当記事は みずほリサーチ&テクノロジーズ × G-gen エンジニアコラボレーション企画 で執筆されたものです。
みずほリサーチ&テクノロジーズ株式会社の舘山です。 当記事では Google Cloud でネットワーク外部接続の予防的統制を実現する方法として、組織ポリシーについて紹介します。
はじめに
当記事の観点
当記事では、組織ポリシーを利用した Google Cloudネットワーク外部接続の予防的統制について紹介します。
ここでいう外部接続とは、インターネットとの接続のほかに、オンプレミスとの接続や Google Cloud 以外のクラウド環境との接続を含みます。自社の資産を安全に管理するために、組織ポリシーを利用した Google Cloud ネットワーク外部接続の予防的統制をご利用ください。
関連記事
外部接続の全体像
統制範囲を理解するため Google Cloud のネットワークレイヤでの外部接続の全体像について、図で整理しました。
外部接続の制限に関する組織ポリシー
Google Cloud では組織レベルでリソース構成に制限を設定できる、組織ポリシーという機能が利用できます。
組織ポリシーの概要については以下の記事をご参照ください。
前掲のネットワーク外部接続の多くは、組織ポリシーにより制限することが可能です。
以下の表に外部接続の制限に関する組織ポリシーを整理しました。
サービス固有の機能については全てを網羅できないため、Cloud SQL 等一部のサービスのみの記載に留めています。
各組織ポリシーの詳細は下記のサイトにポリシー名を入力することで確認できます。
| 統制対象 | 組織ポリシー |
|---|---|
| Cloud VPN | VPNピアIPアドレス制限 constraints/compute.restrictVpnPeerIPs |
| Cloud Interconnect | Cloud Interconnectを利用できるネットワークの制限 constraints/compute.restrictDedicatedInterconnectUsage constraints/compute.restrictPartnerInterconnectUsage |
| Cloud Shell | 組織ポリシーではなく、Cloud IdentityでCloud Shellを無効化する |
| VPC ピアリング | ピアリング先組織制限 constraints/compute.restrictVpcPeering Google管理VPCとのピアリングは許可したい場合、Google組織(433637338589)を許可リストへ追加する |
| Private Service Connect | 作成できるエンドポイントの制限 constraints/compute.disablePrivateServiceConnectCreationForConsumers サービスの公開を制限する組織ポリシーはない |
| VMへのパブリックIPアドレス付与 | (IPv4)パブリックIPアドレスを付与できるインスタンスの制限 constraints/compute.vmExternalIpAccess (IPv6)VPC の外部 IPv6 利用の制限 constraints/compute.disableVpcExternalIpv6 |
| VMへのシリアルコンソール接続 | シリアルコンソール接続の制限 constraints/compute.disableSerialPortAccess |
| 外部ロードバランサー | 作成できるロードバランサタイプの制限 constraints/compute.restrictLoadBalancerCreationForTypes 外部ロードバランサのみ利用制限する場合、INTERNALなロードバランサは許可設定する |
| 外部プロトコル転送ルール | 作成できる転送ルールタイプの制限 constraints/compute.restrictProtocolForwardingCreationForType 外部転送ルールのみ利用制限する場合、INTERNALな転送ルールは許可設定する |
| Cloud NAT | Cloud NATを利用できるサブネット制限 constraints/compute.restrictCloudNATUsage |
| Cloud SQLインスタンスへのパブリックIPアドレス付与 | パブリックIPアドレスを付与できるインスタンスの制限 constraints/sql.restrictPublicIp |
| Cloud Functions内向きルール | 許可される内向きルールの制限 constraints/cloudfunctions.allowedIngressSettings 内部通信のみ許可する場合、ALLOW_INTERNAL_ONLYを指定する |
| Cloud Build環境からのインターネット接続 | 利用できるワーカープールの制限 constraints/Cloudbuild.allowedWorkerPools インターネット接続を制限する場合、パブリックIP無効化したプライベートプールのみ許可する |
| Cloud Functionsからのインターネット接続 | サーバレスVPCアクセスの利用必須 constraints/cloudfunctions.requireVPCConnector VPCコネクタの外向き設定の制限 constraints/cloudfunctions.allowedVpcConnectorEgressSettings インターネット接続を制限する場合、サーバレスVPCアクセス利用必須にし、外向き設定の制限はALL_TRAFFICを指定する |
組織ポリシー違反の例として、ポリシーで禁止された外部ロードバランサーを作成しようとすると、以下のようなエラーになります。
舘山 浩之
みずほリサーチ&テクノロジーズ
先端技術研究部に所属。個人のキャリアではAWSの利用経験が長く、Google Cloudは2022年より利用開始。
