Google Cloud Armor は、分散型サービス拒否(DDoS)攻撃や、クロスサイト スクリプティング(XSS)、SQL インジェクション(SQLi)などのアプリケーション攻撃など、さまざまなタイプの脅威から Google Cloud デプロイを保護するのに役立ちます。Google Cloud Armor には自動保護のほか、手動構成が必要な保護もあります。このドキュメントでは、これらの機能の概要を説明します。機能の一部は、グローバル外部アプリケーション ロードバランサと従来のアプリケーション ロードバランサでのみ使用できます。
セキュリティ ポリシー
Google Cloud Armor のセキュリティ ポリシーを使用すると、ロードバランサの背後で実行されているアプリケーションを分散型サービス拒否攻撃(DDoS)やその他のウェブベースの攻撃から保護できます。アプリケーションのデプロイ先が Google Cloud、ハイブリッド デプロイ、マルチクラウド アーキテクチャのどこであるかは関係ありません。セキュリティ ポリシーは、構成可能な一致条件とアクションを使用して手動で構成できます。また、Google Cloud Armor はさまざまなユースケースに対応する事前構成されたセキュリティ ポリシーも特長としています。詳細については、Google Cloud Armor セキュリティ ポリシーの概要をご覧ください。
ルール言語
Google Cloud Armor では、構成可能な一致条件とアクションをセキュリティ ポリシーで使用して、優先度が設定されたルールを定義できます。ルールが有効であるということは、そのルールの属性が受信リクエストの属性と一致し、他の一致するルールより優先度が高い場合に、そのルールで構成されたアクションが適用されることを意味します。詳細については、Google Cloud Armor カスタムルール言語リファレンスをご覧ください。
事前構成 WAF ルール
Google Cloud Armor の事前構成 WAF ルールは、オープンソースの業界標準から集められた多数のシグネチャを持つ複雑なウェブ アプリケーション ファイアウォール(WAF)ルールです。各シグネチャは、ルールセット内の攻撃検出ルールに対応しています。Google はこれらのルールをそのまま提供します。このルールにより、Google Cloud Armor では、各シグネチャを手動で定義する必要がなく、便利に命名されたルールを参照することで、数十の異なるトラフィック シグネチャを評価できます。
Google Cloud Armor の事前構成済みルールは、インターネットからの一般的な攻撃からウェブ アプリケーションやサービスを保護し、OWASP トップ 10 リスクを緩和するのに役立ちます。ルールのソースは OWASP Core Rule Set 3.3.2(CRS)です。
事前構成ルールを調整して、ノイズの多いまたは不要なシグネチャを無効にできます。詳細については、Google Cloud Armor WAF ルールのチューニングをご覧ください。
Google Cloud Armor Enterprise
Cloud Armor Enterprise は、分散型サービス拒否(DDoS)攻撃やその他のインターネット脅威からウェブ アプリケーションとサービスを保護するマネージド アプリケーション保護サービスです。Cloud Armor Enterprise はロードバランサの常時保護を特色としているほか、ユーザーが WAF ルールにアクセスできます。
ティアに関係なく、グローバル外部アプリケーション ロードバランサ、従来のアプリケーション ロードバランサ、外部プロキシ ネットワーク ロードバランサで DDoS 対策が自動的に提供されます。これは、HTTP、HTTPS、HTTP/2、QUIC の各プロトコルに対応しています。さらに、Cloud Armor Enterprise に登録すると DDoS 攻撃の可視性のテレメトリーにアクセスできます。
詳細については、Cloud Armor Enterprise の概要をご覧ください。
Google Threat Intelligence
Google Cloud Armor の Google Threat Intelligence を使用すると、脅威インテリジェンス データの複数のカテゴリに基づいて、グローバル外部アプリケーション ロードバランサと従来のアプリケーション ロードバランサへのトラフィックを許可またはブロックしてトラフィックを保護できます。Google Threat Intelligence の詳細については、Google Threat Intelligence を適用するをご覧ください。
Google Cloud Armor の適応型保護
適応型保護は、バックエンド サービスに対するトラフィック パターンを分析し、不審な攻撃を検知してアラートを生成します。さらに、こうした攻撃を回避するための WAF 推奨ルールを生成します。これにより、L7 分散サービス拒否(DDoS)攻撃からアプリケーションとサービスを保護します。これらのルールはニーズに合わせて調整できます。適応型保護はセキュリティ ポリシー単位で有効にできますが、プロジェクトに有効な Cloud Armor Enterprise サブスクリプションが必要です。
詳細については、Google Cloud Armor の適応型保護の概要をご覧ください。
高度なネットワーク DDoS 対策
高度なネットワーク DDoS 対策は、ネットワーク ロードバランサ、プロトコル転送、パブリック IP アドレスを持つ VM を使用する Managed Protection Plus ユーザー向けの高度な保護機能です。常時有効な攻撃モニタリングとアラート、標的型攻撃の緩和策、緩和テレメトリーが提供されます。詳細については、高度なネットワーク DDoS 対策を構成するをご覧ください。
Google Cloud Armor の仕組み
Google Cloud Armor は、ネットワーク ベースまたはプロトコル ベースのボリューム型 DDoS 攻撃に対する常時有効な DDoS 保護を提供します。この保護は、ロードバランサの背後にあるアプリケーションやサービスに適用されます。ネットワーク攻撃を検知して回避できるため、正しい形式のリクエストだけにロード バランシング プロキシを通過させることが可能です。セキュリティ ポリシーでは、カスタムのレイヤ 7 フィルタリング ポリシーが適用されます。これには、OWASP トップ 10 のウェブ アプリケーション脆弱性リスクを緩和する事前構成済みの WAF ルールが含まれます。セキュリティ ポリシーは、次のロードバランサのバックエンド サービスに接続できます。- 従来のアプリケーション ロードバランサを含むすべての外部アプリケーション ロードバランサ
- リージョン内部アプリケーション ロードバランサ
- グローバル外部プロキシ ネットワーク ロードバランサ(TCP/SSL)
- 従来のプロキシ ネットワーク ロードバランサ(TCP/SSL)
- 外部パススルー ネットワーク ロードバランサ(TCP / UDP)
Google Cloud Armor のセキュリティ ポリシーを使用すると、 Google Cloud エッジにあるデプロイへのアクセスを、受信トラフィックの送信元にできるだけ近い場所で許可または拒否できます。これにより、望ましくないトラフィックによるリソースの消費や Virtual Private Cloud(VPC)ネットワークへの侵入を防止できます。
次の図は、グローバル外部アプリケーション ロードバランサ、従来のアプリケーション ロードバランサ、Google ネットワーク、Google データセンターの場所を示しています。
アプリケーションを保護する際は、これらの機能の一部またはすべてを使用できます。セキュリティ ポリシーを使用して既知の条件と照合したり、OWASP Core Rule Set 3.3.2 で検出される一般的な攻撃から保護する WAF ルールを作成したりできます。Google Cloud Armor Enterprise に組み込まれている、DDoS 攻撃に対する保護機能も使用できます。
次のステップ
- Google Cloud Armor の一般的なユースケースを調べる
- Google Cloud Armor Enterprise について学習する
- Google Cloud Armor の適応型保護について学習する