クラウド内で安全にアクセスできるネットワーク: リファレンスアーキテクチャ

Last reviewed 2023-11-13 UTC

このドキュメントは、データセンターのワークロードを Google Cloud に移行する企業向けのネットワーキングアーキテクチャとセキュリティアーキテクチャについて説明するシリーズの一部です。

このシリーズは、次のドキュメントで構成されています。

エンタープライズワークロードを移行するためのネットワーク設計: アーキテクチャのアプローチ
安全なクラウド内アクセスのためのネットワーキング: リファレンスアーキテクチャ（このドキュメント）
インターネットに接続するアプリケーションの配信のためのネットワーキング: リファレンスアーキテクチャ
ハイブリッドおよびマルチクラウドのワークロードのネットワーキング: リファレンスアーキテクチャ

クラウド内のユースケースのワークロードは VPC ネットワークに存在し、Google Cloud の他のリソースに接続する必要があります。BigQuery など、クラウドでネイティブに提供されるサービスを使用する場合があります。セキュリティ境界は、ファイアウォール、VPC Service Controls、ネットワーク仮想アプライアンスなど、さまざまな自社（1P）機能とサードパーティ（3P）機能によって提供されます。

多くの場合、これらのワークロードは複数の Google Cloud VPC ネットワークにまたがるため、VPC ネットワーク間の境界を保護する必要があります。このドキュメントでは、これらのセキュリティと接続のアーキテクチャについて詳しく説明します。

リフト＆シフトアーキテクチャ

クラウド内のユースケースの最初のシナリオは、既存のワークロードをそのままクラウドに移行するリフト&シフトアーキテクチャです。

ファイアウォール

ファイアウォールルールを構成すると、安全な境界を確立できます。ネットワークタグを使用して、VM のコレクションにきめ細かいファイアウォールルールを適用できます。タグは、VM の作成時に VM の tags フィールドに追加した文字列で構成される任意の属性です。タグは、VM を編集して後で割り当てることもできます。Google Cloud ファイアウォールルールでトラフィックを管理する方法の実装ガイドラインについては、エンタープライズ基盤ブループリントのネットワークファイアウォールポリシーをご覧ください。

ファイアウォールのロギングを使用して、ファイアウォールルールの設定の効果を監査および検証することもできます。

VPC フローログを使用してネットワークフォレンジックを行ったり、ログをストリーミングして SIEM と統合したりできます。このシステム全体で、リアルタイムのモニタリング、イベントの相関、分析、セキュリティ通知を提供できます。

図 1 は、ファイアウォールルールが VM タグを使用して、VPC ネットワーク内の VM 間のトラフィックを制限する方法を示しています。

ネットワークタグを使用してきめ細かい下り（外向き）制御を適用するネットワークファイアウォール構成。

図 1. ネットワークタグを使用してきめ細かい下り（外向き）制御を適用するネットワークファイアウォール構成。

ネットワーク仮想アプライアンス

ネットワーク仮想アプライアンス（NVA）は、複数のネットワークインターフェースを持つ VM です。NVA を使用すると、複数の VPC ネットワークに直接接続できます。VM には、ウェブアプリケーションファイアウォール（WAF）やセキュリティアプリケーションレベルのファイアウォールなどのセキュリティ機能を実装できます。特に図 2 に示すように、ハブスポーク構成を使用している場合は、NVA を使用して VM 間トラフィックのセキュリティ機能を実装できます。

Google Cloud で NVA を使用する方法に関する実装ガイドラインについては、Google Cloud 上の一元化されたネットワークアプライアンスをご覧ください。

共有 VPC ネットワークで一元化されたネットワークアプライアンス構成。

図 2. 共有 VPC ネットワークで一元化されたネットワークアプライアンス構成。

Cloud IDS

Cloud Intrusion Detection System（Cloud IDS）を使用すると、VPC ネットワーク内のサブネットからのトラフィックをミラーリングすることで、ネイティブのセキュリティ検査とロギングを実装できます。Cloud IDS を使用すると、ネットワークレイヤとアプリケーションレイヤでさまざまな脅威を検査し、モニタリングして分析できます。Google Cloud プロジェクトに関連付けられた VPC ネットワークに Cloud IDS エンドポイントを作成します。これらのエンドポイントは、Google Cloud ネットワークスタックに組み込まれているパケットモニタリング機能を使用して、そのネットワークとの上り（内向き）トラフィックと下り（外向き）トラフィック、VPC 内のネットワークトラフィックをモニタリングします。Cloud IDS プロセスをホストするサービスプロデューサープロジェクト（Google 管理のプロジェクト）に接続するには、限定公開サービスアクセスを有効にする必要があります。

