分散型サービス拒否攻撃(DDoS)とは、正規ユーザーのエクスペリエンスを低下させるために、悪意のある人物が一般公開されたサイト、システム、API のオペレーションを意図的に妨害する攻撃です。Google Cloud Armor は、外部 TCP / UDP ネットワーク ロードバランサ(ネットワーク ロードバランサ)、プロトコル転送、パブリック IP アドレスを持つ VM を使用するワークロードに対して、DDoS 攻撃を防ぐ次のオプションを提供します。
- 標準のネットワーク DDoS 対策: ネットワーク ロードバランサ、プロトコル転送、パブリック IP アドレスを持つ VM に対して常時有効な基本的な保護対策。
- 高度なネットワーク DDoS 対策: ネットワーク ロードバランサ、プロトコル転送、パブリック IP アドレスを持つ VM を使用する Managed Protection Plus ユーザーに対する高度な保護対策。Managed Protection の詳細については、Managed Protection の概要をご覧ください。
このドキュメントでは、標準のネットワーク DDoS 対策と高度なネットワーク DDoS 対策の違いと、高度なネットワーク DDoS 対策の仕組みとそれを有効にする方法について説明します。
標準のネットワーク DDoS 対策と高度なネットワーク DDoS 対策の違い
次の表に、標準のネットワーク DDoS 保護対策と高度なネットワーク DDoS 保護対策の違いを示します。
| 機能 | 標準のネットワーク DDoS 対策 | 高度なネットワーク DDoS 対策 |
|---|---|---|
| 保護されるエンドポイントのタイプ |
|
|
| 標準的な DDoS 攻撃のフィルタリング | ||
| 転送ルールの適用 | ||
| 常時有効な攻撃モニタリングとアラート | ||
| 標的型攻撃の緩和策 | ||
| 緩和のテレメトリー |
ネットワーク DDoS 保護の仕組み
標準のネットワーク DDoS 保護は常に有効になっています。有効にするための操作は必要ありません。
高度なネットワーク DDoS 保護はリージョン単位で構成します。特定のリージョンで有効にすると、Google Cloud Armor は、ネットワーク ロードバランサ、プロトコル転送、そのリージョンのパブリック IP アドレスを持つ VM に対して常時有効な保護対策を提供し、ボリューム型の攻撃を検出して軽減します。高度なネットワーク DDoS 保護は、Managed Protection Plus に登録されているプロジェクトにのみ適用できます。
高度なネットワーク DDoS 対策を構成する場合は、まず、選択したリージョンに CLOUD_ARMOR_NETWORK タイプのセキュリティ ポリシーを作成します。次に、セキュリティ ポリシーを更新して、高度なネットワーク DDoS 対策を有効にします。最後に、ネットワーク エッジ セキュリティ サービスを作成します。これは、CLOUD_ARMOR_NETWORK タイプのセキュリティ ポリシーを接続できるリソースです。セキュリティ ポリシーをネットワーク エッジ セキュリティ サービスに接続すると、選択したリージョンの該当するすべてのエンドポイントで高度なネットワーク DDoS 対策を有効にできます。
高度なネットワーク DDoS 対策を有効にする
高度なネットワーク DDoS 対策を有効にするには、次の手順を行います。
Managed Protection Plus に登録する
リージョン単位で高度なネットワーク DDoS 対策を有効にするには、プロジェクトを Managed Protection Plus に登録する必要があります。有効にすると、そのリージョン内のすべてのリージョン エンドポイントに、高度なネットワーク DDoS 対策が常時適用されます。
請求先アカウントに有効な Managed Protection Plus サブスクリプションがあり、現在のプロジェクトが Managed Protection Plus に登録されていることを確認します。Managed Protection に登録する方法については、Managed Protection Plus への登録とプロジェクト登録をご覧ください。
高度なネットワーク DDoS 対策を構成する
高度なネットワーク DDoS 対策を有効にするには、次の手順を行います。変数は、デプロイメントに関連する情報に置き換えます。
CLOUD_ARMOR_NETWORKタイプのセキュリティ ポリシーを作成するか、CLOUD_ARMOR_NETWORKタイプの既存のセキュリティ ポリシーを使用します。SECURITY_POLICY_NAME は、セキュリティ ポリシーの名前に置き換えます。REGION は、セキュリティ ポリシーをプロビジョニングするリージョンに置き換えます。gcloud compute security-policies create SECURITY_POLICY_NAME \ --type CLOUD_ARMOR_NETWORK \ --region REGION--network-ddos-protectionフラグをADVANCEDに設定して、新規に作成したセキュリティ ポリシーまたは既存のセキュリティ ポリシーを更新します。gcloud compute security-policies update SECURITY_POLICY_NAME \ --network-ddos-protection ADVANCED \ --region REGION--network-ddos-protectionフラグをADVANCED_PREVIEWに設定して、プレビュー モードでセキュリティ ポリシーを有効にすることもできます。gcloud beta compute security-policies update SECURITY_POLICY_NAME \ --network-ddos-protection ADVANCED_PREVIEW \ --region REGIONセキュリティ ポリシーを参照するネットワーク エッジ セキュリティ サービスを作成します。
gcloud compute network-edge-security-services create SERVICE_NAME \ --security-policy SECURITY_POLICY_NAME \ --region REGION
高度なネットワーク DDoS 対策を無効にする
高度なネットワーク DDoS 対策を無効にするには、セキュリティ ポリシーを更新するか、削除します。
