はじめに

こんにちは、クラウドエースで SRE ディビジョンに所属している池ヶ谷と申します。2023 年 12 月現在、Cloud Firewall Plus がプレビュー版で提供されており、侵入防止システム (IPS) が追加されています。本記事では Google Cloud での IPS 機能の概要をご紹介したいと思います。詳しい設定方法などは割愛します。
https://cloud.google.com/firewall?hl=ja

この記事を書いた動機

IT に関する知識が全くない状態で入社してから半年以上が経ちました。新入社員研修が終わり、少しは知識が増えたと感じていましたが、Cloud Firewall Plus に関するタスクを任されたとき、「一体 IPS とは何なのか？研修で聞いたことがない」という状況になってしまいました。そんな状況から私自身で調査を始め、苦戦しながらも Cloud Firewall Plus の設定まで終えたので、私が調査を始める前と同じような状況にある人々のための指針となるような記事を書こうと思い、執筆いたしました。

対象読者

上記の動機から以下の方々を対象読者とします。

• Cloud Firewall Plus について大まかな概要が知りたい方
• Cloud Firewall Plus の名前だけ知っているが IPS についてよくわかっていない方

Cloud Firewall Plus ってなんだ？

まず、このような説明が公式から出ているので読んでみます。
https://cloud.google.com/security/products/firewall?hl=ja#features

以下のような表があり、ここから Cloud Firewall Plus は他のティアには存在しない侵入防止システム（IPS）機能が追加されていることがわかります。

特徴	Cloud Firewall Essentials	Cloud Firewall Standard	Cloud Firewall Plus
グローバル ネットワーク ファイア ウォール ポリシー と リージョン ネットワーク ファイアウォール ポリシー	✔️	✔️	✔️
タグの統合	✔️	✔️	✔️
ステートフル インスペクション	✔️	✔️	✔️
アドレス グループ	✔️	✔️	✔️
Google Cloud Threat Intelligence		✔️	✔️
FQDN オブジェクト		✔️	✔️
地理位置情報フィルタリング		✔️	✔️
侵入防止システム（IPS）			✔️

侵入防止システム（IPS）機能についてよくわからないので説明がありそうな場所までスクロールしました。すると以下のような説明があります。

インライン侵入防止システム（IPS）

Cloud Firewall Plus は、クラウド ファーストでデプロイが簡単な、市場をリードする侵入防止システム（IPS）を提供します。TLS トラフィックと非 TLS トラフィックの両方を検査することで、ネットワークに対するマルウェア、スパイウェア、コマンド＆コントロール攻撃を防止します。

私はこの説明を読んでもピンときませんでした。なのでより詳細に書かれている以下のドキュメントを読んでみました。
https://cloud.google.com/firewall/docs/about-intrusion-prevention?hl=ja
やはり新卒の私では知識が不足しており、そもそも IPS が何なのか、ドキュメント中に出てくる TLS インスペクションとは何なのかがわからなかったので、それらについて一般的にどのようなもので、どのような種類があるのかを調べました。

IPS とは

Cloud Firewall Plus で追加された機能である IPS について一般的にはどのようなものであるかを説明します。まずは IPS と、 IPS に似ている製品である IDS について比較しながら説明します。

IPS の役割

• IDS (Intrusion Detection System)
  ネットワークやシステムに対する不正な侵入や攻撃を検出するためのセキュリティシステムです。IDS はネットワークトラフィックやシステムのログを監視し、シグネチャと言われるパターンで攻撃を検出します。これにより、セキュリティ侵害が発生した場合に迅速に対応できるようにします。また、IDS は攻撃を検出し通知するのみです。

• IPS (Intrusion Prevention System)
  IDS と異なり、IPS は検出した脅威に対してアクティブに対応し、攻撃をブロックまたは中断する機能を持っています。
  しかし、悪意のあるトラフィックのみを検知し遮断することは困難であり、正常な通信を遮断してしまう可能性もあります。このような誤検知によって運用に支障をきたす可能性がありますので、 IPS のみではなく IPS と IDS を組み合わせた運用もあり得ます。

IPS/IDS の必要性

セキュリティ製品にはファイアウォールや WAF がありますが、ファイアウォールは IP アドレスとポートによって攻撃の遮断を行い、WAF はウェブアプリケーションや API の脆弱性を利用した攻撃を防ぎます。しかし、ファイアウォールは通信の詳しい内容を検査できない場合もあります。また、 WAF はウェブアプリケーションに特化しているため、サーバやネットワークの防御は行えません。つまり、通信の内容を検査し、サーバとネットワークを防御する仕組みが必要であると言えます。
※製品によってはファイアウォールや WAF という名前であっても IPS のような機能を有するものもあります。

設置箇所による違い

• ネットワーク型（NIPS・NIDS）
  ネットワーク上に流れるパケットを監視する形態です。ネットワーク上にあるコンピュータを複数監視できるため、広範囲を監視できます。ホストに常駐させる必要がないので、ホストに負荷がかかりません。

• ホスト型（HIPS・HIDS）
  監視対象のコンピュータ上で動作する形態です。ホストに常駐することで、コンピュータが出力するログ、システム情報を元に不正アクセスを検出し、コンピュータ内部の不正な動作を検知できます。

SSL/TLS インスペクション

昨今の通信のほとんどは暗号化されています。例えば私たちが普段 web ページを閲覧する際に使用している HTTPS も暗号化されています。つまり、不正な通信も暗号化されており、復号しないと IPS や IDS が機能しない可能性があります。そこで、暗号化されている通信を復号することで、暗号化されている通信を検査する技術が SSL/TLS インスペクションです。

