一元化されたアプライアンスを使用した VMware Engine ネットワーク セキュリティ

Last reviewed 2024-08-14 UTC

組織の多層防御戦略の一環として、インライン検出と不審なネットワーク アクティビティをブロックするために、一元化されたネットワーク アプライアンスの使用を求めるセキュリティ ポリシーを確立されていると思います。このドキュメントは、Google Cloud VMware Engine ワークロードに対して、次に挙げる最新式のネットワーク保護機能を設計する際にお役立ていただけます。

  • 分散型サービス拒否攻撃(DDoS)の軽減
  • SSL オフロード
  • 次世代ファイアウォール(NGFW)
  • 不正侵入防止システム(IPS)と侵入検知システム(IDS)
  • ディープ パケット インスペクション(DPI)

このドキュメントのアーキテクチャでは、Cloud Load Balancing と、Google Cloud Marketplace のネットワーク アプライアンスを使用します。Cloud Marketplace では、エンタープライズ IT のニーズに応じて、ベンダーによるサポートがあり本番環境に対応した Google Cloud セキュリティ パートナーのネットワーク アプライアンスを提供します。

このドキュメントの説明は、VMware Engine ワークロード用にネットワーク接続を設計、プロビジョニング、管理するセキュリティ アーキテクトとネットワーク管理者を対象としています。このドキュメントは、Virtual Private Cloud(VPC)、VMware vSphere、VMware NSX、ネットワーク アドレス変換(NAT)、Cloud Load Balancing についての知識があることを前提としています。

アーキテクチャ

次の図は、オンプレミス ネットワークとインターネットから VMware Engine ワークロードへネットワーク接続するアーキテクチャを示しています。このドキュメントの後の部分では、特定のユースケースの要件を満たすようにこのアーキテクチャを拡張します。

VMware Engine ワークロードに対するネットワーク接続の基本アーキテクチャ。
図 1.VMware Engine ワークロードに対するネットワーク接続の基本アーキテクチャ。

図 1 には、次に挙げるこのアーキテクチャの主なコンポーネントが示されています。

  1. VMware Engine プライベート クラウド: 仮想マシン(VM)、ストレージ、ネットワーク インフラストラクチャ、VMware vCenter Server で構成される分離された VMware スタック。VMware NSX-T には、ワークロード ネットワーキングとセキュリティ機能(マイクロセグメンテーションやファイアウォール ポリシーなど)が用意されています。VMware Engine VM では、プライベート クラウドに作成したネットワーク セグメントの IP アドレスを使用します。
  2. パブリック IP アドレス サービス: インターネットからの上り(内向き)アクセスを可能にするため、VMware Engine VM に外部 IP アドレスを提供します。インターネット ゲートウェイにより、デフォルトで VMware Engine VM に下り(外向き)アクセスが提供されます。
  3. VMware Engine テナント VPC ネットワーク: すべての VMware Engine プライベート クラウドで使用される専用の Google マネージド VPC ネットワーク。これにより、Google Cloud サービスとの通信が可能になります。
  4. お客様の VPC ネットワーク:

    • お客様の VPC ネットワーク 1(外部): ネットワーク アプライアンスとロードバランサの公開インターフェースをホストする VPC ネットワーク。
    • お客様の VPC ネットワーク 2(内部): ネットワーク アプライアンスの内部インターフェースをホストし、プライベート サービス アクセス モデルを使用して VMware Engine のテナント VPC ネットワークとピアリングされる VPC ネットワーク。
  5. プライベート サービス アクセス: VPC ネットワーク ピアリングを使用して Google マネージド サービスと VPC ネットワーク間の接続を可能にするプライベート アクセス モデル。

  6. ネットワーク アプライアンス: Cloud Marketplace から選択して Compute Engine インスタンスにデプロイするネットワーキング ソフトウェア。

  7. Cloud Load Balancing: Google Cloud で高可用性を有する分散ワークロードへのトラフィック管理に使用できる Google マネージド サービス。トラフィック プロトコルとアクセス要件に合わせて、適切なロードバランサの種類を選択できます。このドキュメントのアーキテクチャでは、組み込みの NSX-T ロードバランサは使用しません。