図 3 に示すように、ハブアンドスポークアーキテクチャを使用している場合、各スポークからのトラフィックを Cloud IDS インスタンスにミラーリングできます。

プライベートサービスアクセスを使用する VPC トラフィックをミラーリングするための Cloud IDS 構成。

図 3. プライベートサービスアクセスを使用する VPC トラフィックをミラーリングするための Cloud IDS 構成。

Cloud IDS は、追加のステップを使用して、VPC Service Controls のサービス境界で保護できます。VPC Service Controls のサポートに関する詳細は、サポートされているプロダクトをご覧ください。

VPC ネットワークピアリング

複数の VPC ネットワークにまたがるアプリケーションの場合、同じ Google Cloud プロジェクトに属しているか、同じ組織リソースに属しているかにかかわらず、VPC ネットワークピアリングで VPC ネットワーク間の接続が可能です。この接続により、トラフィックは Google のネットワーク内にとどまるため、パブリックなインターネットを経由することはありません。

リフト&シフトアーキテクチャで VPC ネットワークピアリングを使用するには、2 つのモデルがあります。1 つは「純粋な」ハブアンドスポークアーキテクチャです。もう 1 つは推移性を備えたハブアンドスポークアーキテクチャで、1 つのスポークからのトラフィックが別のスポークに到達できます。以降のセクションでは、これらのさまざまなアーキテクチャで VPC ネットワークピアリングを使用する方法について説明します。

ハブアンドスポークアーキテクチャ

ハブアンドスポークアーキテクチャは、VPC ネットワークピアリングを使用する VPC 接続の一般的なモデルです。このモデルは、企業が一般的なサービスのセット（ロギングや認証など）にアクセスする必要があるさまざまなアプリケーションを所有している場合に便利です。このモデルは、ハブを通過してネットワークを出るトラフィックに対して共通のセキュリティポリシーセットを実装する必要がある場合にも役立ちます。純粋なハブアンドスポークモデルでは、スポーク間のトラフィック交換（推移的トラフィックとして知られる）は許可されません。図 4 は、VPC ネットワークピアリングを使用してスポークをハブに接続する純粋なハブアンドスポークアーキテクチャを示しています。ハブアンドスポークネットワークを構築するための実装ガイドラインについては、エンタープライズ基盤ブループリントのハブアンドスポークネットワークトポロジをご覧ください。

ただし、VPC レベルの分離が必要ない場合は、共有 VPC アーキテクチャを使用できます。これにより、Google Cloud を使い始めたばかりの一部の企業にとってよりシンプルなモデルを実現できる可能性があります。

VPC ネットワークピアリングを使用してネットワーク分離と非推移的接続を使用する、ハブアンドスポークネットワークアーキテクチャ。

図 4. VPC ネットワークピアリングを使用してネットワーク分離と非推移的接続を使用する、ハブアンドスポークネットワークアーキテクチャ。

推移性を備えたハブアンドスポーク

推移性を備えたハブアンドスポーク（スポークからのトラフィックがハブを介して他のスポークに到達可能）を有効にするには、VPC ネットワークピアリングを使用するいくつかのアプローチがあります。フルメッシュトポロジでは VPC ネットワークピアリングを使用できます。これにより、すべての VPC ネットワークが、アクセスする必要がある他のすべての VPC ネットワークとダイレクトにピアリングされます。

また、NVA を使用してハブとスポークを接続することもできます。NVA は、VPC スポークからのトラフィックのネクストホップとして使用される内部ロードバランサの背後に配置されます。図 5 に、この両方のオプションを示します。

また、VPN を使用して、ハブ VPC ネットワークとスポーク VPC ネットワークを接続することもできます。この配置により、スポーク間接続全体のネットワーク到達性が可能になり、ハブ VPC ネットワーク全体での推移性が実現します。