セキュリティ ポリシーを更新する
次のコマンドを使用して、セキュリティ ポリシーを更新し、--network-ddos-protection フラグを STANDARD に設定します。変数は、デプロイメントに関連する情報に置き換えます。
gcloud compute security-policies update SECURITY_POLICY_NAME \
--network-ddos-protection STANDARD \
--region REGION
セキュリティ ポリシーを削除する
使用中のセキュリティ ポリシーは削除できません。ネットワーク エッジのセキュリティ ポリシーを削除するには、まずネットワーク エッジ セキュリティ サービスから削除する必要があります。セキュリティ ポリシーを削除するには、次の操作を行います。
- ネットワーク エッジ セキュリティ サービスからポリシーを削除するか、ネットワーク エッジ セキュリティ サービスを削除します。
次のコマンドを使用して、セキュリティ ポリシーを削除します。
gcloud compute security-policies delete NAME
プレビュー モードを使用する
プレビュー モードでは、緩和策を適用せずに、高度なネットワーク DDoS 対策の効果をモニタリングできます。
Managed Protection Plus に登録すると、高度なネットワーク DDoS 対策ポリシーのプレビュー モードを有効にすることもできます。プレビュー モードでは、検出された攻撃と提案された緩和策について、すべてのロギングとテレメトリーを受け取ります。ただし、提案された緩和策は適用されません。これにより、提案された緩和策の有効性をテストしてから適用できます。各ポリシーはリージョンごとに構成されるため、リージョンごとにプレビュー モードを有効または無効にできます。
プレビュー モードを有効にするには、--ddos-protection フラグを ADVANCED_PREVIEW に設定します。既存のポリシーを更新するには、次の例を使用します。POLICY_NAME はポリシーの名前に、REGION はポリシーが配置されているリージョンに置き換えます。
gcloud beta compute security-policies update POLICY_NAME \
--network-ddos-protection ADVANCED_PREVIEW \
--region=REGION
アクティブな攻撃中にセキュリティ ポリシーがプレビュー モードになっている場合に、緩和策を適用するには、セキュリティ ポリシーを更新して --network-ddos-protection フラグを ADVANCED に設定します。ポリシーはほぼ瞬時に適用され、次の MITIGATION_ONGOING ロギング イベントに変更が反映されます。MITIGATION_ONGOING ロギング イベントは 5 分ごとに発生します。
ネットワーク DDoS 緩和テレメトリー
以降のセクションでは、テレメトリーを使用して攻撃とその発生元を分析する方法について説明します。
Cloud Logging 攻撃緩和のイベントログ
Google Cloud Armor は、DDoS 攻撃を緩和する際に次の 3 種類のイベントログを生成します。次のセクションでは、イベントログのタイプごとにログ形式の例を示します。
緩和開始
@type: "type.googleapis.com/google.cloud.networksecurity.cloudarmor.logging.v1.CloudArmorMitigationAlert" alertId: "11275630857957031521" mitigation_type: "MITIGATION_STARTED" target_vip: "XXX.XXX.XXX.XXX" total_volume: { pps: 1400000 } started: { total_attack_volume: { pps: 1100000 } classified_attack: { attack_type: "NTP-udp" attack_volume: { pps: 500000 } } classified_attack: { attack_type: "CHARGEN-udp" attack_volume: { pps: 600000 } } }緩和中
@type: "type.googleapis.com/google.cloud.networksecurity.cloudarmor.logging.v1.CloudArmorMitigationAlert" alertId: "11275630857957031521" mitigation_type: "MITIGATION_ONGOING" target_vip: "XXX.XXX.XXX.XXX" total_volume: { pps: 1500000 } ongoing: { total_attack_volume: { pps: 1100000 } classified_attack: { attack_type: "NTP-udp" attack_volume: { pps: 500000 } } classified_attack: { attack_type: "CHARGEN-udp" attack_volume: { pps: 600000 } } }緩和完了
@type: "type.googleapis.com/google.cloud.networksecurity.cloudarmor.logging.v1.CloudArmorMitigationAlert" alertId: "11275630857957031521" mitigation_type: "MITIGATION_ENDED" target_vip: "XXX.XXX.XXX.XXX" ended: { attack_duration_seconds: 600 }
プレビュー モードでは、先行する各 mitigation_type の前に PREVIEWED_ が付加されます。たとえば、プレビュー モードでは、MITIGATION_STARTED は PREVIEWED_MITIGATION_STARTED になります。
これらのログを表示するには、ログ エクスプローラに移動して network_security_policy リソースを表示します。
ログの表示方法の詳細については、ログの表示をご覧ください。