設定に関する注意点

次の図では、VMware Engine ワークロードのネットワーク接続を提供するために必要なリソースを示します。

VMware Engine ワークロードに対するネットワーク接続に必要なリソース。
図 2.VMware Engine ワークロードに対するネットワーク接続に必要なリソース。

図 2 には、このアーキテクチャでリソースを設定および構成するために行う必要があるタスクが示されています。以下では、各タスクについて説明します。また、より詳細な説明や手順が書かれたドキュメントへのリンクも記載します。

  1. カスタムモード VPC ネットワークの作成の手順に沿って、外部および内部の VPC ネットワークとサブネットを作成します。

    • サブネットごとに、全 VPC ネットワークで一意の IP アドレス範囲を選択します。
    • アーキテクチャ図で示されている管理 VPC ネットワークは省略可能です。必要に応じて、これを使用してネットワーク アプライアンスの管理 NIC インターフェースをホストできます。
  2. Cloud Marketplace から、必要なネットワーク アプライアンスをデプロイします。

    • ネットワーク アプライアンスの高可用性を実現するには、2 つのゾーンに分散した VM のペアに各アプライアンスをデプロイします。

      ネットワーク アプライアンスは、インスタンス グループにデプロイできます。インスタンス グループは、管理やベンダー サポートの要件に応じて、マネージド インスタンス グループ(MIG)か非マネージド インスタンス グループになります。

    • ネットワーク インターフェースを次のようにプロビジョニングします。

      • 外部 VPC ネットワークの nic0 で、トラフィックを公開ソースに転送する。
      • nic1 を管理オペレーション用にする(アプライアンス ベンダーが必要とする場合)。
      • 内部 VPC ネットワークの nic2 を、VMware Engine リソースとの内部通信用にする。

      ネットワーク インターフェースを個別の VPC ネットワークにデプロイすると、セキュリティ ゾーンの分離をパブリック接続とオンプレミス接続のインターフェース レベルで確保できます。

  3. VMware Engine を設定します。

  4. プライベート サービス アクセスを使用して VPC ネットワーク ピアリングを設定し、内部 VPC ネットワークを VMware Engine が管理する VPC ネットワークに接続します。

  5. オンプレミス ネットワークへのハイブリッド接続が必要な場合は、Cloud VPNCloud Interconnect を使用します。

図 2 のアーキテクチャは、次のユースケース用に拡張できます。

ユースケース 使用されるプロダクトやサービス
一般向け VMware Engine ワークロード用の NGFW
  • Cloud Marketplace のネットワーク アプライアンス
  • 外部パススルー ネットワーク ロードバランサ
一般向け VMware Engine ワークロード用の NGFW、DDoS 軽減、SSL オフロード、コンテンツ配信ネットワーク(CDN)
  • Cloud Marketplace のネットワーク アプライアンス
  • 外部アプリケーション ロードバランサ
VMware Engine ワークロードと、オンプレミスのデータセンターまたは他のクラウド プロバイダとの間のプライベート通信用の NGFW
  • Cloud Marketplace のネットワーク アプライアンス
  • 内部パススルー ネットワーク ロードバランサ
VMware Engine ワークロードのインターネットへの一元化した下り(外向き)ポイント
  • Cloud Marketplace のネットワーク アプライアンス
  • 内部パススルー ネットワーク ロードバランサ

以降のセクションでは、これらのユースケースについて説明し、ユースケースを実装する構成タスクの概要を記載します。

一般向けワークロード用の NGFW

このユースケースには、次の要件があります。

  • 共通のフロントエンドとして L4 ロードバランサを持つ、VMware Engine インスタンスと Compute Engine インスタンスで構成されるハイブリッド アーキテクチャ。
  • IPS / IDS、NGFW、DPI、または NAT ソリューションを使用することによる公開 VMware Engine ワークロードの保護。
  • VMware Engine のパブリック IP アドレス サービスでサポートされる数以上のパブリック IP アドレス。

