Virtual Private Cloud(VPC)ファイアウォール ルールは、単一の VPC ネットワークに適用されます。VPC ネットワーク内の仮想マシン(VM)インスタンスによって送受信されるトラフィックをきめ細かく制御するには、VPC ファイアウォール ルールでネットワーク タグまたはサービス アカウントを使用します。ただし、VPC ファイアウォール ルールには次の制限があります。
バッチで編集できない: VPC ファイアウォール ルールはルールごとに適用され、個別に編集する必要があるため、効率が悪い場合があります。
Identity and Access Management(IAM)による制御が制限される: ネットワーク タグでは、厳密なトラフィック セグメンテーションに必要な強力な IAM 制御が提供されません。
VPC ファイアウォール ルールの制限に対処するため、Cloud Next Generation Firewall ではグローバルおよびリージョン ネットワーク ファイアウォール ポリシーがサポートされています。ネットワーク ファイアウォール ポリシーを定義して、複数のリージョンの複数の VPC ネットワークに適用できます。これらのポリシーは、IAM によって管理されるセキュアタグもサポートしています。これにより、VM レベルできめ細かい制御を適用し、あらゆる種類のネットワーク トラフィックを安全かつ確実にマイクロセグメント化できます。
詳細については、VPC ファイアウォール ルールをネットワーク ファイアウォール ポリシーに移行するメリットをご覧ください。
ネットワーク ファイアウォール ポリシーの機能を活用して VPC ネットワークへのアクセスを効果的に制御するには、既存の VPC ファイアウォール ルールをグローバル ネットワーク ファイアウォール ポリシーに移行します。
VPC ファイアウォール ルールをネットワーク ファイアウォール ポリシーに移行するメリット
ネットワーク ファイアウォール ポリシーは、Google Cloud リソース階層全体で一貫性のあるファイアウォール エクスペリエンスを提供します。また、運用面でも VPC ファイアウォール ルールよりも多くのメリットがあります。
IAM で管理されるタグを使用して、きめ細かいセキュリティとアクセス制御を実現。Google Cloud では、VM の各ネットワーク インターフェースに個別のタグを適用できます。タグに基づいてファイアウォール ポリシー ルールを定義し、リソースとワークロードのトラフィックに対する不正アクセスを制限できます。これにより、リソースをきめ細かく制御できるようになり、ユーザー グループまたはアプリケーションごとに最小権限のセルフサービス環境を実現できます。VPC ファイアウォール ルールは、IAM アクセス制御をサポートしていないネットワーク タグを使用します。
ルールの管理を簡素化。ネットワーク ファイアウォール ポリシーはバッチ編集をサポートしているため、1 つのポリシー内の複数のルールを編集できます。VPC ファイアウォール ルールはルール単位でのみ機能します。
運用が容易。ネットワーク ファイアウォール ポリシーでは、アドレス グループ、完全修飾ドメイン名(FQDN)オブジェクト、位置情報オブジェクト、脅威検知、侵入防止などの機能がサポートされています。VPC ファイアウォール ルールでは、これらの高度な機能はサポートされていません。
データの所在地を柔軟に選択。ネットワーク ファイアウォール ポリシーは、ネットワークの複数のリージョンまたは単一のリージョンに適用できます。VPC ファイアウォール ルールはグローバルにのみ適用できます。
VPC ファイアウォール ルールの移行ツール
VPC ファイアウォール ルールの移行ツールを使用すると、VPC ファイアウォール ルールをグローバル ネットワーク ファイアウォール ポリシーに自動的に移行できます。このツールは、Google Cloud CLI からアクセスするコマンドライン ユーティリティです。
仕様
移行ツールは、グローバル ネットワーク ファイアウォール ポリシーを作成して、既存の VPC ファイアウォール ルールをファイアウォール ポリシー ルールに変換し、新しいルールをポリシーに追加します。
2 つ以上の VPC ファイアウォール ルールの優先度が同じ場合、移行ツールは重複を回避するためにルールの優先度を自動的に更新します。
denyアクションのルールは、allowアクションのルールよりも優先度が高くなります。このツールは、優先度を更新する際に元の VPC ファイアウォール ルールの相対的な順序を保持します。たとえば、優先度が
1000の VPC ファイアウォール ルールが 4 つあり、優先度が2000のルールが 5 つあるとします。この場合、移行ツールは最初の 4 つのルールに、1000、1001、1002、1003というように、一意の優先度番号を割り当てます。優先度が2000の 5 番目のルールには、一意の新しい優先度1004が割り当てられます。これにより、最初の 4 つのルールの優先度が1000より低い優先度のルールよりも高くなります。VPC ファイアウォール ルールにネットワーク タグやサービス アカウントなどの依存関係が含まれている場合、移行ツールは、ネットワーク タグやサービス アカウントの代わりに IAM で管理されるタグを利用します。
VPC ネットワークに VPC ファイアウォール ルールと関連するネットワーク ファイアウォール ポリシーが含まれている場合、移行ツールは、互換性のある VPC ファイアウォール ルールとネットワーク ファイアウォール ポリシー ルールを新しいグローバル ネットワーク ファイアウォール ポリシーに移行します。
Google Kubernetes Engine(GKE)などの Google サービスによって自動的に作成された VPC ファイアウォール ルールは、移行ツールでは移行されません。これらのルールは、VPC ファイアウォール ルールとしてネットワークに引き続き存在します。そのため、VPC ネットワークに GKE リソースが含まれている場合は、Google Cloud サポートに連絡して、GKE で生成された VPC ファイアウォール ルールを移行するための最適な方法を確認してください。
移行ツールは、既存の VPC ファイアウォール ルールのログの設定を保持します。VPC ファイアウォール ルールでロギングがオンになっている場合、移行ツールはロギングをオンのままにします。ロギングがオフになっている場合はロギングをオフのままにします。
移行ツールは、グローバル ネットワーク ファイアウォール ポリシーのみを生成します。このツールは、既存の VPC ファイアウォール ルールを削除しません。また、新しいグローバル ネットワーク ファイアウォール ポリシーを必要な VPC ネットワークに関連付けることもしません。グローバル ネットワーク ファイアウォール ポリシーを必要な VPC ネットワークに手動で関連付け、VPC ファイアウォール ルールと VPC ネットワークの関連付けを削除する必要があります。
グローバル ネットワーク ファイアウォール ポリシーを必要な VPC ネットワークに関連付けた後、グローバル ネットワーク ファイアウォール ポリシーのポリシールールが意図したとおりに機能している場合は、VPC ファイアウォール ルールを無効にできます。
新しいグローバル ネットワーク ファイアウォール ポリシーと VPC ファイアウォール ルールを同じ VPC ネットワークに関連付けることができます。ルールはポリシーとルールの評価順序に従って適用されます。ただし、VPC ファイアウォール ルールを無効にすることをおすすめします。
移行のシナリオ
VPC ファイアウォール ルールをグローバル ネットワーク ファイアウォール ポリシーに移行する場合は、次のシナリオを検討してください。
- VPC ファイアウォール ルールに、ネットワーク タグやサービス アカウントが含まれていない。
- VPC ファイアウォール ルールにネットワーク タグまたはターゲット サービス アカウント、またはその両方が含まれている。
次の図は、上記の構成の組み合わせの移行ワークフローを示しています。ネットワーク要件に合ったワークフローを選択します。
