Google Cloud Firewall 解説 第1回 – FQDNオブジェクト制御 –

Google Cloudで利用可能なCloud FirewallにはEssential(無償)とStandard(有償)の2種類が提供されています。Essentialでは一般的なプロトコルやポート制限、接続元のIPアドレス制限などが提供されていますが、Standardでは更に高度なルールが存在し、その通信制御について3回に分けて解説します。

Google Cloudのファイヤーウォール制御方法

Cloud Firewall にて制御を行う場合、VPCファイアウォールルールとファイアウォールポリシーの2種類が存在します。Cloud Firewall Standardではファイアウォールポリシーのみ利用可能で、更に「階層型(有償)」「グローバルネットワーク」「リージョンネットワーク」の3種類が存在します。

階層型ファイアウォールポリシー 対象:組織又はフォルダ 組織やフォルダに設定することで配下の複数VPCに適用できる。3種類のポリシーのうち唯一有償
グローバルネットワークファイアウォールポリシー 対象:プロジェクト VPCネットワークに設定することでその VPCネットワークの全リージョンに適用できる
リージョンネットワークファイアウォールポリシー 対象:プロジェクト VPCネットワークに設定することでそのVPCネットワークの特定のリージョンに適用できる

Cloud Firewall Standardで利用できる通信制御

FQDN オブジェクト ドメイン名に基づいてトラフィックを保護する
地理位置情報フィルタリング ロケーションに基づいてトラフィックをフィルタする
Google Cloud Threat Intelligence 脅威インテリジェンス データと統合する

(1)FQDNオブジェクト

・パケットの IP アドレスから名前解決して得られた FQDN (完全装飾ドメイン名) に基づいたアクセス制御が行えます。
・FQDNをアクセス先及びアクセス元としても利用可能で、FQDNから(へ)のアクセスを禁止又は許可することが出来ます。
・指定したFQDNをCloudDNSにてIPアドレスに名前解決して保持している為、ベースのIPアドレスに複数のドメイン名紐付けがあった場合も全てが制御対象となります。

FQDNオブジェクト制御を利用することにより、インターネットプロパイダにて固定IPアドレス契約をしていない場合も、DDNS(ダイナミックDNS)サービスなどを利用してそのアクセス元のみ通信許可。という様な運用が可能となります。

 

【 余談 】
最近下記リンク先への流入増大したいこともあり、
流入量が多いとブログの価値が高まりますます投稿を加速していきたいと思います。
リンク先を開いていただけると大変助かります。
Claris International Inc. (日本語)
ご協力いただけましたら幸いです。