高度なネットワーク DDoS 対策を構成する

コレクションでコンテンツを整理 必要に応じて、コンテンツの保存と分類を行います。

分散型サービス拒否攻撃(DDoS)とは、正規ユーザーのエクスペリエンスを低下させるために、悪意のある人物が一般公開されたサイト、システム、API のオペレーションを意図的に妨害する攻撃です。Google Cloud Armor は、外部 TCP / UDP ネットワーク ロードバランサ(ネットワーク ロードバランサ)、プロトコル転送、パブリック IP アドレスを持つ VM を使用するワークロードに対して、DDoS 攻撃を防ぐ次のオプションを提供します。

  • 標準のネットワーク DDoS 対策: ネットワーク ロードバランサ、プロトコル転送、パブリック IP アドレスを持つ VM に対して常時有効な基本的な保護対策。
  • 高度なネットワーク DDoS 対策: ネットワーク ロードバランサ、プロトコル転送、パブリック IP アドレスを持つ VM を使用する Managed Protection Plus ユーザーに対する高度な保護対策。Managed Protection の詳細については、Managed Protection の概要をご覧ください。

このドキュメントでは、標準のネットワーク DDoS 対策と高度なネットワーク DDoS 対策の違いと、高度なネットワーク DDoS 対策の仕組みとそれを有効にする方法について説明します。

標準のネットワーク DDoS 対策と高度な対策の違い

次の表に、標準のネットワーク DDoS 保護対策と高度なネットワーク DDoS 保護対策の違いを示します。

機能 標準のネットワーク DDoS 対策 高度なネットワーク DDoS 対策
保護されるエンドポイントのタイプ
  • ネットワーク ロードバランサ
  • プロトコル転送
  • パブリック IP アドレスを持つ VM
  • ネットワーク ロードバランサ
  • プロトコル転送
  • パブリック IP アドレスを持つ VM
標準的な DDoS 攻撃のフィルタリング
転送ルールの適用
常時有効な攻撃モニタリングとアラート
標的型攻撃の緩和
緩和のテレメトリー

ネットワーク DDoS 保護の仕組み

標準のネットワーク DDoS 保護は常に有効になっています。有効にするための操作は必要ありません。

高度なネットワーク DDoS 保護はリージョン単位で構成します。特定のリージョンで有効にすると、Google Cloud Armor は、ネットワーク ロードバランサ、プロトコル転送、そのリージョンのパブリック IP アドレスを持つ VM に対して常時有効な保護対策を提供し、ボリューム型の攻撃を検出して軽減します。高度なネットワーク DDoS 保護は、Managed Protection Plus に登録されているプロジェクトにのみ適用できます。

高度なネットワーク DDoS 対策を構成する場合は、まず、選択したリージョンに CLOUD_ARMOR_NETWORK タイプのセキュリティ ポリシーを作成します。次に、セキュリティ ポリシーを更新して、高度なネットワーク DDoS 対策を有効にします。最後に、ネットワーク エッジ セキュリティ サービスを作成します。これは、CLOUD_ARMOR_NETWORK タイプのセキュリティ ポリシーを接続できるリソースです。セキュリティ ポリシーをネットワーク エッジ セキュリティ サービスに接続すると、選択したリージョンの該当するすべてのエンドポイントで高度なネットワーク DDoS 対策を有効にできます。

高度なネットワーク DDoS 対策を有効にする

高度なネットワーク DDoS 対策を有効にするには、次の手順を行います。

Managed Protection Plus に登録する

リージョン単位で高度なネットワーク DDoS 対策を有効にするには、プロジェクトを Managed Protection Plus に登録する必要があります。有効にすると、そのリージョン内のすべてのリージョン エンドポイントに、高度なネットワーク DDoS 対策が常時適用されます。

請求先アカウントに有効な Managed Protection Plus サブスクリプションがあり、現在のプロジェクトが Managed Protection Plus に登録されていることを確認します。Managed Protection に登録する方法については、Managed Protection Plus への登録とプロジェクト登録をご覧ください。

高度なネットワーク DDoS 対策を構成する

高度なネットワーク DDoS 対策を有効にするには、次の手順を行います。変数は、デプロイメントに関連する情報に置き換えます。

  1. CLOUD_ARMOR_NETWORK タイプのセキュリティ ポリシーを作成するか、CLOUD_ARMOR_NETWORK タイプの既存のセキュリティ ポリシーを使用します。SECURITY_POLICY_NAME は、セキュリティ ポリシーの名前に置き換えます。REGION は、セキュリティ ポリシーをプロビジョニングするリージョンに置き換えます。

    gcloud compute security-policies create SECURITY_POLICY_NAME --type CLOUD_ARMOR_NETWORK --region REGION
    
