Google Cloud Next '24 Las Vegasとは
Google Cloud Next '24は、2024年4月9日から4月11日の3日間、アメリカ・ラスベガスのMandalay Bayにおいて開催されるGoogleのクラウドサービスに関する世界最大級のイベントです。開発者、エンジニア、IT専門家、業界リーダーが集結し、3日間にわたり技術の最前線を駆け巡ります。特に今年のイベントは、AI/ML(人工知能・機械学習)にフォーカスが当てられ、セッションの約4割がAI/ML関連となり、その最新情報が発表されることが強く期待されています。
私たち日本情報通信株式会社も、Google Cloudに精通した専門家として、技術イノベーションの最新動向を取り入れ、顧客に対するソリューション提供に活かしていくことを目指して参加しています。
このような貴重な機会ですので、現地からいち早くブログで最新情報や熱量を発信してまいります。
本記事で紹介するセッション概要
- 講演日時:2024年4月10日 15:00 - 15:45 GMT-7
- セッションタイトル:Protect your workload with Google Cloud next generation firewall
- 登壇者
- Osvaldo Costa
- Network Specialist - Google Cloud
- Joshua Cox
- Group Director Cloud Security - Walmart
- Tracy Jiang
- Group Product Manager - Google Cloud
- セッション内容のサマリ
- ファイアウォールは、あらゆるネットワーク・セキュリティ・アーキテクチャに不可欠です。クラウドを採用する企業は、進化するワークロード保護要件にシームレスに適応するクラウドファーストのファイアウォール・ソリューションを求めています。このセッションでは、Google Cloudの次世代ファイアウォール(NGFW)を使用してこの目標を達成する方法を探ります。高度な脅威防御と柔軟できめ細かな制御により、すべてのネットワーク経路を保護し、Google Cloud の強固なセキュリティ体制を確保する方法を学びます。さらに、Cloud NGFW を使用してワークロードを保護したお客様の共有体験から洞察を得ることができます。
このセッションで期待できること
- 次世代型ファイアウォールの概要を知ることができます。
- 次世代型ファイアウォールのアーキテクチャ例を知ることができます。
- 従来のファイアウォールから次世代型ファイアウォールへの移行例を知ることができます。
セッション内容
従来のファイアウォールと次世代型ファイアウォールの違い
次世代型ファイアウォール(NGFW)を利用することは、従来のファイアウォールより多くのメリットがあります。
要件 |
NVA + VPC FW Rules |
NGFW |
取り扱いやすさ |
- ポリシーの管理には複数のチームと技術スタックが必要
- 異なるシステムに保存されたログとメトリクス
- ファイアウォールの保証にはサードパーティ製ツールが必要
- サポートに複数のベンダーが必要
|
- 1つのチームと技術スタックによって管理されるポリシー
- SCC や Chronicle のような Google Cloud セキュリティサービスとネイティブに統合された単一のサービスにログとメトリクスを保存
- ファイアウォールインサイトにてファイアウォール保証機能を提供
- GCPサポート事例
|
拡張性 |
- インターフェイスの追加に必要な破壊的な再デプロイが必要
- デプロイ後のライセンス管理とポリシー設定作業
|
|
性能 |
- NVAがVMのNW制限を導入
- 重複、リソースレベルのポリシー処理、ワイヤのバンプがレイテンシーを増加させる
|
- VM制限のないSDNの一部
- 指定されたワークロードにのみサービス効率を導入
- 階層的ポリシーにより、ルールとポリシーの重複を排除
|
機能概要
次世代型ファイアウォールは以下の様な機能を利用できます。今まで別途導入する必要があった IDP/IPS やパケットインターセプトの機能をファイアウォールの機能として提供しています。
- L4及びL7のポリシーが適用可能
- IDS/IPS機能の導入
- 監査ログの取得
- パケットインターセプト
- TLSインスペクション
- ファイアウォール管理の提供
VPC Firewall Rules から NGFW への移行
次世代型ファイアウォールは進化を続けてきましたが、2024年になり無停止移行を計画可能になりました。
ポリシーベースへの移行
旧ファイアウォールの VPC Firewall Rules から次世代型ファイアウォールのポリシーベースファイアウォールへの移行ケースとして、以下を計画します。
- 既存VMのネットワークタグを特定する
- セキュリティタグを作成する
- セキュリティタグを基に新しいファイアウォールポリシーを作成する
- 適用したポリシーが正しいか確認する
- 旧ファイアウォールルールの削除
規模にもよりますが、シンプルに考えれば既存 VM へのネットワークタグを整理すれば、移行自体はシンプルです。
移行例
以下の画像では、複雑化したストラクチャを次世代型ファイアウォールに移行した際にどのようになるかを表したものです。
インターネットを使用する構成例
インターネットを使用しない構成例
ポイントは、ネットワークエンドポイントを作成し、エンドポイントに侵入防止サービス(Cloud Firewall inspection Rules)を関連付けしている点です。次世代型ファイアウォールに移行することによって管理が一元化され、左の図に比べて、右の図のアーキテクチャは非常に簡素になっていることが分かります。
さらに Security Command Center Enterprise にて利用可能な Google Chronicle SIEM / SOAR と連携することで、よりネットワーク管理が容易となります。
Google Chronicle の画面イメージ
会場の様子
2日でありながら非常に多くの方が聴講に来られていました。やはりセキュリティはクラウドを扱う上で非常に関心が多い部分であることが分かりました。
セッション後半では Google Chronicle が紹介されていましたが、他のセッションでも紹介されていることが多く、セキュリティとその監査、監視分野においては、どの企業様も多くの課題がある中で、この次世代型ファイアウォールとの連携は非常に大切な部分な為、より注目度が高いセッションでした。
まとめ・感想
クラウドのファイアウォールがここまで進化することになるとは当時思ってもみなかったことでしたので、改めて非常に強い驚きと興味を受けました。次世代型ファイアウォールの具体的な移行ケースなども紹介されていますので、是非導入をご検討してみてはいかがでしょうか。
参考
Protect your workload with Google Cloud next generation firewall
Google Cloud、Google Workspace に関するご相談はXIMIXへ!
Google Cloud、Google Workspaceに関する お問い合わせはこちら
XIMIX®は日本情報通信株式会社が所有する登録商標です。(商標登録第6755234号)