次の図では、一般向けの VMware Engine ワークロード用に NGFW をプロビジョニングするために必要なリソースを示します。

一般向けの VMware Engine ワークロード用に NGFW をプロビジョニングするために必要なリソース。
図 3 一般向けの VMware Engine ワークロード用に NGFW をプロビジョニングするために必要なリソース。

図 3 には、このアーキテクチャでリソースを設定および構成するために行う必要があるタスクが示されています。以下では、各タスクについて説明します。また、より詳細な説明や手順が書かれたドキュメントへのリンクも記載します。

  1. 外部 VPC ネットワークに、VMware Engine ワークロードの公開上り(内向き)エントリ ポイントとして外部パススルー ネットワーク ロードバランサをプロビジョニングします。

    • 複数の転送ルールを作成して、複数の VMware Engine ワークロードをサポートします。
    • それぞれに一意の IP アドレス 1 つと、TCP または UDP のポート番号 1 つを持つ転送ルールを構成します。
    • ネットワーク アプライアンスをロードバランサのバックエンドとして構成します。
  2. 転送ルールのパブリック IP アドレスを、VMware Engine 内の一般向けのアプリケーションをホストする VM の内部 IP アドレスに対して宛先 NAT(DNAT)を行うようにネットワーク アプライアンスを構成します。

    • ネットワーク アプライアンスは、対称の戻りパスを確保するために、nic2 インターフェースからのトラフィックに対してソース NAT(SNAT)を実行する必要があります。
    • ネットワーク アプライアンスは、nic2 インターフェースを介して VMware Engine ネットワークを宛先とするトラフィックを、サブネットのゲートウェイ(サブネットの最初の IP アドレス)に転送する必要もあります。
    • ヘルスチェックに合格するために、ネットワーク アプライアンスがセカンダリ インターフェースやループバック インターフェースを使用して、転送ルールの IP アドレスに応答する必要があります。
  3. VMware Engine トラフィックを、ネクストホップとしての VPC ネットワーク ピアリングに転送するように、内部 VPC ネットワークのルートテーブルを設定します。

この構成では、VMware Engine VM により、インターネット リソースへの下り(外向き)に VMware Engine のインターネット ゲートウェイ サービスが使用されます。ただし、VM にマッピングされたパブリック IP アドレスに向かう上り(内向き)は、ネットワーク アプライアンスによって管理されます。

NGFW、DDoS 軽減、SSL オフロード、CDN

このユースケースには、次の要件があります。

  • 共通のフロントエンドとして L7 ロードバランサと、トラフィックを適切なバックエンドに転送する URL マッピングがある、VMware Engine インスタンスと Compute Engine インスタンスで構成されるハイブリッド アーキテクチャ。
  • IPS / IDS、NGFW、DPI、または NAT ソリューションを使用することによる公開 VMware Engine ワークロードの保護。
  • Google Cloud Armor を使用することによる、VMware Engine パブリック ワークロードの L3 - L7 の DDoS 軽減。
  • Google マネージド SSL 証明書または SSL ポリシーを使用した SSL 終端により、HTTPS に使用される SSL のバージョンと暗号を制御するか、公開 VMware Engine ワークロードへ SSL 接続する。
  • Cloud CDN を使用してユーザーに近いロケーションからコンテンツを提供することで、VMware Engine ワークロードのネットワーク配信を高速化する。

次の図では、一般向け VMware Engine ワークロードの NGFW 機能、DDoS 軽減、SSL オフロード、CDN をプロビジョニングするために必要なリソースを示します。

一般向けの VMware Engine ワークロードに NGFW、DDoS 軽減、SSL オフロード、CDN をプロビジョニングするために必要なリソース。
図 4.一般向け VMware Engine ワークロードに NGFW、DDoS 軽減、SSL オフロード、CDN をプロビジョニングするために必要なリソース。

図 4 には、このアーキテクチャでリソースを設定および構成するために行う必要がある必要があるタスクが示されています。以下では、各タスクについて説明します。また、より詳細な説明や手順が書かれたドキュメントへのリンクも記載します。

