Google Cloudで利用可能なCloud FirewallにはEssential(無償)とStandard(有償)の2種類が提供されています。Essentialでは一般的なプロトコルやポート制限、接続元のIPアドレス制限などが提供されていますが、Standardでは更に高度なルールが存在し、その通信制御について3回に分けて解説します。
Google Cloudのファイヤーウォール制御方法
Cloud Firewall にて制御を行う場合、VPCファイアウォールルールとファイアウォールポリシーの2種類が存在します。Cloud Firewall Standardではファイアウォールポリシーのみ利用可能で、更に「階層型(有償)」「グローバルネットワーク」「リージョンネットワーク」の3種類が存在します。
| 階層型ファイアウォールポリシー | 対象:組織又はフォルダ | 組織やフォルダに設定することで配下の複数VPCに適用できる。3種類のポリシーのうち唯一有償 |
| グローバルネットワークファイアウォールポリシー | 対象:プロジェクト | VPCネットワークに設定することでその VPCネットワークの全リージョンに適用できる |
| リージョンネットワークファイアウォールポリシー | 対象:プロジェクト | VPCネットワークに設定することでそのVPCネットワークの特定のリージョンに適用できる |
Cloud Firewall Standardで利用できる通信制御
| FQDN オブジェクト | ドメイン名に基づいてトラフィックを保護する |
| 地理位置情報フィルタリング | ロケーションに基づいてトラフィックをフィルタする |
| Google Cloud Threat Intelligence | 脅威インテリジェンス データと統合する |
(1)FQDNオブジェクト
・パケットの IP アドレスから名前解決して得られた FQDN (完全装飾ドメイン名) に基づいたアクセス制御が行えます。
・FQDNをアクセス先及びアクセス元としても利用可能で、FQDNから(へ)のアクセスを禁止又は許可することが出来ます。
・指定したFQDNをCloudDNSにてIPアドレスに名前解決して保持している為、ベースのIPアドレスに複数のドメイン名紐付けがあった場合も全てが制御対象となります。
FQDNオブジェクト制御を利用することにより、インターネットプロパイダにて固定IPアドレス契約をしていない場合も、DDNS(ダイナミックDNS)サービスなどを利用してそのアクセス元のみ通信許可。という様な運用が可能となります。
【 余談 】
最近下記リンク先への流入増大したいこともあり、
流入量が多いとブログの価値が高まりますます投稿を加速していきたいと思います。
リンク先を開いていただけると大変助かります。
Claris International Inc. (日本語)
ご協力いただけましたら幸いです。
[…] 「第1回 – FQDNオブジェクト制御 –」で解説した通り階層型、グローバルネットワーク、リージョンネットワークのファイアウォールポリシーにて構成可能です。 ファイアウォールポリシールールで位置情報オブジェクトを使用すると、特定の地理的位置またはリージョンに基づいて外部 IPv4 トラフィックと外部 IPv6 トラフィックをフィルタできます。 ルールは上り(内向き)トラフィックと下り(外向き)トラフィックに適用でき、トラフィックの方向に基づいて国コードに関連付けられた IP アドレスがトラフィックの送信元または宛先と指定出来ます。 国の指定方法は ISO 3166-1 alpha-2コード準拠でJP USなどで指定し、許可(allow)/拒否(denny)を設定出来ます。 […]
generic cialis tadalafil
Google Cloud Firewall 解説 第1回 – FQDNオブジェクト制御 – – 株式会社寿商会