こんにちは。
Cloud Next Generation Firewall（以下、Cloud NGFW）がリリースされて以降、いくつかの機能が追加がされており、
さらに、2023/09/27 に「FQDN オブジェクト」も GA となったことで、Cloud NGFW Standard で実現できる機能が増えております。

今回は「Cloud NGFW Standard」で提供される下記の機能について検証していきたいと思います。

• FQDN オブジェクト
• 位置情報のフィルタリング
• Google Cloud Threat Intelligence

１．Cloud NGFW とは

Google Cloud ワークロードを広範囲かつ高度な機能で保護する完全分散型のファイアウォール サービスです。
マネージド サービスのため、インフラの管理の考慮が不要です。

Cloud NGFW には3つの料金ティアがあり、それぞれ利用できる機能に違いがあります。
（2024年6月時点の情報のため、最新情報は公式ドキュメントをご確認ください。）

※ 「侵入防止システム( IPS )」についてはこちらのブログで検証していますので、あわせてご参照ください。

２．Cloud NGFW Standard で利用できる機能について

Cloud NGFW Standard では、Essentials で提供される基本的な機能に加え、以下の機能が利用できます。

３．Cloud NGFW Standard の利用料金について

Cloud NGFW Standard の利用料金は、処理したトラフィック量に対する従量課金となります。

それでは検証環境を準備します。
今回は、位置情報による検証も行うため「東京リージョン」と「US リージョン(us-central1)」にそれぞれ１台ずつ Compute Engine を用意しました。
それぞれ、エフェメラル外部 IP アドレス を割り当てて、インターネットに直接接続できるようにします。
なお、Compute Engine 同士が内部通信経由でアクセスできないよう、別の VPC を準備しています。

構成概要図

環境準備

① 権限準備
作業アカウントに下記のロールが付与されていることを確認します。

• Compute セキュリティ管理者 (roles/compute.securityAdmin)
• Compute ネットワーク管理者 (roles/compute.networkAdmin)
• Compute インスタンス管理者（v1） (roles/compute.instanceAdmin.v1)

② 検証用の Compute Engine を作成します。
東京リージョン側の Compute Engine には Web サーバ (Apache) をあらかじめインストールし、「index.html」が閲覧できる状態にします。

・ 東京リージョン (asia-northeast1)
・ US リージョン (us-central1)
③ ファイアウォール ポリシーの作成
以下の内容でファイアウォール ポリシーを作成します。

Google Cloud コンソールの場合：
ナビゲーション メニューから 「ネットワーク セキュリティ」＞「ファイアウォール ポリシー」を選択し、「ファイアウォール ポリシーの作成」を選択します。その後、ウィザードに沿って、作成した「ファイアウォール ポリシー」を VPC に割り当てます。

gcloud CLI の場合：

gcloud compute network-firewall-policies create \

    ngfw-standard-filter \

    --region=asia-northeast1



gcloud compute network-firewall-policies associations create \

    --firewall-policy ngfw-standard-filter \

    --network (ポリシーを割り当てる VPC 名) \

    --firewall-policy-region=asia-northeast1

④ ファイアウォール ポリシーにルールを作成します。
現時点では「許可」にてルールを作成し、検証時に「拒否」へ変更してフィルタの効果を確認します。

Google Cloud コンソールの場合：
作成した「ファイアウォール ポリシー」を選択し、「ルールの追加」をクリックしてそれぞれのルールを作成します。

gcloud CLI の場合：

gcloud compute network-firewall-policies rules create 2000 \

    --action allow \

    --firewall-policy ngfw-standard-filter \

    --description "特定サイト向けのアクセスを拒否" \

    --layer4-configs=all \

    --direction EGRESS \

    --src-ip-ranges 0.0.0.0/0 \

    --dest-fqdns (アクセスを拒否するサイト) \

    --enable-logging \

    --firewall-policy-region=asia-northeast1



gcloud compute network-firewall-policies rules create 2002 \

    --action deny \

    --firewall-policy ngfw-standard-filter \

    --description "特定ロケーションからのアクセスを拒否" \

    --layer4-configs=all \

    --direction INGRESS \

    --src-ip-ranges 0.0.0.0/0 \

    --src-region-codes JP \

    --enable-logging \

    --firewall-policy-region=asia-northeast1



gcloud compute network-firewall-policies rules create 2001 \

    --action deny \

    --firewall-policy ngfw-standard-filter \

    --description "特定カテゴリからのアクセスを拒否" \

    --layer4-configs=all \

    --direction INGRESS \

    --src-ip-ranges 0.0.0.0/0 \

    --src-threat-intelligence iplist-public-clouds \

    --enable-logging \

    --firewall-policy-region=asia-northeast1

以上で 「ファイアウォール ポリシー」 の準備ができました。

それでは早速検証してみましょう。

１．FQDNオブジェクトによるフィルタ

特定サイトを FQDN 指定でアクセス拒否することで、フィルタ効果の検証を行います。

１－１：該当のサイトへアクセスします。
今回は本サイト (Sight-R：サイタル) を対象に、アクセス制御を検証します。
フィルタリング ルール #1 が「許可」となっている場合は、正常にアクセスができます。