  1. 外部 VPC ネットワークに、VMware Engine ワークロードの公開上り(内向き)エントリ ポイントとしてグローバル外部アプリケーション ロードバランサをプロビジョニングします。

    • 複数の転送ルールを作成して、複数の VMware Engine ワークロードをサポートします。
    • 各転送ルールには、一意のパブリック IP アドレスを 1 つ構成して、HTTP(S) トラフィックをリッスンするように設定します。
    • ネットワーク アプライアンスをロードバランサのバックエンドとして構成します。

    また、次の操作が可能です。

    • ネットワーク アプライアンスを保護するには、ロードバランサに Google Cloud Armor セキュリティ ポリシーを設定します。
    • CDN バックエンドとして機能するネットワーク アプライアンスのルーティング、ヘルスチェック、エニーキャスト IP アドレスをサポートするには、ネットワーク アプライアンスをホストする MIG の Cloud CDN を設定します。
    • リクエストを別のバックエンドに転送するには、ロードバランサに URL マッピングを設定します。たとえば、/api へのリクエストは Compute Engine VM に転送し、/images へのリクエストは Cloud Storage バケットに転送し、/app へのリクエストはネットワーク アプライアンスを介して VMware Engine VM に転送します。
  2. 各ネットワーク アプライアンスを構成して、宛先 NAT(DNAT)で、nic0 インターフェースの内部 IP アドレスを、VMware で一般向けのアプリケーションをホストする VM の内部 IP アドレスに変換するようにします。

    • ネットワーク アプライアンスでは、nic2 インターフェース(内部 IP アドレス)からのソース トラフィックに SNAT を実行して、対称の戻りパスを確保する必要があります。
    • また、ネットワーク アプライアンスは、nic2 インターフェースを介して VMware Engine ネットワークを宛先とするトラフィックを、サブネット ゲートウェイ(サブネットの最初の IP アドレス)に転送する必要もあります。

    ロードバランサは Google Front End(GFE)サービスに実装されるプロキシベースのサービスであるため、DNAT 手順が必要です。クライアントのロケーションに応じて、複数の GFE がバックエンド ネットワーク アプライアンスの内部 IP アドレスへの HTTP(S) 接続を開始できます。GFE からのパケットには、元のクライアント IP アドレスではなく、ヘルスチェック プローブに使用されるのと同じ範囲の送信元 IP アドレス(35.191.0.0/16 と 130.211.0.0/22)があります。ロードバランサは、X-Forwarded-For ヘッダーを使用してクライアント IP アドレスを追加します。

    ヘルスチェックに合格するため、セカンダリまたはループバック インターフェースを使用して、転送ルールの IP アドレスに応答するようにネットワーク アプライアンスを構成します。

  3. VMware Engine トラフィックを、VPC ネットワーク ピアリングに転送するように、内部 VPC ネットワークのルートテーブルを設定します。

    この構成では、VMware Engine VM により、インターネットへの下り(外向き)に VMware Engine のインターネット ゲートウェイ サービスが使用されます。ただし、VM のパブリック IP アドレスに向かう上り(内向き)は、ネットワーク アプライアンスによって管理されます。

プライベート接続用の NGFW

このユースケースには、次の要件があります。

  • 共通のフロントエンドとして L4 ロードバランサを持つ、VMware Engine インスタンスと Compute Engine インスタンスで構成されるハイブリッド アーキテクチャ。
  • IPS / IDS、NGFW、DPI、NAT ソリューションを使用した、プライベート VMware Engine ワークロードの保護。
  • オンプレミス ネットワークとの接続用の Cloud Interconnect または Cloud VPN。

次の図では、VMware Engine ワークロードと、オンプレミス ネットワークや他のクラウド プロバイダとの間のプライベート接続用に、NGFW をプロビジョニングするために必要なリソースを示します。

プライベート接続用の NGFW をプロビジョニングするために必要なリソース。
図 5. VMware Engine ワークロードへのプライベート接続用に NGFW をプロビジョニングするために必要なリソース。

