Cloud ファイアウォールの概要
Cloud ファイアウォールは、高度な保護機能、マイクロセグメンテーション、内部および外部の攻撃から Google Cloud ワークロードを広範囲に保護する機能を備えた、完全分散型のファイアウォール サービスです。
Cloud ファイアウォールには次の利点があります。
分散ファイアウォール サービス: Cloud ファイアウォールでは、各ワークロードに完全に分散されたステートフルなホストベースの適用が可能で、ゼロトラスト セキュリティ アーキテクチャを実現します。
構成とデプロイの簡素化: Cloud ファイアウォールは、リソース階層ノードに接続できるネットワークと階層型ファイアウォール ポリシーを実装します。これらのポリシーにより、Google Cloud リソース階層全体で一貫性のあるファイアウォール エクスペリエンスが提供されます。
きめ細かい制御とマイクロセグメンテーション: ファイアウォール ポリシーと Identity and Access Management(IAM)によって管理されるタグを組み合わせて、Virtual Private Cloud(VPC)ネットワークと組織全体で、North-South トラフィックと East-West トラフィックの両方を 1 つの VM に至るまできめ細かく制御できます。
Cloud ファイアウォールは次の 2 つの階層で使用できます。
- Cloud Firewall Essentials
- Cloud Firewall Standard
Cloud ファイアウォールには、これらの階層の上に追加できる追加機能も用意されています。ファイアウォール階層の料金と追加機能の詳細については、Cloud ファイアウォールの料金をご覧ください。
Cloud Firewall Essentials
Cloud Firewall Essentials は、Google Cloud が提供する基本的なファイアウォール サービスです。主な特長と機能は次のとおりです。
グローバル ネットワーク ファイアウォール ポリシーとリージョン ネットワーク ファイアウォール ポリシーによって、ファイアウォール ルールを、すべてのリージョンまたは特定のリージョンに適用される 1 つのポリシー オブジェクトにグループ化できます。
IAM によって管理されるタグとネットワーク ファイアウォール ポリシーを組み合わせることで、Google Cloud リソースのマイクロセグメンテーションときめ細かい制御を実現できます。タグは、一意の ID と厳格な IAM 制御によって一元管理されます。これらのタグをネットワーク ファイアウォール ポリシー ルール内で参照することで、リージョンとネットワーク全体でより緊密かつ均一なアクセス制御を行うことができます。
アドレス グループは、複数の IP アドレスと IP 範囲を 1 つの名前付き論理単位に結合します。上り(内向き)と下り(外向き)の制御について、複数のファイアウォール ルールで同じアドレス グループを参照できます。
ネットワーク タグとサービス アカウントを使用する VPC ファイアウォール ルールは、ネットワーク レベルで受信トラフィックと送信トラフィックをフィルタします。
Cloud Firewall Standard
Cloud Firewall Standard は、Cloud Firewall Essentials の機能が拡張されたものであり、悪意のある攻撃からクラウド インフラストラクチャを保護する高度な機能を提供します。
ファイアウォール ポリシールールの脅威インテリジェンスを使用すると、脅威インテリジェンスのデータリストに基づいてトラフィックを許可またはブロックすることで、ネットワークを保護できます。
ファイアウォール ポリシールールの完全修飾ドメイン名(FQDN)オブジェクトは、特定のドメインとの間で送受信されるトラフィックをフィルタリングします。ドメイン名に関連付けられた IP アドレスは、トラフィックの方向に基づいてトラフィックの送信元または宛先と照合されます。
ファイアウォール ポリシー ルールで位置情報オブジェクトを使用すると、特定の地理的位置またはリージョンに基づいて外部の IPv4 および IPv6 のトラフィックをフィルタできます。
その他の機能
Cloud ファイアウォールには、Cloud Firewall Essentials 階層と Cloud Firewall Standard 階層に加えて次の機能が用意されています。
階層型ファイアウォール ポリシールールは、組織全体で一貫したファイアウォール ポリシーを作成して適用します。階層型ファイアウォール ポリシーは、組織全体または個々のフォルダに割り当てることができます。
ファイアウォール ルールロギングを使用すると、ファイアウォール ルールが意図したとおりに使用されているかどうかを確認できます。