Cloud Next Generation Firewall は、ワークロードを保護できる分散型ファイアウォール サービスです。 Google Cloud ワークロードには、 Google Cloud で実行されるアプリケーションとサービス、またはGoogle Cloud リソースを使用するアプリケーションとサービスが含まれます。Cloud NGFW を使用すると、パブリック インターネットからの外部の脅威と、独自のネットワーク内の内部の脅威からワークロードを保護できます。
Cloud NGFW には次の利点があります。
分散ファイアウォール サービス。Cloud NGFW は、ネットワーク内の各ワークロードにファイアウォール ルールを適用し、すべての受信接続と送信接続で脅威をチェックします。
このアプローチでは、ファイアウォール サービスが宛先に到達する前に各接続を検証するゼロトラスト セキュリティ フレームワークを設定します。ネットワークのワークロードが侵害された場合、Cloud NGFW は他のワークロードとの間で送受信されるすべての接続を検証することで、他のワークロードの安全を確保します。
構成とデプロイの簡素化。Cloud NGFW は、リソース階層ノードに接続できるネットワークと階層型ファイアウォール ポリシーを実装します。これらのポリシーにより、Google Cloud リソース階層全体で一貫性のあるファイアウォール エクスペリエンスが提供されます。
きめ細かい制御とマイクロセグメンテーション。Cloud NGFW を使用すると、ネットワーク トラフィックを詳細に制御できます。これは、ファイアウォール ポリシーとセキュアタグを組み合わせることで実現されます。
このアプローチにより、単一の仮想マシン(VM)に対してもネットワーク トラフィックを正確に制御できます。Cloud NGFW は、 Google Cloud に出入りするトラフィック(North-South トラフィック)と、 Google Cloud内のアプリケーションとサービス間のトラフィック(East-West トラフィック)を管理するのに役立ちます。この制御は、Virtual Private Cloud(VPC)ネットワークと組織に適用されます。
Cloud NGFW は次の階層で使用できます。
- Cloud Next Generation Firewall Essentials
- Cloud Next Generation Firewall Standard
- Cloud Next Generation Firewall Enterprise
Cloud NGFW には、これらの階層の上に追加できる追加機能も用意されています。ファイアウォール階層の料金と追加機能の詳細については、Cloud NGFW の料金をご覧ください。
Cloud NGFW Essentials
Cloud NGFW Essentials は、 Google Cloudが提供する基本的なファイアウォール サービスです。主な特長と機能は次のとおりです。
グローバル ネットワーク ファイアウォール ポリシーとリージョン ネットワーク ファイアウォール ポリシーによって、ファイアウォール ルールを、すべてのリージョンまたは特定のリージョンに適用される 1 つのポリシー オブジェクトにグループ化できます。
セキュアタグとネットワーク ファイアウォール ポリシーを組み合わせることで、Google Cloud リソースのマイクロセグメンテーションときめ細かい制御を実現できます。セキュアタグは、一意の ID と厳格な IAM 制御によって一元管理されます。これらのセキュアタグをネットワーク ファイアウォール ポリシー ルール内で参照することで、リージョンとネットワーク全体でより緊密かつ均一なアクセス制御を行うことができます。
アドレス グループは、複数の IP アドレスと IP 範囲を 1 つの名前付き論理単位に結合します。上り(内向き)と下り(外向き)の制御について、複数のファイアウォール ルールで同じアドレス グループを参照できます。
ネットワーク タグとサービス アカウントを使用する VPC ファイアウォール ルールは、ネットワーク レベルで受信トラフィックと送信トラフィックをフィルタします。
Cloud NGFW Standard
Cloud NGFW Standard は、Cloud NGFW Essentials の機能を拡張し、悪意のある攻撃からクラウド インフラストラクチャを保護する高度な機能を提供します。
App Engine スタンダード環境には次の機能が含まれています。
ファイアウォール ポリシールールの完全修飾ドメイン名(FQDN)オブジェクトは、特定のドメインとの間で送受信されるトラフィックをフィルタリングします。ドメイン名に関連付けられた IP アドレスは、トラフィックの方向に基づいてトラフィックの送信元または宛先と照合されます。
ファイアウォール ポリシー ルールで位置情報オブジェクトを使用すると、特定の地理的位置またはリージョンに基づいて外部の IPv4 および IPv6 のトラフィックをフィルタできます。
- ファイアウォール ポリシールールの Google Threat Intelligence を使用すると、Google Threat Intelligence のデータリストに基づいてトラフィックを許可またはブロックすることで、ネットワークを保護できます。
Cloud NGFW Enterprise
Cloud Next Generation Firewall Enterprise は、脅威や悪意のある攻撃からワークロードを保護する高度なレイヤ 7 セキュリティ機能を提供します。 Google Cloud
Cloud Next Generation Firewall Enterprise には、Transport Layer Security(TLS)のインターセプトと復号を行うシグネチャベースの侵入検知と防止サービスが含まれています。このサービスは、ネットワーク上でマルウェア、スパイウェア、コマンド アンド コントロール攻撃などの脅威を検知し、攻撃を未然に防止します。
その他の機能
Cloud NGFW は、Cloud NGFW Essentials、Cloud NGFW Standard、Cloud NGFW Enterprise の各階層で利用可能な機能に加えて、次の機能を備えています。
階層型ファイアウォール ポリシールールは、組織全体で一貫したファイアウォール ポリシーを作成して適用します。階層型ファイアウォール ポリシーは、組織全体または個々のフォルダに割り当てることができます。
ファイアウォール ルールロギングを使用すると、ファイアウォール ルールが意図したとおりに使用されているかどうかを確認できます。