. URL フィルタリング サービスを構成して、ネットワーク トラフィックに適用します。

    URL フィルタリング サービスを構成するには、レイヤ 7 検査を含むグローバル ネットワーク ファイアウォール ポリシーまたは階層型ファイアウォール ポリシーを作成します。

    • 新しいグローバル ファイアウォール ポリシーを作成するか、既存のグローバル ファイアウォール ポリシーを使用する場合は、apply_security_profile_group アクションを使用してファイアウォール ポリシー ルールを追加し、前に作成したセキュリティ プロファイル グループの名前を指定します。ファイアウォール ポリシーが、検査を必要とするワークロードと同じ VPC ネットワークに関連付けられていることを確認します。

      詳細については、グローバル ネットワーク ファイアウォール ポリシーを作成するグローバル ネットワーク ファイアウォール ルールを作成するをご覧ください。

    • 新しい階層型ファイアウォール ポリシーを作成するか、既存のポリシーを使用する場合は、apply_security_profile_group アクションを含むファイアウォール ポリシールールを追加します。ファイアウォール ポリシーが、検査を必要とするワークロードと同じ VPC ネットワークに関連付けられていることを確認します。

      詳細については、ファイアウォール ルールを作成するをご覧ください。

TLS インスペクションを使用して URL フィルタリング サービスを構成する

ネットワークで Transport Layer Security(TLS)インスペクションのある URL フィルタリング サービスを構成するには、次の操作を行います。

  1. URL フィルタリングのセキュリティ プロファイルを作成します。

    特定のドメインへのアクセスを許可または拒否するには、タイプ url-filtering のセキュリティ プロファイルを作成し、URL リストを使用してマッチャー文字列を指定します。

    詳細については、URL フィルタリング セキュリティ プロファイルを作成するをご覧ください。

  2. 必要に応じて、セキュリティ プロファイルを作成して、トラフィックで脅威をスキャンできます。

    セキュリティ上の脅威を検出するためにトラフィックをスキャンするには、タイプ threat-prevention の別のセキュリティ プロファイルを作成します。脅威シグネチャのリストを確認し、デフォルトのレスポンスを評価して、要件に応じて選択したシグネチャのアクションをカスタマイズします。

    詳細については、脅威防止セキュリティ プロファイルを作成するをご覧ください。侵入検知サービスと侵入防止サービスの詳細については、侵入検知サービスと侵入防止サービスの概要をご覧ください。

  3. セキュリティ プロファイル グループを作成します。

    セキュリティ プロファイル グループは、セキュリティ プロファイルのコンテナとして機能します。前の手順で作成したセキュリティ プロファイルを含めるセキュリティ プロファイル グループを作成します。

    詳細については、セキュリティ プロファイル グループを作成するをご覧ください。

  4. ファイアウォール エンドポイントを作成します。

    ファイアウォール エンドポイントは、URL フィルタリング サービスで保護するワークロードと同じゾーンに作成する必要があるゾーンリソースです。

    詳細については、ファイアウォール エンドポイントを作成するをご覧ください。

  5. 暗号化されたトラフィックを検査するリソースを作成して構成します。

    1. 認証局(CA)プールを作成します。

      CA プールは、共通の証明書発行ポリシーと Identity and Access Management(IAM)ポリシーを持つ CA の集合です。TLS インスペクションを構成するには、リージョン CA プールが存在している必要があります。

      詳細については、CA プールを作成するをご覧ください。

    2. ルート CA を作成します。

      TLS インスペクションを使用するには、少なくとも 1 つのルート CA が必要です。ルート CA が中間 CA に署名し、中間 CA がクライアントのすべてのリーフ証明書に署名します。詳細については、gcloud privateca roots create コマンドのリファレンス ドキュメントをご覧ください。

    3. Network Security サービス エージェント(P4SA)に必要な権限を付与します。

      Cloud NGFW では、TLS インスペクション用の中間 CA を生成するために P4SA が必要です。サービス エージェントには、CA プールの証明書をリクエストするために必要な権限が必要です。

      詳細については、サービス アカウントを作成するをご覧ください。

  6. リージョン TLS インスペクション ポリシーを作成します。

    TLS インスペクション ポリシーは、暗号化されたトラフィックを傍受する方法を指定します。リージョン TLS インスペクション ポリシーには、TLS インスペクションの構成を保持できます。

    詳細については、TLS インスペクション ポリシーを作成するをご覧ください。

  7. ファイアウォール エンドポイントを VPC ネットワークに関連付けます。

    URL フィルタリング サービスを有効にするには、ファイアウォール エンドポイントを VPC ネットワークに関連付けます。ワークロードがファイアウォール エンドポイントと同じゾーンで実行されていることを確認してください。

    また、ファイアウォール エンドポイントを TLS インスペクション ポリシーに関連付けます。

    詳細については、ファイアウォール エンドポイントの関連付けを作成するをご覧ください。

  8. URL フィルタリング サービスを構成して、ネットワーク トラフィックに適用します。

    URL フィルタリング サービスを構成するには、レイヤ 7 検査を含むグローバル ネットワーク ファイアウォール ポリシーまたは階層型ファイアウォール ポリシーを作成します。

    • 新しいグローバル ファイアウォール ポリシーを作成するか、既存のグローバル ファイアウォール ポリシーを使用する場合は、apply_security_profile_group アクションを使用してファイアウォール ポリシー ルールを追加し、前に作成したセキュリティ プロファイル グループの名前を指定します。ファイアウォール ポリシーが、検査を必要とするワークロードと同じ VPC ネットワークに関連付けられていることを確認します。

      詳細については、グローバル ネットワーク ファイアウォール ポリシーを作成するグローバル ネットワーク ファイアウォール ポリシールールを作成するをご覧ください。

    • 新しい階層型ファイアウォール ポリシーを作成するか、既存のポリシーを使用する場合は、apply_security_profile_group アクションが構成されたファイアウォール ポリシールールを追加します。ファイアウォール ポリシーが、検査を必要とするワークロードと同じ VPC ネットワークに関連付けられていることを確認します。

      詳細については、ファイアウォール ルールを作成するをご覧ください。

デプロイモデルの例

次の図は、同じリージョンの 2 つの異なるゾーンで 2 つの VPC ネットワークに構成された複数のファイアウォール エンドポイントを含む URL フィルタリング サービスのデプロイ例を示しています。

リージョンに URL フィルタリング サービスをデプロイします。
リージョンに URL フィルタリング サービスをデプロイする(クリックして拡大)。

この例のデプロイには、次の構成が含まれています。

  1. 2 つのセキュリティ プロファイル グループ:

    1. セキュリティ プロファイル Security profile 1 を持つ Security profile group 1

    2. セキュリティ プロファイル Security profile 2 を持つ Security profile group 2

  2. ユーザーの VPC 1(VPC 1)には、セキュリティ プロファイル グループが Security profile group 1 に設定されたファイアウォール ポリシーがあります。

  3. ユーザー VPC 2(VPC 2)には、セキュリティ プロファイル グループが Security profile group 2 に設定されたファイアウォール ポリシーがあります。

  4. ファイアウォール エンドポイント Firewall endpoint 1 は、ゾーン us-west1-aVPC 1VPC 2 で実行されているワークロードに対して URL フィルタリングを行います。

  5. ファイアウォール エンドポイント Firewall endpoint 2 は、ゾーン us-west1-bVPC 1VPC 2 で実行されているワークロードに対して TLS インスペクションを有効にして、URL フィルタリングを行います。

次のステップ