Cloud VPN を使用してネットワークの分離と推移的な接続を行う、ハブアンドスポークネットワーク構成。

図 5. Cloud VPN を使用してネットワークの分離と推移的な接続を行う、ハブアンドスポークネットワーク構成。

共有 VPC

共有 VPC を使用すると、ホストプロジェクトのサブネット、ルート、ファイアウォールなどのネットワークリソースを一元管理できます。このレベルの制御では、ネットワーク管理タスクをネットワーク管理者とセキュリティ管理者に委任できるため、ネットワーク管理、監査、およびアクセス制御に対して最小限の権限というセキュリティのベストプラクティスを実装できます。VM の作成と管理機能をインスタンス管理者に割り当てるには、サービスプロジェクトを使用します。サービスプロジェクトを使用すると、VM 管理者にはインスタンスの作成と管理のみが許可され、共有 VPC ネットワークでネットワークに影響する変更は許可されません。

たとえば、さらに分離を行うためには、2 つのホストプロジェクトにある 2 つの VPC ネットワークを定義し、各ネットワークに複数のサービスプロジェクト（1 つは本番環境用、もう 1 つはテスト用）を接続します。図 6 は、別々のプロジェクトを使用して本番環境をテスト環境から分離するアーキテクチャを示しています。

VPC ネットワークを構築するためのベストプラクティスについては、VPC 設計のためのベストプラクティスとリファレンスアーキテクチャをご覧ください。

複数の分離されたホストとサービスプロジェクト（テスト環境と本番環境）を使用する共有 VPC ネットワーク構成。

図 6. 複数の分離されたホストとサービスプロジェクト（テスト環境と本番環境）を使用する共有 VPC ネットワーク構成。

ハイブリッドサービスのアーキテクチャ

ハイブリッドサービスのアーキテクチャには、マルチ VPC 環境でサービスを接続して保護できる追加のクラウドネイティブサービスが用意されています。これらのクラウドネイティブサービスは、リフト&シフトアーキテクチャで使用可能な機能を補完し、VPC セグメント化された環境を大規模に簡単に管理できます。

Private Service Connect

Private Service Connect を使用すると、ある VPC ネットワークでホストされているサービスを別の VPC ネットワークで公開できます。サービスが同じ組織リソースでホストされている必要はありません。Private Service Connect を使用すると、別の組織リソースに接続している場合でも、別の VPC ネットワークからサービスをプライベートに利用できます。

Private Service Connect を使用するには、Google API にアクセスする方法と、他の VPC ネットワークでホストされているサービスにアクセスする方法があります。

Private Service Connect を使用して Google API にアクセスする

Private Service Connect を使用する場合は、図 7 に示すように、VPC ネットワークの一部である Private Service Connect エンドポイントを使用して Google API を公開できます。

VPC ネットワーク限定公開の Private Service Connect エンドポイントを使用して Google API にトラフィックを送信する Private Service Connect の構成。

図 7. VPC ネットワーク限定公開の Private Service Connect エンドポイントを使用して Google API にトラフィックを送信する Private Service Connect の構成。

ワークロードは、Private Service Connect エンドポイントを使用して、グローバル Google API のバンドルにトラフィックを送信できます。また、Private Service Connect バックエンドを使用して 1 つの Google API にアクセスし、ロードバランサのセキュリティ機能を API サービスに拡張できます。図 8 は、この構成を示しています。

Private Service Connect バックエンドを使用して Google API にトラフィックを送信する Private Service Connect の構成。

図 8. Private Service Connect バックエンドを使用して Google API にトラフィックを送信する Private Service Connect の構成。

VPC ネットワーク間またはエンティティ間の Private Service Connect の使用

Private Service Connect では、サービスプロデューサーは、同じ組織リソースまたは別のリソースに含まれる別の VPC ネットワーク内のサービスユーザーにサービスを提供することもできます。サービスプロデューサー VPC ネットワークは複数のサービスユーザーをサポートできます。ユーザーは、ユーザーの VPC ネットワークにある Private Service Connect エンドポイントにトラフィックを送信することで、プロデューサーサービスに接続できます。エンドポイントは、そのトラフィックを公開サービスを含む VPC ネットワークに転送します。

エンドポイントを介してマネージドサービスを公開して使用する Private Service Connect 構成。

図 9. サービスアタッチメントを介してマネージドサービスを公開し、エンドポイントを介してサービスを使用する Private Service Connect 構成。