  2. --network-ddos-protection フラグを ADVANCED に設定して、新規に作成したセキュリティ ポリシーまたは既存のセキュリティ ポリシーを更新します。

    gcloud compute security-policies update SECURITY_POLICY_NAME --network-ddos-protection ADVANCED --region  REGION
    
  3. セキュリティ ポリシーを参照するネットワーク エッジ セキュリティ サービスを作成します。

    gcloud compute network-edge-security-services create SERVICE_NAME --security-policy SECURITY_POLICY_NAME --region REGION
    

高度なネットワーク DDoS 保護を無効にする

高度なネットワーク DDoS 対策を無効にするには、セキュリティ ポリシーを更新して --network-ddos-protection フラグを STANDARD にするか、セキュリティ ポリシーを削除します。

セキュリティ ポリシーを更新する

次のコマンドを使用して、セキュリティ ポリシーを更新し、--network-ddos-protection フラグを STANDARD に設定します。変数は、デプロイメントに関連する情報に置き換えます。

  gcloud compute security-policies update SECURITY_POLICY_NAME --network-ddos-protection STANDARD --region  REGION
  

セキュリティ ポリシーを削除する

使用中のセキュリティ ポリシーは削除できません。ネットワーク エッジのセキュリティ ポリシーを削除するには、まずネットワーク エッジ セキュリティ サービスから削除する必要があります。セキュリティ ポリシーを削除するには、次の操作を行います。

  1. ネットワーク エッジ セキュリティ サービスからポリシーを削除するか、ネットワーク エッジ セキュリティ サービスを削除します。
  2. 次のコマンドを使用して、セキュリティ ポリシーを削除します。

    gcloud compute security-policies delete NAME
    

ネットワーク DDoS 緩和テレメトリー

以降のセクションでは、テレメトリーを使用して攻撃とその発生元を分析する方法について説明します。

Cloud Logging 攻撃緩和のイベントログ

Google Cloud Armor は、DDoS 攻撃を緩和する際に次の 3 種類のイベントログを生成します。次のセクションでは、イベントログのタイプごとにログ形式の例を示します。

  • 緩和開始

    @type: "type.googleapis.com/google.cloud.networksecurity.cloudarmor.logging.v1.CloudArmorMitigationAlert"
    alertId: "11275630857957031521"
    mitigation_type: "MITIGATION_STARTED"
    target_vip: "XXX.XXX.XXX.XXX"
    total_volume: {
      pps: 1400000
    }
    started: {
    total_attack_volume: {
      pps: 1100000
    }
    classified_attack: {
      attack_type: "ntp amplification"
      attack_volume: {
        pps: 500000
      }
    }
    classified_attack: {
      attack_type: "ssdp amplification"
      attack_volume: {
        pps: 600000
      }
    }
    }
    
  • 緩和中

    @type: "type.googleapis.com/google.cloud.networksecurity.cloudarmor.logging.v1.CloudArmorMitigationAlert"
    alertId: "11275630857957031521"
    mitigation_type: "MITIGATION_ONGOING"
    target_vip: "XXX.XXX.XXX.XXX"
    total_volume: {
      pps: 1500000
    }
    ongoing: {
    total_attack_volume: {
      pps: 1100000
    }
    classified_attack: {
      attack_type: "ntp amplification"
      attack_volume: {
        pps: 500000
      }
    }
    classified_attack: {
      attack_type: "ssdp amplification"
      attack_volume: {
        pps: 600000
      }
    }
    }
    
  • 緩和完了

    @type: "type.googleapis.com/google.cloud.networksecurity.cloudarmor.logging.v1.CloudArmorMitigationAlert"
    alertId: "11275630857957031521"
    mitigation_type: "MITIGATION_ENDED"
    target_vip: "XXX.XXX.XXX.XXX"
    ended: {
      attack_duration_seconds: 600
    }
    

これらのログを表示するには、ログ エクスプローラに移動して network_security_policy リソースを表示します。

[ログ エクスプローラ] に移動

ログの表示方法の詳細については、ログの表示をご覧ください。