Cloud Firewall Plus とは

これまで、一般的な IPS の説明をしてきましたが、ここからはタイトルにもある Cloud Firewall Plus について述べます。
オンプレミスの IPS 製品は適宜ハードウェア、ソフトウェアの調達が必要であり、設定も多岐にわたり手間がかかります。また、脅威のシグネチャは常に最新の状態に保つ必要がありますが、オンプレミス製品では常に最新状態に保つことは難しい場合があります。そこで、Cloud Firewall Plus の出番です。Cloud Firewall Plus は、クラウドサービスであるため、ハードウェアやソフトウェアの調達、設置、保守などの手間が不要で、導入と運用が簡単です。また、常に最新のセキュリティ機能が提供されているため、常に最新のセキュリティ対策を講じることができます。

Cloud Firewall Plus が提供する IPS 機能の利点

Cloud Firewall Plus で追加された IPS 機能の利点について述べます。

• Google Cloud 外の製品を調達する必要がない
• ネットワーク型なので、ホストに常駐させる必要がなく、アプリケーションへの影響が小さくなる
• 複数のプロジェクトを利用している場合、階層型ファイアウォール ポリシーを利用することで組織やフォルダ毎に１度の操作で IPS 機能を設定することができるので、管理が容易
• TLS インスペクションを利用して暗号化された通信も検査できる
• セキュリティ製品で有名な Palo Alto Networks 社が世界中の脅威情報を収集しており、それに基づいたシグネチャが利用可能

Cloud Firewall Plus を少し触ってみる

それでは実際にコンソール画面で Cloud Firewall Plus の IPS 機能を設定してみます。以下に簡単な作成の様子を示します。
まず、組織階層にてセキュリティ プロファイルを作成します。

作成したセキュリティ プロファイルをセキュリティ プロファイル グループに追加します。

セキュリティ プロファイル グループをファイアウォール エンドポイントに適用します。

組織階層の設定は終了したので、プロジェクトに移動します。
事前に作成した VPC ネットワークにファイアウォール エンドポイントを関連付けます。

ファイアウォール ポリシーを作成します。この時、一致した時のアクションを「L7 の検査に進む」を選択したファイアウォール ルールを追加します。

これで Cloud Firewall Plus を設定することができました。
念の為、ファイアウォール ルールを確認するとアクションが「L7 の検査に進む」が適用されています。

IPS 機能を設定した後、「脅威」の画面から検出したアクティビティを確認することができます。

このようにコンソール上で 20 分ほど操作することで、簡単に IPS 機能を設定できました。
また、組織やフォルダにも適用することができるため、防御したいリソース全体に一度の作業で適用することが可能です。

Cloud Firewall Plus を構成するリソース

Cloud Firewall Plus を設定する際に触れた各要素について説明します。

• ファイアウォール ルール
  特定の VPC ネットワークに対して適用されます。特定の IP アドレス範囲からのトラフィック、または特定のプロトコル（TCP、UDP、ICMP など）やポートを通じたトラフィックを許可または拒否します。Cloud Firewall Plus を利用する場合「L7 の検査に進む」を使用します。

https://cloud.google.com/firewall/docs/firewalls?hl=ja

• ファイアウォール ポリシー
  複数のルールの管理、複数の VPC ネットワークに対して一貫したファイアウォールの適用ができるリソースです。このリソースは VPC ネットワーク のみではなく組織やフォルダに対してファイアウォールルールを適応することができます。

https://cloud.google.com/firewall/docs/firewall-policies-overview?hl=ja

• ファイアウォール エンドポイント
  ファイアウォール エンドポイントはゾーンレベルで作成され、Google Cloud のパケットインターセプト技術を用いて VPC ネットワークのトラフィックをレイヤ 7 検査にリダイレクトします。エンドポイントとワークロードは同一ゾーンに存在し、これによりレイテンシの短縮、トラフィックの信頼性向上が実現します。

https://cloud.google.com/firewall/docs/about-firewall-endpoints?hl=ja

• セキュリティ プロファイル
  ファイアウォール エンドポイントで行う検査ポリシーを定義する。どのような重大度でどのようなアクションを行うのかを決めることができます。現在は threat-prevention タイプのみ作成可能ですが、他のタイプも今後作成できるようになるかもしれません。

https://cloud.google.com/firewall/docs/about-security-profiles?hl=ja

• セキュリティ プロファイル グループ
  現在このリソースは名前、説明、適用するセキュリティプロファイルを設定することができるのみで、特にできることはありません。

https://cloud.google.com/firewall/docs/about-security-profile-groups?hl=ja

ファイアウォール エンドポイントの詳細な解説やファイアウォールと類似している製品との比較は以下のブログを確認することをお勧めします。
https://zenn.dev/cloud_ace/articles/cloud-firewall-endpoint-about
https://zenn.dev/cloud_ace/articles/champion-innovators-advent-calendar-2023-1215

おわりに

以下に要点をまとめます。

• IPS とは不正な侵入や攻撃を検知し遮断できる装置
  • IDS は検知のみ
  • ネットワーク型とホスト型が存在
• Cloud Firewall Plus の IPS 機能は TLS インスペクションを利用し、L7 の検査が行えるネットワーク型 IPS
• Cloud Firewall Plus は新卒でも簡単に設定可能

新卒である私は、プレビュー版の機能である Cloud Firewall Plus を学ぶ過程で、参考資料が少なく苦戦しました。しかし、その過程でクラウドセキュリティの重要性、クラウドサービスの活用方法を学びました。Cloud Firewall Plus はクラウドセキュリティを強化するための重要な機能です。これらの学びを活かし、今後も Google Cloud のパートナー企業の一員として、引き続き学びを深めていきたいと思います。