グローバル ネットワーク ファイアウォール ポリシー (original) (raw)
グローバル ネットワーク ファイアウォール ポリシーを使用すると、すべてのファイアウォール ルールを 1 つのポリシー オブジェクトにまとめて更新できます。Virtual Private Cloud(VPC)ネットワークにネットワーク ファイアウォール ポリシーを割り当てることができます。これらのポリシーには、接続を明示的に拒否または許可するルールが含まれています。
仕様
- グローバル ネットワーク ファイアウォール ポリシーは、ファイアウォール ルールのコンテナ リソースです。各グローバル ネットワーク ファイアウォール ポリシー リソースは、プロジェクト内で定義されます。
- グローバル ネットワーク ファイアウォール ポリシーを作成した後、ポリシーでファイアウォール ルールを追加、更新、削除できます。
- グローバル ネットワーク ファイアウォール ポリシーのルールの仕様については、ファイアウォール ポリシー ルールのコンポーネントをご覧ください。
- グローバル ネットワーク ファイアウォール ポリシー ルールを VPC ネットワークに適用するには、ファイアウォール ポリシーをその VPC ネットワークに関連付ける必要があります。
- グローバル ネットワーク ファイアウォール ポリシーは、複数の VPC ネットワークに関連付けることができます。ファイアウォール ポリシーと関連するネットワークが同じプロジェクトに属していることを確認します。
- 各 VPC ネットワークは、1 つのグローバル ネットワーク ファイアウォール ポリシーにのみ関連付けることができます。
- ファイアウォール ポリシーがどの VPC ネットワークにも関連付けられていない場合、そのポリシーのルールは無効になります。どのネットワークにも関連付けられていないファイアウォール ポリシーは、関連付けのないグローバル ネットワーク ファイアウォール ポリシーです。
- グローバル ネットワーク ファイアウォール ポリシーが 1 つ以上の VPC ネットワークに関連付けられている場合、ファイアウォール ポリシールールは次の方法で適用されます。
- 既存のルールは、関連する VPC ネットワーク内の該当するリソースに適用されます。
- ルールに加えた変更は、関連する VPC ネットワーク内の該当するリソースに適用されます。
- ポリシーとルールの評価の順序で説明されているように、グローバル ネットワーク ファイアウォール ポリシー ルールは、他の ファイアウォール ルールと一緒に適用されます。
- グローバル ネットワーク ファイアウォール ポリシー ルールを使用して、一致したトラフィックのレイヤ 7 検査を構成します。たとえば、URL フィルタリング サービスや侵入検知 / 防御サービスを使用する場合などです。
apply_security_profile_groupアクションとセキュリティ プロファイル グループの名前を使用して、ファイアウォール ポリシー ルールを作成します。 ファイアウォール ポリシー ルールに一致するトラフィックは、レイヤ 7 検査のためにファイアウォール エンドポイントに透過的に転送されます。ファイアウォール ポリシー ルールを作成する方法については、ルールを作成するをご覧ください。
グローバル ネットワーク ファイアウォール ポリシー ルールの詳細
グローバル ネットワーク ファイアウォール ポリシー ルールのコンポーネントとパラメータの詳細については、ファイアウォール ポリシー ルールのコンポーネントをご覧ください。
次の表に、グローバル ネットワーク ファイアウォール ポリシー ルールと VPC ファイアウォール ルールの主な違いを示します。
| グローバル ネットワーク ファイアウォール ポリシールール | VPC ファイアウォール ルール | |
|---|---|---|
| 優先度 | ポリシー内で一意である必要があります | 優先度の重複は可能です |
| ターゲットとしてのサービス アカウント | ○ | ○ |
| ソースとしてのサービス アカウント(上り(内向き)ルールのみ) | × | ○ |
| タグタイプ | セキュアタグ | ネットワーク タグ |
| 名前と説明 | ポリシー名、ポリシー、ルールの説明 | ルール名と説明 |
| バッチ アップデート | ○(ポリシーのクローン作成、編集、置換機能) | × |
| 再利用 | ○ | × |
| 割り当て | 属性数 - ポリシー内のルールの全体的な複雑さに基づく | ルール数 - 複雑なファイアウォール ルールと単純なファイアウォール ルールで、割り当てへの影響は変わりません |
事前定義ルール
