グローバル ネットワーク ファイアウォール ポリシー

グローバル ネットワーク ファイアウォール ポリシーを使用すると、すべてのファイアウォール ルールを 1 つのポリシー オブジェクトにまとめて更新できます。Virtual Private Cloud(VPC)ネットワークにネットワーク ファイアウォール ポリシーを割り当てることができます。これらのポリシーには、接続を明示的に拒否または許可するルールが含まれています。

仕様

  • グローバル ネットワーク ファイアウォール ポリシーは、ファイアウォール ルールのコンテナ リソースです。各グローバル ネットワーク ファイアウォール ポリシー リソースは、プロジェクト内で定義されます。
    • グローバル ネットワーク ファイアウォール ポリシーを作成した後、ポリシーでファイアウォール ルールを追加、更新、削除できます。
    • グローバル ネットワーク ファイアウォール ポリシーのルールの仕様については、ファイアウォール ポリシールールをご覧ください。
  • グローバル ネットワーク ファイアウォール ポリシー ルールを VPC ネットワークに適用するには、ファイアウォール ポリシーをその VPC ネットワークに関連付ける必要があります。
    • グローバル ネットワーク ファイアウォール ポリシーは、複数の VPC ネットワークに関連付けることができます。ファイアウォール ポリシーと関連するネットワークが同じプロジェクトに属していることを確認します。
    • 各 VPC ネットワークは、1 つのグローバル ネットワーク ファイアウォール ポリシーにのみ関連付けることができます。
    • ファイアウォール ポリシーがどの VPC ネットワークにも関連付けられていない場合、そのポリシーのルールは無効になります。どのネットワークにも関連付けられていないファイアウォール ポリシーは、関連付けのないグローバル ネットワーク ファイアウォール ポリシーです。
  • グローバル ネットワーク ファイアウォール ポリシーが 1 つ以上の VPC ネットワークに関連付けられている場合、ファイアウォール ポリシールールは次の方法で適用されます。
    • 既存のルールは、関連する VPC ネットワーク内の該当するリソースに適用されます。
    • ルールに加えた変更は、関連する VPC ネットワーク内の該当するリソースに適用されます。
  • ポリシーとルールの評価の順序で説明されているように、グローバル ネットワーク ファイアウォール ポリシー ルールは、他のファイアウォール ルールと一緒に適用されます。
  • グローバル ネットワーク ファイアウォール ポリシー ルールは、侵入防止サービスの使用時などに、一致したトラフィックのレイヤ 7 検査を構成するために使用されます。

    apply_security_profile_group アクションとセキュリティ プロファイル グループの名前を使用して、ファイアウォール ポリシー ルールを作成します。ファイアウォール ポリシー ルールに一致するトラフィックは、レイヤ 7 検査のためにファイアウォール エンドポイントに透過的に転送されます。ファイアウォール ポリシー ルールの作成方法については、グローバル ネットワーク ファイアウォール ルールを作成するをご覧ください。

グローバル ネットワーク ファイアウォール ポリシー ルールの詳細

グローバル ネットワーク ファイアウォール ポリシー ルールのコンポーネントとパラメータの詳細については、ファイアウォール ポリシー ルールをご覧ください。

次の表に、グローバル ネットワーク ファイアウォール ポリシー ルールと VPC ファイアウォール ルールの主な違いを示します。

グローバル ネットワーク ファイアウォール ポリシールール VPC ファイアウォール ルール
優先度 ポリシー内で一意である必要があります 優先度の重複は可能です
ターゲットとしてのサービス アカウント
ソースとしてのサービス アカウント
(上り(内向き)ルールのみ)
×
タグタイプ セキュアタグ ネットワーク タグ
名前と説明 ポリシー名、ポリシー、ルールの説明 ルール名と説明
バッチ アップデート ○(ポリシーのクローン作成、編集、置換機能) ×
再利用 ×
割り当て 属性数 - ポリシー内のルールの全体的な複雑さに基づく ルール数 - 複雑なファイアウォール ルールと単純なファイアウォール ルールで、割り当てへの影響は変わりません

事前定義ルール

グローバル ネットワーク ファイアウォール ポリシーを作成すると、Cloud Next Generation Firewall は優先度が最も低い事前定義ルールをポリシーに追加します。これらのルールは、ポリシーで明示的に定義されたルールと一致しない接続に適用されます。これにより、このような接続は下位レベルのポリシーまたはネットワーク ルールで処理されます。

さまざまなタイプの事前定義ルールとその特性については、事前定義ルールをご覧ください。

Identity and Access Management(IAM)のロール

IAM ロールは、グローバル ネットワーク ファイアウォール ポリシーに関して次のアクションを管理します。

  • グローバル ネットワーク ファイアウォール ポリシーの作成
  • ポリシーとネットワークの関連付け
  • 既存のポリシーの変更
  • 特定のネットワークまたは VM で有効なファイアウォール ルールの表示

次の表に、各ステップに必要となるロールを示します。

アクション 必要なロール
新しいグローバル ネットワーク ファイアウォール ポリシーを作成する ポリシーが属するプロジェクトに対する compute.securityAdmin ロール
ポリシーをネットワークに関連付ける ポリシーが存在するプロジェクトに対する compute.networkAdmin ロール
ポリシー ファイアウォール ルールを追加、更新、削除してポリシーを変更する ポリシーが存在するプロジェクトに対する compute.securityAdmin ロール
ポリシーを削除する ポリシーが存在するプロジェクトに対する compute.networkAdmin ロール
VPC ネットワークに対する有効なファイアウォール ルールを表示する ネットワークに対する次のいずれかのロール:
compute.networkAdmin
compute.networkViewer
compute.securityAdmin
compute.viewer
ネットワーク内の VM に対する有効なファイアウォール ルールの表示 VM に対する次のいずれかのロール:
compute.instanceAdmin
compute.securityAdmin
compute.viewer

次のロールは、グローバル ネットワーク ファイアウォール ポリシーに関連しています。

ロール名 説明
compute.securityAdmin (プロジェクト レベルまたはリソースレベルで付与可能)プロジェクトに付与した場合、ユーザーはグローバル ネットワーク ファイアウォール ポリシーやルールを作成、更新、削除できます。ポリシーレベルでは、ユーザーはポリシールールを更新できますが、ポリシーの作成または削除はできません。このロールが付与されたユーザーは、ポリシーをネットワークに関連付けることもできます。
compute.networkAdmin プロジェクト レベルまたはネットワーク レベルで付与。ネットワークに対して付与されている場合、ユーザーはグローバル ネットワーク ファイアウォール ポリシーのリストを表示できます。
compute.viewer
compute.networkUser
compute.networkViewer
ユーザーがネットワークまたはインスタンスに適用されているファイアウォール ルールを表示できるようにします。
ネットワークの compute.networks.getEffectiveFirewalls 権限とインスタンスの compute.instances.getEffectiveFirewalls 権限が含まれます。