Google Cloud Armor 適応型保護のユースケース

このドキュメントでは、Google Cloud Armor 適応型保護の一般的なユースケースについて説明します。

L7 DDoS 攻撃の検出と保護

適応型保護の最も一般的なユースケースは、HTTP GET flood、HTTP POST flood、その他の高頻度 HTTP アクティビティなどの L7 DDoS 攻撃の検出と対応です。L7 DDoS 攻撃は多くの場合、比較的ゆっくり始まり、時間とともに激しくなります。人間または自動の急増検出メカニズムで攻撃が検出されるときまでには、攻撃は激しくなっており、すでにアプリケーションに強い悪影響を与えている可能性があります。急激なトラフィック増加を集約して観測することは可能ですが、深刻なことに、悪意のあるリクエストは普通の完全な形式のリクエストに見えるため、個々のリクエストを悪意のあるリクエストとそうでないものにリアルタイムで区別することは、きわめて困難です。同様に、攻撃ソースが数千件から数百万件の規模の範囲のボットネットやその他の悪意のあるクライアントのグループの中に分散しているため、IP のみに基づいて悪意のあるクライアントを体系的に検出してブロックすることでは、進行中の攻撃を軽減することがより難しくなっています。DDoS の場合は、対象のサービスが一部またはすべてのユーザーで利用できない状態になるため、結果として攻撃が成功します。

L7 DDoS 攻撃(HTTP GET flood)のイラスト。攻撃が成功すると、対象のアプリケーションは応答できなくなり、正当なユーザーがサービスにアクセスできない可能性があります。
L7 DDoS 攻撃(HTTP GET flood)のイラスト。攻撃が成功すると、対象のアプリケーションは応答できなくなり、正当なユーザーがサービスにアクセスできない可能性があります。(クリックして拡大)

L7 DDoS 攻撃をすばやく検出して対応するには、プロジェクトまたはセキュリティ ポリシーのオーナーが、プロジェクト内のセキュリティ ポリシーごとをベースに適応型保護を有効にします。通常のトラフィック パターンを少なくとも 1 時間トレーニングして観測すると、適応型保護は、通常のユーザーに影響を与えないまま、ライフサイクルの初期段階で攻撃を迅速かつ正確に検出して、進行中の攻撃をブロックする WAF ルールを提案する準備が整います。

適応型保護は L7 DDoS 攻撃を特定して軽減し、正当なユーザーがアプリケーションにアクセスできるようにします。
適応型保護は L7 DDoS 攻撃を特定して軽減し、正当なユーザーがアプリケーションにアクセスできるようにします。(クリックして拡大)

潜在的な攻撃の通知と疑わしいトラフィックの特定されたシグネチャが Logging に送信されます。ここでは、ログ メッセージによるカスタムのアラート ポリシーのトリガーや、ログ メッセージの分析や保存、ダウンストリームのセキュリティ情報とイベント管理ソリューション(SIEM)またはログ管理ソリューションへのログ メッセージ送信が行われます。ダウンストリームの SIEM またはログ管理を統合する方法について詳しくは、Logging のドキュメントをご覧ください。

攻撃シグネチャの検出と対応

潜在的な攻撃を早期に検出してアラートを出すだけでなく、そのアラートに基づいて対処し、攻撃を軽減するために遅れずに対応できることも重要になっています。企業のインシデント対応者は、進行中の攻撃への対応策を策定するのに十分な情報を収集するため、調査と頻繁なログの分析、システムのモニタリングに、重要な時間を使う必要があります。次に、緩和策をデプロイする前に、本番環境ワークロードに対して意図しない影響もしくは悪い影響を与えないようにするために、その緩和策を検証する必要があります。

企業のインシデント対応プロセスの一般的なワークフロー。
企業のインシデント対応プロセスの一般的なワークフロー。(クリックして拡大)

適応型保護を使用すると、インシデント対応者には、アラートを受け取った瞬間から、進行中の L7 DDoS 攻撃を迅速に分析し、対応するために必要なものがすべて用意されます。適応型保護アラートには、潜在的な攻撃に参加していると判断されたトラフィックのシグネチャが含まれます。シグネチャの内容には、悪意のある HTTP リクエスト ヘッダーやソース地域など、受信トラフィックに関するメタデータが含まれます。アラートには、悪意のあるトラフィックを即座にブロックするため、Google Cloud Armor に適用できる、攻撃のシグネチャに一致するルールも含まれています。

適応型保護イベントは、検証を支援するため、信頼度スコアと、推奨ルールに関連した、影響を受けたベースライン レートの予測を提供します。シグネチャの各コンポーネントには、インシデント対応者がレスポンスの範囲を微調整して狭めるまたは広げることができるように、攻撃の可能性と攻撃の割合という基準もあります。

モデルのカスタマイズとイベント エラー報告

適応型保護の攻撃検出モデルは、良いトラフィックと不正なトラフィックの両方の特性を示すように人工的に作成されたデータセットでトレーニングされています。その結果、適応型保護によって潜在的な攻撃として検出されますが、さらなる調査時に、インシデント対応者またはアプリケーション オーナーがその攻撃を攻撃でないと判断する場合があります。適応型保護は、各保護されたアプリケーションの固有のコンテキストとトラフィック パターンから学習できます。

潜在的な攻撃のシグネチャの例
潜在的な攻撃のシグネチャの例(クリックして拡大)

個々のアラートを誤検出として報告すると、適応型保護により検出モデルのさらなるトレーニングとカスタマイズができるようになります。誤検出レポートを使用すると、同様の特性や属性を持つトラフィックに対して、今後、適応型保護モデルがアラートを出す可能性が低くなります。時間が経過すると、適応型保護の検出モデルは、各保護されたセキュリティ ポリシーにおけるトラフィックの特定の特性に対して、より順応するようになります。誤検出イベントを報告する手順については、モニタリング、フィードバック、イベントエラーの報告で説明されています。

次のステップ