このページは Cloud Translation API によって翻訳されました。

Cloud NGFW の概要

Cloud Next Generation Firewall は、ワークロードを保護できる分散型ファイアウォールサービスです。 Cloud de Confiance by S3NS ワークロードには、 Cloud de Confiance で実行されるアプリケーションとサービス、またはCloud de Confiance リソースを使用するアプリケーションとサービスが含まれます。Cloud NGFW を使用すると、パブリックインターネットからの外部の脅威と、独自のネットワーク内の内部の脅威からワークロードを保護できます。

Cloud NGFW には次の利点があります。

分散ファイアウォールサービス。Cloud NGFW は、ネットワーク内の各ワークロードにファイアウォールルールを適用し、すべての受信接続と送信接続で脅威をチェックします。

このアプローチでは、ファイアウォールサービスが宛先に到達する前に各接続を検証するゼロトラストセキュリティフレームワークを設定します。ネットワークのワークロードが侵害された場合、Cloud NGFW は他のワークロードとの間で送受信される接続をすべて検証することで、他のワークロードの安全を確保します。
構成とデプロイの簡素化。Cloud NGFW は、リソース階層ノードに接続できるネットワークと階層型ファイアウォールポリシーを実装します。これらのポリシーにより、Cloud de Confiance リソース階層全体で一貫性のあるファイアウォールエクスペリエンスが提供されます。
きめ細かい制御とマイクロセグメンテーション。Cloud NGFW を使用すると、ネットワークトラフィックを詳細に制御できます。これは、ファイアウォールポリシーとセキュアタグを組み合わせることで実現されます。

このアプローチにより、単一の仮想マシン（VM）に対してもネットワークトラフィックを正確に制御できます。Cloud NGFW は、 Cloud de Confiance に出入りするトラフィック（North-South トラフィック）と、 Cloud de Confiance内のアプリケーションとサービス間のトラフィック（East-West トラフィック）を管理するのに役立ちます。この制御は、Virtual Private Cloud（VPC）ネットワークと組織に適用されます。

Cloud NGFW は次の階層で使用できます。

Cloud Next Generation Firewall Essentials
Cloud Next Generation Firewall Standard

Cloud NGFW には、これらの階層の上に追加できる追加機能も用意されています。

Cloud NGFW Essentials

Cloud NGFW Essentials は、 Cloud de Confianceが提供する基本的なファイアウォールサービスです。主な特長と機能は次のとおりです。

グローバルネットワークファイアウォールポリシーとリージョンネットワークファイアウォールポリシーによって、ファイアウォールルールを、すべてのリージョンまたは特定のリージョンに適用される 1 つのポリシーオブジェクトにグループ化できます。
セキュアタグとネットワークファイアウォールポリシーを組み合わせることで、Cloud de Confiance リソースのマイクロセグメンテーションときめ細かい制御を実現できます。セキュアタグは、一意の ID と厳格な IAM 制御によって一元管理されます。これらのセキュアタグをネットワークファイアウォールポリシールール内で参照することで、リージョンとネットワーク全体でより緊密かつ均一なアクセス制御を行うことができます。
アドレスグループは、複数の IP アドレスと IP 範囲を 1 つの名前付き論理単位に結合します。上り（内向き）と下り（外向き）の制御について、複数のファイアウォールルールで同じアドレスグループを参照できます。
ネットワークタグとサービスアカウントを使用する VPC ファイアウォールルールは、ネットワークレベルで受信トラフィックと送信トラフィックをフィルタします。

Cloud NGFW Standard

Cloud NGFW Standard は、Cloud NGFW Essentials の機能を拡張し、悪意のある攻撃からクラウドインフラストラクチャを保護する高度な機能を提供します。

App Engine スタンダード環境には次の機能が含まれています。

ファイアウォールポリシールールの完全修飾ドメイン名（FQDN）オブジェクトは、特定のドメインとの間で送受信されるトラフィックをフィルタリングします。ドメイン名に関連付けられた IP アドレスは、トラフィックの方向に基づいてトラフィックの送信元または宛先と照合されます。
ファイアウォールポリシールールで位置情報オブジェクトを使用すると、特定の地理的位置またはリージョンに基づいて外部の IPv4 および IPv6 のトラフィックをフィルタできます。

その他の機能

Cloud NGFW は、Cloud NGFW Essentials 階層と Cloud NGFW Standard 階層で利用可能な機能に加えて、次の機能を備えています。

階層型ファイアウォールポリシールールは、組織全体で一貫したファイアウォールポリシーを作成して適用します。階層型ファイアウォールポリシーを組織全体に割り当てることができます。
ファイアウォールルールロギングを使用すると、ファイアウォールルールが意図したとおりに使用されているかどうかを確認できます。

次のステップ

Cloud de Confiance と Google Cloud の Cloud NGFW の違いについて学習する。

ファイアウォールポリシールール