Google Cloudで利用可能なCloud FirewallにはEssential(無償)とStandard(有償)の2種類が提供されています。Essentialでは一般的なプロトコルやポート制限、接続元のIPアドレス制限などが提供されていますが、Standardでは更に高度なルールが存在しその通信制御について3回に分けて解説します。
(3)脅威インテリジェンス
「第1回 – FQDNオブジェクト制御 –」で解説した通り階層型、グローバルネットワーク、リージョンネットワークのファイアウォールポリシーにて構成可能です。
脅威インテリジェンス制御は悪意のあるトラフィックを特定してブロックし既知の良好なトラフィックを許可するために役立ちます。
この機能ではGoogle、サードパーティ、オープンソースのデータベースから得られた脅威インテリジェンス データのキュレート済みリストを使用し、ファイアウォール ルールを強化します。
これらのリストは Google Cloud によって管理され、Google、サードパーティ、オープンソースのさまざまなフィードからデータを集約しています。このリストは継続的に更新されています。
脅威インテリジェンス データに基づいてトラフィックを許可またはブロックすることで、ネットワークを保護できます。脅威インテリジェンス データには、次のカテゴリに基づく IP アドレスのリストが含まれます。
| Tor 終了ノード | 匿名通信を可能にするオープンソース ソフトウェアです。自分の ID を非表示にしたユーザーを除外するには、Tor の出口ノードの IP アドレス(トラフィックが Tor ネットワークから出るエンドポイント)をブロックします。 |
| 既知の悪意のある IP アドレス | ウェブ アプリケーションに対する攻撃の発生源として知られている IP アドレス。アプリケーションのセキュリティを改善するには、これらの IP アドレスをブロックします。 |
| 検索エンジン | サイトのインデックス登録を許可できる IP アドレス |
| パブリック クラウド IP アドレス範囲 | このカテゴリは、悪意のある自動ツールがウェブ アプリケーションを閲覧しないようにブロックできます。ご使用のサービスが他のパブリック クラウドを使用している場合は許可できます。このカテゴリは、さらに次のサブカテゴリに分類されます。 ・アマゾン ウェブ サービス(AWS)で使用される IP アドレス範囲 ・Microsoft Azure で使用される IP アドレス範囲 ・Google Cloud で使用される IP アドレス範囲 |
まとめ
・脅威インテリジェンスのデータリストには、IPv4 アドレス、IPv6 アドレス、またはその両方を含めることができます。
・脅威インテリジェンス制御を利用する事により、既知の不正な IP アドレスをブロックし、攻撃者がネットワークに侵入するのを防止できます。
・また、検索エンジンのクローラなど信頼できるソースからの正常なトラフィックは許可できます。