VPC サーバーレスアクセスコネクタ

VPC サーバーレスアクセスコネクタは、サーバーレス環境と VPC ネットワーク間のトラフィックを処理します。Google Cloud プロジェクトでコネクタを作成するときに、コネクタを特定の VPC ネットワークとリージョンに接続します。次に、送信ネットワークトラフィックにコネクタを使用するように、サーバーレスサービスを構成します。サブネットまたは CIDR 範囲を使用してコネクタを指定できます。コネクタを介して VPC ネットワークに送信されるトラフィックは、図 10 に示すように、サブネットまたは指定した CIDR 範囲から発信されます。

VPC ネットワーク内の内部 IP アドレスを使用して Google Cloud サーバーレス環境にアクセスするためのサーバーレス VPC アクセスコネクタの構成。

図 10. VPC ネットワーク内の内部 IP アドレスを使用して Google Cloud サーバーレス環境にアクセスするためのサーバーレス VPC アクセスコネクタの構成。

サーバーレス VPC アクセスコネクタは、Cloud Run、Cloud Functions、App Engine スタンダード環境をサポートするすべてのリージョンでサポートされています。詳細については、VPC サーバーレスアクセスコネクタの使用について、サポートされているサービスとサポートされているネットワークプロトコルのリストをご覧ください。

VPC Service Controls

VPC Service Controls を使用すると、インターネットからの、またはセキュリティ境界の一部ではないプロジェクトからの未承認アクセスを防ぐことで、Cloud Storage や BigQuery などのサービスからのデータの引き出しを防ぐことができます。たとえば、人的ミスや誤った自動化により、Cloud Storage や BigQuery などのサービスに IAM ポリシーが正しく設定されていないシナリオについて考えてみましょう。その結果、これらのサービス内のリソースは一般公開されます。その場合、データが漏洩するリスクがあります。これらのサービスが VPC Service Controls の境界の一部として構成されている場合、IAM ポリシーでアクセスを許可しても、リソースに対する上り（内向き）アクセスはブロックされます。

VPC Service Controls では、ID タイプ（サービスアカウントまたはユーザー）やネットワーク送信元（IP アドレスまたは VPC ネットワーク）などのクライアント属性に基づいて境界を作成できます。

VPC Service Controls は、次のセキュリティリスクを軽減するのに役立ちます。

盗まれた認証情報を使用した無許可のネットワークからのアクセス
悪意のある内部関係者や感染コードによるデータの引き出し
IAM ポリシーの構成ミスによるプライベートデータの偶発的な公開

図 11 は、VPC Service Controls を使用してサービス境界を確立して、これらのリスクを軽減する方法を示しています。

プライベートアクセスサービスを使用して、ハイブリッド環境に拡張された VPC サービス境界。

図 11. プライベートアクセスサービスを使用して、ハイブリッド環境に拡張された VPC サービス境界。

上り（内向き）ルールと下り（外向き）ルールを使用すると、図 12 に示すように 2 つのサービス境界間の通信を有効にできます。

サービス境界間の通信用に上り（内向き）ルールと下り（外向き）ルールを構成する。

図 12. サービス境界間の通信用に上り（内向き）ルールと下り（外向き）ルールを構成する。

VPC Service Controls のデプロイアーキテクチャに関する推奨事項については、サービス境界の設計と構築をご覧ください。VPC Service Controls でサポートされているサービスの一覧については、サポートされているプロダクトと制限事項をご覧ください。

ゼロトラスト分散型アーキテクチャ

ネットワーク境界のセキュリティ制御は必要ですが、最小権限と多層防御のセキュリティ原則をサポートするには十分ではありません。ゼロトラスト分散アーキテクチャは、セキュリティ適用のためにネットワーク境界エッジ上に構築されますが、ネットワーク境界エッジに依存しません。分散アーキテクチャとして、これらはサービスごとにセキュリティポリシー、強力な認証、Workload Identity が適用されるマイクロサービスで構成されています。