グローバル ネットワーク ファイアウォール ポリシーを作成すると、Cloud Next Generation Firewall は優先度が最も低い事前定義ルールをポリシーに追加します。これらのルールは、ポリシーで明示的に定義されたルールと一致しない接続に適用されます。これにより、このような接続は下位レベルのポリシーまたはネットワーク ルールで処理されます。
さまざまなタイプの事前定義 ルールとその特性については、ファイアウォール ポリシーの事前定義ルールをご覧ください。
Identity and Access Management(IAM)のロール
IAM ロールは、グローバル ネットワーク ファイアウォール ポリシーに関して次のアクションを管理します。
- グローバル ネットワーク ファイアウォール ポリシーの作成
- ポリシーとネットワークの関連付け
- 既存のポリシーの変更
- 特定のネットワークまたは VM で有効なファイアウォール ルールの表示
次の表に、各ステップに必要となるロールを示します。
| アクション | 必要なロール |
|---|---|
| 新しいグローバル ネットワーク ファイアウォール ポリシーを作成する | Compute セキュリティ管理者ロール(roles/compute.securityAdmin) ポリシーが属するプロジェクトに対する |
| ポリシーをネットワークに関連付ける | Compute ネットワーク管理者ロール(roles/compute.networkAdmin)ポリシーが存在するプロジェクトに対する |
| ポリシー ファイアウォール ルールを追加、更新、削除してポリシーを変更する | Compute セキュリティ管理者ロール(roles/compute.securityAdmin) ポリシーが存在するプロジェクトに対する |
| ポリシーを削除する | Compute セキュリティ管理者ロール(roles/compute.securityAdmin) ポリシーが存在するプロジェクトに対する |
| VPC ネットワーク上で効力のあるファイアウォール ルールの表示 | ネットワークに対する次のいずれかのロール: Compute ネットワーク管理者ロール(roles/compute.networkAdmin) Compute ネットワーク ユーザーロール(roles/compute.networkUser) Compute ネットワーク閲覧者ロール(roles/compute.networkViewer) Compute セキュリティ管理者ロール(roles/compute.securityAdmin) Compute 閲覧者ロール(roles/compute.viewer) |
| ネットワーク内の VM に対する有効なファイアウォール ルールの表示 | VM に対する次のいずれかのロール: Compute インスタンス管理者(v1)ロール(roles/compute.instanceAdmin) インスタンス グループ マネージャー サービス エージェント ロール(roles/compute.instanceGroupManagerServiceAgent) Compute セキュリティ管理者ロール(roles/compute.securityAdmin) Compute 閲覧者ロール(roles/compute.viewer) |
次のロールは、グローバル ネットワーク ファイアウォール ポリシーに関連しています。
| ロール名 | 説明 |
|---|---|
| Compute セキュリティ管理者ロール (roles/compute.securityAdmin) | (プロジェクト レベルまたはリソースレベルで付与可能)プロジェクトに付与した場合、ユーザーはグローバル ネットワーク ファイアウォール ポリシーやルールを作成、更新、削除できます。ポリシーレベルでは、ユーザーはポリシールールを更新できますが、ポリシーの作成または削除はできません。このロールが付与されたユーザーは、ポリシーをネットワークに関連付けることもできます。 |
| Compute ネットワーク管理者ロール(roles/compute.networkAdmin) | プロジェクト レベルまたはネットワーク レベルで付与。ネットワークに対して付与されている場合、 ユーザーはグローバル ネットワーク ファイアウォール ポリシーのリストを表示できます。 |
| Compute 閲覧者ロール(roles/compute.viewer) Compute ネットワーク ユーザーロール(roles/compute.networkUser) Compute ネットワーク閲覧者ロール(roles/compute.networkViewer) | ユーザーがネットワークまたはインスタンスに適用されているファイアウォール ルールを表示できるようにします。ネットワークの compute.networks.getEffectiveFirewalls 権限とインスタンスの compute.instances.getEffectiveFirewalls 権限が含まれます。 |