図 5 には、このアーキテクチャでリソースを設定および構成するために行う必要があるタスクが示されています。以下では、各タスクについて説明します。また、より詳細な説明や手順が書かれたドキュメントへのリンクも記載します。

  1. 外部 VPC ネットワークに、内部パススルー ネットワーク ロードバランサをプロビジョニングし、単一の転送ルールすべてのトラフィックをリッスンします。ネットワーク アプライアンスをロードバランサのバックエンドとして構成します。

  2. VMware Engine ネットワーク宛てのトラフィックのネクストホップとして転送ルールを指すように、外部 VPC ネットワークのルートテーブルを設定します。

  3. ネットワーク アプライアンスを次のように構成します。

    • VMware Engine ネットワークを宛先とするトラフィックは、nic2 インターフェースを介してサブネット ゲートウェイ(サブネットの最初の IP アドレス)に転送します。
    • ヘルスチェックに合格するため、セカンダリまたはループバック インターフェースを使用して、転送ルールの IP アドレスに応答するようにネットワーク アプライアンスを構成します。
    • 内部ロードバランサに対するヘルスチェックに合格できるように、複数の仮想ルーティング ドメインを構成して、適切なルーティングが行われるようにします。この手順は、nic2 インターフェースがパブリック範囲(35.191.0.0/16 と 130.211.0.0/22)から送信されたヘルスチェック トラフィックを返し、ネットワーク アプライアンスのデフォルト ルートが nic0 インターフェースを指すことができるようにするために必要です。ロードバランサのヘルスチェックの IP 範囲の詳細については、プローブ IP 範囲とファイアウォール ルールをご覧ください。
  4. 内部 VPC ネットワークのルートテーブルを設定して、VPC ネットワーク ピアリングをネクストホップとして VMware Engine トラフィックを転送するようにします。

  5. 返されたトラフィックの場合や、VMware Engine からリモート ネットワークに対して開始されたトラフィックの場合は、内部 パススルーネットワーク ロードバランサを、VPC ネットワーク ピアリング経由でプライベート サービス アクセス VPC ネットワークにアドバタイズされるネクストホップとして構成します。

インターネットへの一元化された下り(外向き)

このユースケースには、次の要件があります。

  • インターネットへの下り(外向き)に対する一元化された URL フィルタリング、ロギング、トラフィック適用。
  • Cloud Marketplace のネットワーク アプライアンスを使用した、VMware Engine ワークロードのカスタマイズされた保護。

次の図では、VMware Engine ワークロードからインターネットへの一元化された下り(外向き)ポイントをプロビジョニングするために必要なリソースを示します。

インターネットへの一元化された下り(外向き)をプロビジョニングするために必要なリソース。
図 6. VMware Engine ワークロードのインターネットへの一元化された下り(外向き)をプロビジョニングするために必要なリソース。

図 6 には、このアーキテクチャでリソースを設定および構成するために行う必要があるタスクが示されています。以下では、各タスクについて説明します。また、より詳細な説明や手順が書かれたドキュメントへのリンクも記載します。

  1. 内部 VPC ネットワークの内部パススルー ネットワーク ロードバランサを、VMware Engine ワークロードの下り(外向き)エントリ ポイントとしてプロビジョニングします。

  2. パブリック IP アドレス(nic0)からのトラフィックを SNAT 処理するように、ネットワーク アプライアンスを構成します。ヘルスチェックに合格するため、ネットワーク アプライアンスでは、セカンダリ インターフェースまたはループバック インターフェースを使用して、転送ルールの IP アドレスに応答する必要があります。

  3. 内部 VPC ネットワークを構成して、デフォルト ルートを VPC ネットワーク ピアリングを介してプライベート サービス アクセス VPC ネットワークにアドバタイズし、内部ロードバランサの転送ルールをネクストホップとするようにします。

  4. インターネット ゲートウェイではなくネットワーク アプライアンスを介して下り(外向き)トラフィックを許可するため、オンプレミス接続を介したインターネット トラフィックのルーティングを有効にする場合と同じプロセスを使用します。

次のステップ