１－２：フィルタリング ルール #1 を 「許可」から「拒否」へと変更します。

Google Cloud コンソールの場合：
ナビゲーション メニュー より、[ネットワーク セキュリティ] – [ファイアウォール ポリシー] – [ネットワーク ファイアウォール ポリシー] を選択し、(ファイアウォール ポリシー名)から、該当のルール(優先度)のアクション を「許可 → 拒否」へ変更する。

gcloud CLI の場合：

gcloud compute network-firewall-policies rules update (該当のルール(優先度)) \

    --firewall-policy (ファイアウォール ポリシー名) \

    --firewall-policy-region=asia-northeast1 \

    --action deny

１－３：再度、該当のサイトへアクセスします。
フィルタリング ルール #1 を「拒否」に変更すると、アクセスがタイムアウトになることが確認できます。
また、Cloud Logging にも 拒否ログが記録されていました。

• Cloud Logging 該当ログ

１－４：検証結果
FQDN オブジェクトで指定した場合も、アクセス制御が機能していることが確認できました。
logging の状況から推測すると、FQDN から IP アドレスを問い合わせた後、フィルタをかけているようですね。

２．位置情報オブジェクトによるフィルタ

特定ロケーションからのアクセス拒否することで、フィルタ効果の検証を行います。

２－１：該当のサイトへアクセスします。
今回は日本からのアクセスを対象に、フィルタを制御します。
フィルタリング ルール #2 が「許可」となっている場合は、正常にアクセスができます。

• 東京リージョン → 東京リージョン

• USリージョン → 東京リージョン

２－２：フィルタリング ルール #2 を 「許可」から「拒否」へと変更します。

Google Cloud コンソールの場合：
ナビゲーション メニュー より、[ネットワーク セキュリティ] – [ファイアウォール ポリシー] – [ネットワーク ファイアウォール ポリシー] を選択し、(ファイアウォール ポリシー名)から、該当のルール(優先度)のアクション を「許可 → 拒否」へ変更する。

gcloud CLI の場合：

gcloud compute network-firewall-policies rules update (該当のルール(優先度)) \

    --firewall-policy (ファイアウォール ポリシー名) \

    --firewall-policy-region=asia-northeast1 \

    --action deny

２－３：再度、該当のサイトへアクセスします。
フィルタリング ルール #2 を「拒否」に変更すると、日本からのアクセスがタイムアウトとなることが確認できます。
また、Cloud Logging にも 拒否ログが記録されていました。
一方、USリージョンからは、正常にアクセスができます。

• 東京リージョン → 東京リージョン

• USリージョン → 東京リージョン

• Cloud Logging 該当ログ

２－４：検証結果
位置情報にて日本からのアクセスフィルタを指定した場合も、アクセス制御が機能していることが確認できました。

３．脅威インテリジェンスによるフィルタ

特定の脅威インテリジェンス データからのアクセス拒否することで、フィルタ効果の検証を行います。

３－１：USリージョンより、東京リージョンのサイトへアクセスします。
今回は「パブリック クラウド IP」 からの Webアクセスを拒否することで検証を行います。

３－２：フィルタリングルール #3 を 「許可」から「拒否」へと変更します。

Google Cloud コンソールの場合：
ナビゲーション メニュー より、[ネットワーク セキュリティ] – [ファイアウォール ポリシー] – [ネットワーク ファイアウォール ポリシー] を選択し、(ファイアウォール ポリシー名)から、該当のルール(優先度)のアクション を「許可 → 拒否」へ変更する。

gcloud CLI の場合：

gcloud compute network-firewall-policies rules update (該当のルール(優先度)) \

    --firewall-policy (ファイアウォール ポリシー名) \

    --firewall-policy-region=asia-northeast1 \

    --action deny

３－３：再度、USリージョンより、東京リージョンのサイトへアクセスします。

「USリージョン」から Web サーバへアクセスができなくなりました。

３－４：検証結果
脅威インテリジェンス データにてアクセスフィルタを指定した場合も、アクセス制御が機能していることが確認できました。

検証の結果、全機能とも想定通りの結果となりました。
また、事前登録された項目やドメイン名を指定するだけで、簡単、かつ柔軟にフィルタリングを適用できることが確認できました。

上記の結果から、ユースケースとして下記が想定されます。

同様な通信制御ができるサービスとして「Google Cloud Armor」があります。
送信元の地域や、脅威インテリジェンス データのカテゴリに基づいてフィルタリングが利用できますが、「Google Cloud Armor」はロードバランサ配下に対する制御となるため、システム構成に応じて「Cloud NGFW Standard」との使い分けが可能ではないでしょうか。

今回は「Cloud NGFW Standard」で提供されている３つの機能について検証を行いました。
人間が認識しずらい IP アドレスではなく、FQDN や定義済みのリストでアクセス制御ができるため、可読性が向上することで運用上のミス発生も抑制できるのではないかと思います。

・ Google Cloud コンソール からGUI操作で簡単にフィルタリングができる。
・ ファイアウォール ポリシーを適用する対象を制御することで対象ごとに柔軟なルール設定が可能
・ 他のファイアウォール系のサービスと上手く組み合わせて、シンプルで安全な環境へ。
内部のアクセス制御は「VPC ファイアウォール ルール」
Webサーバは「Cloud Armor」で防御
外部向けのアクセス制御は「Cloud NGFW Standard」 等

最後まで読んでいただき、ありがとうございました！

当社システムサポートは、Google Cloud の導入・移行・運営支援を行っています。
クラウド移行含めた最適なシステム環境構築のご相談は、以下よりお願いいたします！