主な用語

このページでは、Cloud Next Generation Firewall に関する主な用語について説明します。これらの用語を確認して、Cloud NGFW の仕組みとそのコンセプトについて理解してください。

アドレス グループ

アドレス グループは、IPv4 アドレス範囲または IPv6 アドレス範囲の CIDR 形式の論理コレクションです。アドレス グループを使用すると、多くのファイアウォール ルールによって参照される一貫した送信元または宛先を定義できます。アドレス グループの詳細については、ファイアウォール ポリシーのアドレス グループをご覧ください。

CIDR 形式

クラスレス ドメイン間ルーティング(CIDR)形式は、IP アドレスとそのサブネットの表記方法の一つです。この方法では、サブネット マスク全体を書き出す必要はありません。IP アドレスにあとにスラッシュ(/)、数字を続けます。この数字は、ネットワーク部分を定義する IP アドレスのビット数を表します。

Cloud NGFW

Cloud Next Generation Firewall は、高度な保護機能、マイクロセグメンテーション、内部および外部の攻撃から Google Cloud ワークロードを広範囲に保護する機能を備えた、完全分散型のファイアウォール サービスです。Cloud NGFW には、Cloud Next Generation Firewall Essentials、Cloud Next Generation Firewall Standard、Cloud Next Generation Firewall Enterprise の 3 つの階層があります。詳細については、Cloud NGFW の概要をご覧ください。

Cloud NGFW Essentials

Cloud Next Generation Firewall Essentials は、Google Cloud が提供する基本的なファイアウォール サービスです。これには、グローバル ネットワーク ファイアウォール ポリシーとリージョン ネットワーク ファイアウォール ポリシー、Identity and Access Management(IAM)によって管理されるタグアドレス グループ、Virtual Private Cloud(VPC)ファイアウォール ルールなどの機能が含まれています。詳細については、Cloud NGFW Essentials の概要をご覧ください。

Cloud NGFW Enterprise

Cloud Next Generation Firewall Enterprise は、脅威や悪意のある攻撃から Google Cloud ワークロードを保護する高度なレイヤ 7 セキュリティ機能を提供します。これには Transport Layer Security(TLS)のインターセプトと復号を行う侵入防止サービスが含まれています。このサービスは、ネットワーク上でマルウェア、スパイウェア、コマンド アンド コントロール攻撃などの脅威を検知し、攻撃を未然に防ぎます。

Cloud NGFW Standard

Cloud NGFW Standard は、Cloud NGFW Essentials の機能を拡張し、悪意のある攻撃からクラウド インフラストラクチャを保護する高度な機能を提供します。 これには、ファイアウォール ポリシールールの脅威インテリジェンス完全修飾ドメイン名(FQDN)オブジェクト、ファイアウォール ポリシールールの位置情報オブジェクトなどの機能が含まれています。

ファイアウォール エンドポイント

ファイアウォール エンドポイントは、Cloud NGFW リソースであり、ネットワークで侵入防止などのレイヤ 7 の高度な保護機能を有効にします。詳細については、ファイアウォール エンドポイントの概要をご覧ください。

ファイアウォール ルール

ファイアウォール ルールはネットワーク セキュリティの構成要素です。ファイアウォール ルールは、仮想マシン(VM)インスタンスの受信トラフィックまたは送信トラフィックを制御します。デフォルトでは、受信トラフィックはブロックされます。詳細については、ファイアウォール ポリシーをご覧ください。

ファイアウォール ルールのロギング

ファイアウォール ルール ロギングを使用すると、ファイアウォール ルールの効果を監査、検証、分析できます。たとえば、トラフィックを拒否するように指定されたファイアウォール ルールが意図したとおりに機能しているかどうかを確認できます。ファイアウォール ルール ロギングは、特定のファイアウォール ルールによって影響を受ける接続数を確認する必要がある場合にも役立ちます。詳細については、ファイアウォール ルール ロギングをご覧ください。

ファイアウォール ポリシー

ファイアウォール ポリシーを使用すると、複数のファイアウォール ルールをグループ化して、一度にまとめて更新できます。これらのルールは、IAM のロールで効率的に制御できます。ファイアウォール ポリシーには、階層型ファイアウォール ポリシー、グローバル ネットワーク ファイアウォール ポリシー、リージョン ネットワーク ファイアウォール ポリシーの 3 種類があります。詳細については、ファイアウォール ポリシーをご覧ください。

ファイアウォール ポリシールール

ファイアウォール ポリシールールを作成するときは、ルールの動作を定義する一連のコンポーネントを指定します。これらのコンポーネントは、トラフィックの方向、送信元、宛先、レイヤ 4 特性(プロトコルなど。プロトコルがポートを使用する場合は宛先ポート)を指定します。これらのコンポーネントはファイアウォール ポリシールールと呼ばれます。詳細については、ファイアウォール ポリシールールをご覧ください。

FQDN オブジェクト

完全修飾ドメイン名(FQDN)は、インターネット上の特定のリソースの完全な名前です。たとえば、cloud.google.com です。ファイアウォール ポリシールールの FQDN オブジェクトは、特定のドメイン名との間で送受信されるトラフィックをフィルタします。ドメイン名に関連付けられた IP アドレスは、トラフィックの方向に基づいてトラフィックの送信元または宛先と照合されます。詳細については、FQDN オブジェクトをご覧ください。

