Cloud ファイアウォールの概要

Cloud ファイアウォールは、高度な保護機能、マイクロセグメンテーション、内部および外部の攻撃から Google Cloud ワークロードを広範囲に保護する機能を備えた、完全分散型のファイアウォールサービスです。

Cloud ファイアウォールには次の利点があります。

分散ファイアウォールサービス: Cloud ファイアウォールでは、各ワークロードに完全に分散されたステートフルなホストベースの適用が可能で、ゼロトラストセキュリティアーキテクチャを実現します。
構成とデプロイの簡素化: Cloud ファイアウォールは、リソース階層ノードに接続できるネットワークと階層型ファイアウォールポリシーを実装します。これらのポリシーにより、Google Cloud リソース階層全体で一貫性のあるファイアウォールエクスペリエンスが提供されます。
きめ細かい制御とマイクロセグメンテーション: ファイアウォールポリシーと Identity and Access Management（IAM）によって管理されるタグを組み合わせて、Virtual Private Cloud（VPC）ネットワークと組織全体で、North-South トラフィックと East-West トラフィックの両方を 1 つの VM に至るまできめ細かく制御できます。

Cloud ファイアウォールは次の 2 つの階層で使用できます。

Cloud ファイアウォールには、これらの階層の上に追加できる追加機能も用意されています。ファイアウォール階層の料金と追加機能の詳細については、Cloud ファイアウォールの料金をご覧ください。

Cloud Firewall Essentials

Cloud Firewall Essentials は、Google Cloud が提供する基本的なファイアウォールサービスです。主な特長と機能は次のとおりです。

グローバルネットワークファイアウォールポリシーとリージョンネットワークファイアウォールポリシーによって、ファイアウォールルールを、すべてのリージョンまたは特定のリージョンに適用される 1 つのポリシーオブジェクトにグループ化できます。
IAM によって管理されるタグとネットワークファイアウォールポリシーを組み合わせることで、Google Cloud リソースのマイクロセグメンテーションときめ細かい制御を実現できます。タグは、一意の ID と厳格な IAM 制御によって一元管理されます。これらのタグをネットワークファイアウォールポリシールール内で参照することで、リージョンとネットワーク全体でより緊密かつ均一なアクセス制御を行うことができます。
アドレスグループは、複数の IP アドレスと IP 範囲を 1 つの名前付き論理単位に結合します。上り（内向き）と下り（外向き）の制御について、複数のファイアウォールルールで同じアドレスグループを参照できます。
ネットワークタグとサービスアカウントを使用する VPC ファイアウォールルールは、ネットワークレベルで受信トラフィックと送信トラフィックをフィルタします。

Cloud Firewall Standard は、Cloud Firewall Essentials の機能が拡張されたものであり、悪意のある攻撃からクラウドインフラストラクチャを保護する高度な機能を提供します。

ファイアウォールポリシールールの脅威インテリジェンスを使用すると、脅威インテリジェンスのデータリストに基づいてトラフィックを許可またはブロックすることで、ネットワークを保護できます。
ファイアウォールポリシールールの完全修飾ドメイン名（FQDN）オブジェクトは、特定のドメインとの間で送受信されるトラフィックをフィルタリングします。ドメイン名に関連付けられた IP アドレスは、トラフィックの方向に基づいてトラフィックの送信元または宛先と照合されます。
ファイアウォールポリシールールで位置情報オブジェクトを使用すると、特定の地理的位置またはリージョンに基づいて外部の IPv4 および IPv6 のトラフィックをフィルタできます。

Cloud ファイアウォールには、Cloud Firewall Essentials 階層と Cloud Firewall Standard 階層に加えて次の機能が用意されています。

階層型ファイアウォールポリシールールは、組織全体で一貫したファイアウォールポリシーを作成して適用します。階層型ファイアウォールポリシーは、組織全体または個々のフォルダに割り当てることができます。
ファイアウォールルールロギングを使用すると、ファイアウォールルールが意図したとおりに使用されているかどうかを確認できます。