Google Cloud Armor 適応型保護のユースケース

このドキュメントでは、Google Cloud Armor 適応型保護の一般的なユースケースについて説明します。

L7 DDoS 攻撃の検出と保護

適応型保護の最も一般的なユースケースは、HTTP GET flood、HTTP POST flood、その他の高頻度 HTTP アクティビティなどの L7 DDoS 攻撃の検出と対応です。L7 DDoS 攻撃は多くの場合、比較的ゆっくり始まり、時間とともに激しくなります。人または自動の検出メカニズムで攻撃が検出されたときには、攻撃はすでに激しくなっており、アプリケーションに強い悪影響が生じている可能性があります。急激なトラフィック増加を集約して観測することは可能ですが、深刻なことに、悪意のあるリクエストは普通の完全な形式のリクエストに見えるため、個々のリクエストを悪意のあるリクエストとそうでないものにリアルタイムで区別することは、きわめて困難です。同様に、攻撃ソースが数千件から数百万件の規模の範囲のボットネットやその他の悪意のあるクライアントのグループの中に分散しているため、IP のみに基づいて悪意のあるクライアントを体系的に検出してブロックすることで進行中の攻撃を軽減することは難しくなってきています。DDoS の場合は、対象のサービスが一部またはすべてのユーザーで利用できない状態になるため、結果として攻撃が成功します。

L7 DDoS 攻撃(HTTP GET flood)のイラスト。攻撃が成功すると、対象のアプリケーションは応答できなくなり、正当なユーザーがサービスにアクセスできなくなる可能性があります。
L7 DDoS 攻撃(HTTP GET flood)のイラスト。攻撃が成功すると、対象のアプリケーションは応答できなくなり、正当なユーザーがサービスにアクセスできなくなる可能性があります。(クリックして拡大)

L7 DDoS 攻撃をすばやく検出して対応するには、プロジェクトまたはセキュリティ ポリシーのオーナーが、プロジェクト内のセキュリティ ポリシーごとをベースに適応型保護を有効にします。通常のトラフィック パターンを少なくとも 1 時間トレーニングして観測すると、適応型保護は、通常のユーザーに影響を与えないまま、ライフサイクルの初期段階で攻撃を迅速かつ正確に検出し、進行中の攻撃をブロックする WAF ルールを提案する準備が整います。

適応型保護は L7 DDoS 攻撃を特定して軽減し、正当なユーザーがアプリケーションにアクセスできるようにします。
適応型保護は L7 DDoS 攻撃を特定して軽減し、正当なユーザーがアプリケーションにアクセスできるようにします。(クリックして拡大)

潜在的な攻撃の通知と疑わしいトラフィックのシグネチャが Logging に送信されます。ここでは、ログメッセージによるカスタムのアラート ポリシーのトリガーや、ログメッセージの分析や保存、ダウンストリームのセキュリティ情報とイベント管理ソリューション(SIEM)、またはログ管理ソリューションへのログメッセージ送信が行われます。ダウンストリームの SIEM またはログ管理を統合する方法について詳しくは、Logging のドキュメントをご覧ください。

攻撃シグネチャの検出と対応

潜在的な攻撃を早期に検出してアラートを出すだけでなく、そのアラートに基づいて対処し、攻撃を軽減するために迅速に対応できることも重要です。企業のインシデント対応者は、進行中の攻撃への対応策を策定するのに十分な情報を収集するため、調査と頻繁なログの分析、システムのモニタリングに時間を費やす必要があります。次に、緩和策をデプロイする前に、本番環境ワークロードに対して意図しない影響、もしくは悪い影響を与えないようにするため、緩和策を検証する必要があります。

企業のインシデント対応プロセスの一般的なワークフロー。
企業のインシデント対応プロセスの一般的なワークフロー。(クリックして拡大)

適応型保護を使用すると、インシデント対応者には、アラートを受け取った瞬間から、進行中の L7 DDoS 攻撃を迅速に分析し、対応に必要なものがすべて用意されます。適応型保護アラートには、潜在的な攻撃に参加していると判断されたトラフィックのシグネチャが含まれます。シグネチャの内容には、悪意のある HTTP リクエストのヘッダーや送信元の地域など、受信トラフィックに関するメタデータが含まれます。アラートには、悪意のあるトラフィックをすぐにブロックするために Google Cloud Armor に適用できる、攻撃シグネチャに対するルールも含まれています。

適応型保護イベントは、信頼度レベルと推奨ルールのほかに、その推奨ルールに関連付けられ、影響を受けたベースライン レートの予測を提供します。シグネチャの各コンポーネントには、インシデント対応者がレスポンスの範囲を微調整できるように、攻撃の可能性と攻撃の割合という基準もあります。

モデルのカスタマイズとイベントエラーの報告

適応型攻撃検出モデルは、正常なトラフィックと不正なトラフィックの両方の特性を表すデータセットでトレーニングされます。その結果、適応型保護が潜在的な攻撃を識別し、インシデント対応者またはアプリケーション オーナーが詳しい調査を行った結果、攻撃が発生していなかったという結論になる場合もあります。適応型保護は、保護されたアプリケーション固有のコンテキストとトラフィック パターンから学習できます。

潜在的な攻撃のシグネチャの例
潜在的な攻撃のシグネチャの例(クリックして拡大)

個々のアラートを誤検出として報告すると、適応型保護により検出モデルのさらなるトレーニングとカスタマイズができるようになります。誤検出レポートを使用すると、同様の特性や属性を持つトラフィックに対して、今後、適応型保護モデルがアラートを出す可能性が低くなります。時間の経過とともに、適応型保護の検出モデルは、保護された各セキュリティ ポリシー内のトラフィック固有の特性に順応していきます。誤検出イベントを報告する手順については、モニタリング、フィードバック、イベントエラーの報告で説明されています。

次のステップ