位置情報オブジェクト

ファイアウォール ポリシールールで位置情報オブジェクトを使用すると、特定の地理的位置またはリージョンに基づいて外部 IPv4 トラフィックと外部 IPv6 トラフィックをフィルタできます。位置情報オブジェクトは、他のソースフィルタや宛先フィルタと併用できます。詳しくは、位置情報オブジェクトをご覧ください。

グローバル ネットワーク ファイアウォール ポリシー

グローバル ネットワーク ファイアウォール ポリシーを使用すると、すべてのリージョン(グローバル)に適用されるポリシー オブジェクトにルールをまとめることができます。グローバル ネットワーク ファイアウォール ポリシーを VPC ネットワークに関連付けると、ポリシーのルールは VPC ネットワーク内のリソースに適用できます。グローバル ネットワーク ファイアウォール ポリシーの仕様と詳細については、グローバル ネットワーク ファイアウォール ポリシーをご覧ください。

階層型ファイアウォール ポリシー

階層型ファイアウォール ポリシーを使用すると、ルールを 1 つのポリシー オブジェクトにまとめて、1 つ以上のプロジェクトの複数の VPC ネットワークに適用できます。階層型ファイアウォール ポリシーは、組織全体または個々のフォルダに関連付けることができます。階層型ファイアウォール ポリシーの仕様と詳細については、階層型ファイアウォール ポリシーをご覧ください。

Identity and Access Management

Google Cloud の IAM を使用すると、特定の Google Cloud リソースに対するきめ細かなアクセス権を付与し、他のリソースへのアクセスを防止できます。IAM を使用すると、最小権限のセキュリティ原則を導入できます。この原則では、必要以上に多くの権限を付与しないことが規定されています。詳しくは IAM の概要をご覧ください。

暗黙のルール

すべての VPC ネットワークには、暗黙の IPv4 ファイアウォール ルールが 2 つあります。また、VPC ネットワークで IPv6 が有効になっている場合、ネットワークには 2 つの暗黙の IPv6 ファイアウォール ルールがあります。これらのルールは Google Cloud コンソールには表示されません。

暗黙の IPv4 ファイアウォール ルールは、ネットワークの作成方法や自動モードまたはカスタムモードの VPC ネットワークのどちらであるかに関係なく、すべての VPC ネットワークに存在します。デフォルト ネットワークには同じ暗黙のルールがあります。詳細については、暗黙のルールをご覧ください。

侵入防止サービス

Cloud NGFW 侵入防止サービスは、Google Cloud ワークロード トラフィックに悪意のあるアクティビティがないか継続的にモニタリングし、プリエンプティブにアクションを実行して防止します。悪意のあるアクティビティには、ネットワークに対する侵入、マルウェア、スパイウェア、コマンド アンド コントロール攻撃などの脅威があります。詳細については、侵入防止サービスの概要をご覧ください。

ネットワーク ファイアウォール ポリシー

ネットワーク ファイアウォール ポリシー(ファイアウォール ポリシー)を使用すると、複数のファイアウォール ルールをグループ化し、一度にすべてのファイアウォール ルールを更新できます。また、IAM ロールによって効果的に制御できます。VPC ファイアウォール ルールと同様に、これらのポリシーには接続を明示的に拒否または許可できるルールが含まれています。これには、グローバルおよびリージョン ネットワーク ファイアウォール ポリシーが含まれます。詳細については、ファイアウォール ポリシーをご覧ください。

ネットワーク タグ

ネットワーク タグは、Compute Engine VM インスタンスやインスタンス テンプレートなどのリソースのタグフィールドに追加される文字列です。タグは個別のリソースではないため、個別に作成することはできません。その文字列を持つすべてのリソースには、そのタグがあると考えられます。タグを使用すると、特定の VM インスタンスに適用される VPC ファイアウォール ルールルートを作成できます。

Packet Mirroring

Packet Mirroring は、VPC ネットワーク内で特定の VM インスタンスのトラフィックのクローンを作成し、検査用に転送します。Packet Mirroring では、ペイロードとヘッダーを含むすべてのトラフィックとパケットデータをキャプチャします。キャプチャは、下り(外向き)トラフィックと上り(内向き)トラフィックの両方、上り(内向き)トラフィックのみ、下り(外向き)トラフィックのみに構成できます。Packet Mirroring は、セキュリティ ステータスのモニタリングと分析で役立ちます。Packet Mirroring はサンプリング期間内のトラフィックだけでなく、すべてのトラフィックをエクスポートします。

ポリシーの継承

デフォルトでは、組織のポリシーは、そのポリシーを適用したリソースの子孫に継承されます。たとえば、フォルダにポリシーを適用した場合、そのフォルダ内のすべてのプロジェクトにそのポリシーが適用されます。この動作の詳細と変更方法については、階層評価ルールをご覧ください。

