Google Cloud Armor は、分散型サービス拒否(DDoS)攻撃や、クロスサイト スクリプティング(XSS)、SQL インジェクション(SQLi)などのアプリケーション攻撃など、さまざまなタイプの脅威から Google Cloud のデプロイを保護するのに役立ちます。Google Cloud Armor には自動保護のほか、手動構成が必要な保護もあります。このドキュメントでは、これらの機能の概要を説明します。機能の一部は、グローバル外部アプリケーション ロードバランサと従来のアプリケーション ロードバランサでのみ使用できます。
セキュリティ ポリシー
Google Cloud Armor のセキュリティ ポリシーを使用して、ロードバランサの背後で実行されているアプリケーションを分散型サービス拒否攻撃(DDoS)やその他のウェブベースの攻撃から保護します。アプリケーションが Google Cloud にデプロイされているか、ハイブリッド デプロイであるか、マルチクラウド アーキテクチャであるかは関係ありません。セキュリティ ポリシーは、構成可能な一致条件とアクションを使用して、手動で構成できます。さまざまなユースケースに対応する事前構成されたセキュリティ ポリシーも、Google Cloud Armor の特徴の 1 つです。詳細については、Google Cloud Armor セキュリティ ポリシーの概要をご覧ください。
ルール言語
Google Cloud Armor を使用すると、セキュリティ ポリシーで構成可能な一致条件とアクションを使用して優先順位付けされたルールを定義できます。ルールが効力を発するということは、受信リクエストの属性と一致するルールで、そのルールの優先度が最も高いルールである場合に、構成されているアクションが適用されることを意味します。詳細については、Google Cloud Armor カスタムルール言語リファレンスをご覧ください。
事前構成 WAF ルール
Google Cloud Armor の事前構成 WAF ルールは、オープンソースの業界標準から集められた多数のシグネチャを持つ複雑なウェブ アプリケーション ファイアウォール(WAF)ルールです。各シグネチャは、ルールセット内の攻撃検出ルールに対応しています。Google はこれらのルールをそのまま提供します。このルールにより、Google Cloud Armor では、各シグネチャを手動で定義する必要がなく、便利に命名されたルールを参照することで、数十の異なるトラフィック シグネチャを評価できます。
Google Cloud Armor の事前構成済みルールは、インターネットからの一般的な攻撃からウェブ アプリケーションやサービスを保護し、OWASP の 10 大リスクを軽減するのに役立ちます。ルールのソースは ModSecurity Core Rule Set 3.3.2(CRS)です。
事前構成ルールを調整して、ノイズの多いまたは不要なシグネチャを無効にできます。詳細については、Google Cloud Armor WAF ルールのチューニングをご覧ください。
Google Cloud Armor Enterprise
Cloud Armor Enterprise は、分散型サービス拒否(DDoS)攻撃やその他のインターネット脅威からウェブ アプリケーションとサービスを保護するマネージド アプリケーション保護サービスです。Cloud Armor Enterprise はロードバランサの常時保護を特色としており、WAF ルールにアクセスできるようになります。
DDoS 対策は、階層に関係なく、グローバル外部アプリケーション ロードバランサ、従来のアプリケーション ロードバランサ、外部プロキシ ネットワーク ロードバランサで自動的に提供されます。HTTP、HTTPS、HTTP/2、QUIC の各プロトコルはすべてサポートされています。さらに、Cloud Armor Enterprise に登録すると、DDoS 攻撃の可視性のテレメトリーにアクセスできます。
詳細については、Cloud Armor Enterprise の概要をご覧ください。
脅威インテリジェンス
Google Cloud Armor の脅威インテリジェンスを使用すると、脅威インテリジェンス データの複数のカテゴリに基づいて、グローバル外部アプリケーション ロードバランサと従来のアプリケーション ロードバランサへのトラフィックを許可またはブロックしてトラフィックを保護できます。脅威インテリジェンスの詳細については、脅威インテリジェンス機能の構成をご覧ください。
Google Cloud Armor Adaptive Protection
適応型保護は、バックエンド サービスに対するトラフィック パターンを分析し、不審な攻撃を検知してアラートを生成します。さらに、こうした攻撃を回避するための WAF 推奨ルールを生成します。これにより、L7 分散サービス拒否(DDoS)攻撃からアプリケーションとサービスを保護します。これらのルールはニーズに合わせて調整できます。適応型保護は、セキュリティ ポリシーごとに有効にできますが、プロジェクトに有効な Cloud Armor Enterprise サブスクリプションが必要です。
詳細については、Google Cloud Armor の適応型保護の概要をご覧ください。
高度なネットワーク DDoS 対策
高度なネットワーク DDoS 対策は、ネットワーク ロードバランサ、プロトコル転送、パブリック IP アドレスを持つ VM を使用する Managed Protection Plus ユーザー向けの高度な保護対策を提供します。高度なネットワーク DDoS 対策は、常時有効な攻撃モニタリングとアラート、標的型攻撃の軽減、軽減テレメトリーを提供します。詳細については、高度なネットワーク DDoS 対策を構成するをご覧ください。
Google Cloud Armor の仕組み
Google Cloud Armor は、ネットワーク ベースまたはプロトコル ベースのボリューム型の DDoS 攻撃に対して常時稼働の DDoS 保護を提供します。この保護は、ロードバランサの背後にあるアプリケーションやサービスに適用されます。ネットワーク攻撃を検知し、回避することができるため、正しい形式のリクエストだけにロード バランシング プロキシを通過させることが可能です。セキュリティ ポリシーは、カスタムのレイヤ 7 フィルタリング ポリシーを適用します。たとえば、事前構成済みの WAF ルールを使用して、OWASP トップ 10 のウェブ アプリケーションの脆弱性リスクを低減できます。セキュリティ ポリシーは、次のロードバランサのバックエンド サービスに接続できます。
- グローバル外部アプリケーション ロードバランサ
- リージョン外部アプリケーション ロードバランサ
- 従来のアプリケーション ロードバランサ
- 外部プロキシ ネットワーク ロードバランサ
- 外部パススルー ネットワーク ロードバランサ
Google Cloud Armor のセキュリティ ポリシーを使用すると、Google Cloud のエッジにあるデプロイメントへのアクセスを、受信トラフィックの送信元にできるだけ近い場所で許可または拒否できます。これにより、望ましくないトラフィックによるリソースの消費や Virtual Private Cloud(VPC)ネットワークへ侵入を防止します。
次の図は、グローバル外部アプリケーション ロードバランサ、従来のアプリケーション ロードバランサ、Google ネットワーク、Google データセンターの場所を示しています。
これらの機能の一部またはすべてを使用してアプリケーションを保護できます。セキュリティ ポリシーを使用して既知の条件と照合できます。WAF ルールを作成して、ModSecurity Core Rule Set 3.3.2 で検出される一般的な攻撃から保護することもできます。Google Cloud Armor Enterprise に組み込まれている、DDoS 攻撃に対する保護機能も使用できます。
次のステップ
- Google Cloud Armor の一般的なユースケースを調べる
- Google Cloud Armor Enterprise について学ぶ
- Google Cloud Armor 適応型保護について学ぶ