ゼロトラスト分散アーキテクチャは、Traffic Director と Anthos Service Mesh によって管理されるサービスとして実装できます。

Traffic Director

Traffic Director は、サービスセキュリティを使用して、GKE クラスタ内にゼロトラスト分散アーキテクチャマイクロサービスメッシュを提供するように構成できます。このモデルでは、Envoy サイドカーまたはプロキシレス gRPC を備えた GKE サービスで、ID、証明書、認可ポリシーはすべて、Traffic Director、Workload Identity、Certificate Authority Service、IAM のすべてによって管理されます。Traffic Director によって証明書の管理と安全な命名が提供され、すべてのサービス通信が mTLS トランスポートセキュリティの対象となります。図 13 は、この構成のクラスタを示しています。

Traffic Director を使用する単一クラスタのゼロトラスト分散アーキテクチャメッシュ。

図 13. Traffic Director を使用する単一クラスタのゼロトラスト分散アーキテクチャメッシュ。

認可ポリシーは、サーバーが受信リクエストや RPC を認可する方法を指定します。認可ポリシーは、リクエストを送信したクライアントの ID、ホスト、ヘッダー、その他の HTTP 属性などのさまざまなパラメータに基づいて、受信リクエストや RPC を許可または拒否するように構成できます。gRPC と Envoy に基づくメッシュで認可ポリシーを構成するための実装ガイドラインをご覧ください。

図 13 では、アーキテクチャは単一クラスタとフラットなネットワーキング（共有 IP アドレス空間）で構成されています。通常、ゼロトラスト分散アーキテクチャでは、分離、ロケーション、スケールのために複数のクラスタが使用されます。

クラスタがフリートでグループ化されている複雑な環境では、複数のクラスタでマネージド ID を共有できます。その場合、Private Service Connect を使用して、独立した VPC ネットワーク間のネットワーク接続を構成できます。このアプローチは、このドキュメントの後半で説明するハイブリッドワークロードアクセスのマルチクラスタネットワーク接続に似ています。

Traffic Director によるトラフィックの処理方法をきめ細かく制御する方法については、高度なトラフィック管理の概要をご覧ください。

Anthos Service Mesh

Anthos Service Mesh は、すぐに使用できる mTLS ゼロトラスト分散アーキテクチャマイクロサービスメッシュ（Istio の基盤上に構築）を提供します。メッシュは、統合フローを使用して設定します。GKE では、Google 管理のデータとコントロールプレーンを備えたマネージド Anthos Service Mesh がサポートされています。Google Distributed Cloud Virtual や GKE Multi-cloud などの他の環境に適したクラスタ内コントロールプレーンも使用できます。Anthos Service Mesh は、Istio ベースの認可ポリシーモデルを使用して、ID と証明書を管理します。

Anthos Service Mesh は、フリートを使用してマルチクラスタサービスのデプロイ構成と ID を管理します。Traffic Director と同様に、ワークロードがフラットな（または共有）VPC ネットワーク接続環境で動作している場合、ファイアウォール構成以外に特別なネットワーク接続要件はありません。アーキテクチャが、別の VPC ネットワークまたはネットワーク環境（Cloud Interconnect 接続上など）にまたがる複数の Anthos Service Mesh クラスタを含む場合、East-West ゲートウェイなども必要です。Anthos Service Mesh のネットワーキングのベストプラクティスは、GKE ネットワーキングのベストプラクティスで説明されているものと同じです。

Anthos Service Mesh は Identity-Aware Proxy（IAP）と連携します。IAP では、きめ細かいアクセスポリシーを設定できます。これにより、ユーザー ID、IP アドレス、デバイスの種類など、元のリクエストの属性に基づいてワークロードへのユーザーアクセスを制御できます。このレベルの制御により、エンドツーエンドのゼロトラスト環境が実現します。

Anthos Service Mesh を使用する場合は、GKE クラスタの要件を考慮する必要があります。詳細については、「GKE への単一プロジェクトのインストール」の要件セクションをご覧ください。

次のステップ

インターネットに接続するアプリケーション配信のためのネットワーキング: リファレンスアーキテクチャ。
ハイブリッドおよびマルチクラウドのワークロードのネットワーキング: リファレンスアーキテクチャ。
Google Cloud への移行。ワークロードを Google Cloud に移行するプロセスを計画、設計、実装する際に役立つ可能性があります。
Google Cloud のランディングゾーンの設計。ランディングゾーンネットワークを作成するためのガイダンスを説明しています。
リファレンスアーキテクチャ、図、ベストプラクティスについては、Cloud アーキテクチャセンターをご確認ください。