優先度

ファイアウォール ポリシー内のルールの優先度は 0~2,147,483,647 の整数です。小さい整数が高い優先度を示します。詳細については、優先度をご覧ください。

リージョン ネットワーク ファイアウォール ポリシー

リージョン ネットワーク ファイアウォール ポリシーを使用すると、特定のリージョンに適用されるルールをポリシー オブジェクトにまとめることができます。リージョン ネットワーク ファイアウォール ポリシーを VPC ネットワークに関連付けると、ポリシーのルールは、VPC ネットワークのそのリージョン内のリソースに適用されます。リージョン ファイアウォール ポリシーの仕様と詳細については、リージョン ネットワーク ファイアウォール ポリシーをご覧ください。

セキュア プロファイル

セキュア プロファイルまたはセキュリティ プロファイルは、Google Cloud リソースのレイヤ 7 検査ポリシーを定義するのに役立ちます。これは、ファイアウォール エンドポイントがインターセプトしたトラフィックをスキャンし、侵入防止などのアプリケーション レイヤ サービスを提供するために使用される汎用のポリシー構造です。詳細については、セキュリティ プロファイルの概要をご覧ください。

セキュリティ プロファイル グループ

セキュリティ プロファイル グループは、セキュリティ プロファイルのコンテナです。ファイアウォール ポリシールールは、セキュリティ プロファイル グループを参照して、ネットワーク侵入防止などのレイヤ 7 検査を有効にします。詳細については、セキュリティ プロファイル グループの概要をご覧ください。

Server Name Indication

Server Name Indication(SNI)は、TLS コンピュータ ネットワーク プロトコルの拡張機能です。SNI を使用すると、複数の HTTPS サイトで IP と TLS 証明書を共有できます。同じサーバー上でウェブサイトごとに個別の証明書を用意する必要がないため、効率と費用対効果を高めることができます。

タグ

Google Cloud のリソース階層は、リソースをツリー構造に整理する方法です。この階層は大規模なリソース管理に役立ちますが、組織構造、リージョン、ワークロード タイプ、コストセンターなど、一部のビジネス ディメンションをモデル化しているだけです。階層では複数のビジネス ディメンションを一緒にレイヤ化することはできません。

タグを使用すると、リソースのアノテーションを作成できます。場合によっては、リソースに特定のタグが付加されているかどうかに基づいて、条件付きでポリシーの許可や拒否を行うことができます。タグを使用し、ポリシーを条件付きで適用することにより、リソース階層全体をきめ細かく管理することができます。

タグはネットワーク タグとは異なります。タグとネットワーク タグの違いについては、タグとネットワーク タグの比較をご覧ください。

脅威インテリジェンス

ファイアウォール ポリシールールを使用すると、脅威インテリジェンス データに基づいてトラフィックを許可またはブロックすることで、ネットワークを保護できます。脅威インテリジェンス データには、Tor 出口ノードに基づく IP アドレス、既知の悪意のある IP アドレス、検索エンジン、パブリック クラウド IP アドレス範囲のリストが含まれます。詳細については、ファイアウォール ポリシールールの脅威インテリジェンスをご覧ください。

脅威シグネチャ

シグネチャに基づく脅威検出は、悪意のある動作を特定するために最もよく使用されるメカニズムの一つであり、ネットワーク攻撃の防止に広く使用されています。Cloud NGFW の脅威検出機能は、Palo Alto Networks の脅威防止テクノロジーを利用しています。詳細については、脅威シグネチャの概要をご覧ください。

Transport Layer Security 検査

Cloud NGFW は、TLS インターセプト / 復号サービスを提供します。これにより、暗号化されたトラフィックと暗号化されていないトラフィックを検査し、ネットワーク攻撃や中断の有無を調べることができます。TLS 接続は、インターネットとの間のトラフィック、Google Cloud 内のトラフィックなど、インバウンド接続とアウトバウンド接続の両方で検査されます。

Cloud NGFW は TLS トラフィックを復号し、ファイアウォール エンドポイントがネットワークで侵入防止などのレイヤ 7 検査を実行できるようにします。検査後、Cloud NGFW はトラフィックを再度暗号化してから宛先に送信します。詳細については、TLS インスペクションの概要をご覧ください。

ファイアウォールのタグ

タグは、セキュアタグとも呼ばれます。タグを使用すると、グローバル ネットワーク ファイアウォール ポリシーとリージョン ネットワーク ファイアウォール ポリシーでソースとターゲットを定義できます。タグはネットワーク タグとは異なります。ネットワーク タグは、キーと値ではなく、単純な文字列であり、いかなるアクセス制御も行いません。タグとネットワーク タグの違いと、それぞれのタグでサポートされるサービスについては、タグとネットワーク タグの比較をご覧ください。

VPC ファイアウォール ルール

VPC ファイアウォール ルールを使用すると、VPC ネットワーク内の VM インスタンスの間の接続を許可または拒否できます。有効な VPC ファイアウォール ルールが常に適用され、構成やオペレーティング システムに関係なく、起動していないものも含めてインスタンスが保護されます。これらのルールは、特定のプロジェクトとネットワークに適用されます。詳細については、VPC ファイアウォール ルールをご覧ください。

次のステップ