Google Cloudで利用可能なCloud FirewallにはEssential(無償)とStandard(有償)の2種類が提供されています。Essentialでは一般的なプロトコルやポート制限、接続元のIPアドレス制限などが提供されていますが、Standardでは更に高度なルールが存在し、その通信制御について3回に分けて解説します。
Google Cloudのファイヤーウォール制御方法
Cloud Firewall にて制御を行う場合、VPCファイアウォールルールとファイアウォールポリシーの2種類が存在します。Cloud Firewall Standardではファイアウォールポリシーのみ利用可能で、更に「階層型(有償)」「グローバルネットワーク」「リージョンネットワーク」の3種類が存在します。
| 階層型ファイアウォールポリシー | 対象:組織又はフォルダ | 組織やフォルダに設定することで配下の複数VPCに適用できる。3種類のポリシーのうち唯一有償 |
| グローバルネットワークファイアウォールポリシー | 対象:プロジェクト | VPCネットワークに設定することでその VPCネットワークの全リージョンに適用できる |
| リージョンネットワークファイアウォールポリシー | 対象:プロジェクト | VPCネットワークに設定することでそのVPCネットワークの特定のリージョンに適用できる |
Cloud Firewall Standardで利用できる通信制御
| FQDN オブジェクト | ドメイン名に基づいてトラフィックを保護する |
| 地理位置情報フィルタリング | ロケーションに基づいてトラフィックをフィルタする |
| Google Cloud Threat Intelligence | 脅威インテリジェンス データと統合する |
(1)FQDNオブジェクト
・パケットの IP アドレスから名前解決して得られた FQDN (完全装飾ドメイン名) に基づいたアクセス制御が行えます。
・FQDNをアクセス先及びアクセス元としても利用可能で、FQDNから(へ)のアクセスを禁止又は許可することが出来ます。
・指定したFQDNをCloudDNSにてIPアドレスに名前解決して保持している為、ベースのIPアドレスに複数のドメイン名紐付けがあった場合も全てが制御対象となります。
FQDNオブジェクト制御を利用することにより、インターネットプロパイダにて固定IPアドレス契約をしていない場合も、DDNS(ダイナミックDNS)サービスなどを利用してそのアクセス元のみ通信許可。という様な運用が可能となります。
【 余談 】
最近下記リンク先への流入増大したいこともあり、
流入量が多いとブログの価値が高まりますます投稿を加速していきたいと思います。
リンク先を開いていただけると大変助かります。
Claris International Inc. (日本語)
ご協力いただけましたら幸いです。