プロダクトの概要

Google Cloud Armor は、分散型サービス拒否（DDoS）攻撃や、クロスサイトスクリプティング（XSS）、SQL インジェクション（SQLi）などのアプリケーション攻撃など、さまざまなタイプの脅威から Google Cloud のデプロイを保護するのに役立ちます。Google Cloud Armor には自動保護のほか、手動構成が必要な保護もあります。このドキュメントでは、これらの機能の概要を説明します。機能の一部は、グローバル外部アプリケーションロードバランサと従来のアプリケーションロードバランサでのみ使用できます。

セキュリティポリシー

Google Cloud Armor のセキュリティポリシーを使用して、ロードバランサの背後で実行されているアプリケーションを分散型サービス拒否攻撃（DDoS）やその他のウェブベースの攻撃から保護します。アプリケーションが Google Cloud にデプロイされているか、ハイブリッドデプロイであるか、マルチクラウドアーキテクチャであるかは関係ありません。セキュリティポリシーは、構成可能な一致条件とアクションを使用して、手動で構成できます。また、Google Cloud Armor はさまざまなユースケースに対応する事前構成されたセキュリティポリシーも特長としています。詳細については、Google Cloud Armor セキュリティポリシーの概要をご覧ください。

ルール言語

Google Cloud Armor を使用すると、セキュリティポリシーで構成可能な一致条件とアクションを使用して優先順位付けされたルールを定義できます。ルールが効力を発するということは、受信リクエストの属性と一致するルールで、そのルールの優先度が最も高いルールである場合に、構成されているアクションが適用されることを意味します。詳細については、Google Cloud Armor カスタムルール言語リファレンスをご覧ください。

事前構成 WAF ルール

Google Cloud Armor の事前構成 WAF ルールは、オープンソースの業界標準から集められた多数のシグネチャを持つ複雑なウェブアプリケーションファイアウォール（WAF）ルールです。各シグネチャは、ルールセット内の攻撃検出ルールに対応しています。Google はこれらのルールをそのまま提供します。このルールにより、Google Cloud Armor では、各シグネチャを手動で定義する必要がなく、便利に命名されたルールを参照することで、数十の異なるトラフィックシグネチャを評価できます。

Google Cloud Armor の事前構成済みルールは、インターネットからの一般的な攻撃からウェブアプリケーションやサービスを保護し、OWASP の 10 大リスクを軽減するのに役立ちます。ルールのソースは ModSecurity Core Rule Set 3.0.2（CRS）です。

事前構成ルールを調整して、ノイズの多いまたは不要なシグネチャを無効にできます。詳細については、Google Cloud Armor WAF ルールのチューニングをご覧ください。

Google Cloud Armor Enterprise

Cloud Armor Enterprise は、分散型サービス拒否（DDoS）攻撃やその他のインターネット脅威からウェブアプリケーションとサービスを保護するマネージドアプリケーション保護サービスです。Cloud Armor Enterprise にはロードバランサの常時保護機能があり、WAF ルールにアクセスできます。

DDoS 対策は、階層に関係なく、グローバル外部アプリケーションロードバランサ、従来のアプリケーションロードバランサ、外部プロキシネットワークロードバランサで自動的に提供されます。HTTP、HTTPS、HTTP/2、QUIC の各プロトコルはすべてサポートされています。さらに、Cloud Armor Enterprise のサブスクライバーは、DDoS 攻撃の可視性のテレメトリーにアクセスできます。

詳細については、Cloud Armor Enterprise の概要をご覧ください。

脅威インテリジェンス

Google Cloud Armor の脅威インテリジェンスを使用すると、脅威インテリジェンスデータの複数のカテゴリに基づいて、グローバル外部アプリケーションロードバランサと従来のアプリケーションロードバランサへのトラフィックを許可またはブロックしてトラフィックを保護できます。脅威インテリジェンスの詳細については、脅威インテリジェンス機能の構成をご覧ください。

名前付き IP アドレスリスト

Google Cloud Armor の名前付き IP アドレスリストを使用すると、IP アドレスと IP 範囲のリストを参照できます。名前付き IP アドレスリストを使って、セキュリティポリシールールを構成できます。各 IP アドレスまたは IP 範囲を個別に手動で指定する必要はありません。詳しくは、名前付き IP アドレスリストをご覧ください。

Google Cloud Armor 適応型保護

適応型保護は、バックエンドサービスに対するトラフィックパターンを分析し、不審な攻撃を検知してアラートを生成します。さらに、こうした攻撃を回避するための WAF 推奨ルールを生成します。これにより、L7 分散サービス拒否（DDoS）攻撃からアプリケーションとサービスを保護します。これらのルールはニーズに合わせて調整できます。適応型保護は、セキュリティポリシーごとに有効にできますが、プロジェクトに有効な Cloud Armor Enterprise サブスクリプションが必要です。

詳細については、Google Cloud Armor の適応型保護の概要をご覧ください。

Google Cloud Armor の仕組み

Google Cloud Armor は、ネットワークベースまたはプロトコルベースのボリューム型の DDoS 攻撃に対して常時稼働の DDoS 保護を提供します。この保護は、ロードバランサの背後にあるアプリケーションやサービスに適用されます。ネットワーク攻撃を検知し、回避することができるため、正しい形式のリクエストだけにロードバランシングプロキシを通過させることが可能です。セキュリティポリシーは、カスタムのレイヤ 7 フィルタリングポリシーを適用します。たとえば、事前構成済みの WAF ルールを使用して、OWASP トップ 10 のウェブアプリケーションの脆弱性リスクを低減できます。セキュリティポリシーは、次のロードバランサのバックエンドサービスに接続できます。

グローバル外部アプリケーションロードバランサ
従来のアプリケーションロードバランサ
外部プロキシネットワークロードバランサ

Google Cloud Armor のセキュリティポリシーを使用すると、Google Cloud のエッジにあるデプロイメントへのアクセスを、受信トラフィックの送信元にできるだけ近い場所で許可または拒否できます。これにより、望ましくないトラフィックによるリソースの消費や Virtual Private Cloud（VPC）ネットワークへ侵入を防止します。

次の図は、グローバル外部アプリケーションロードバランサ、従来のアプリケーションロードバランサ、Google ネットワーク、Google データセンターの場所を示しています。

ネットワークエッジでの Google Cloud Armor ポリシー。 — ネットワークエッジでの Google Cloud Armor ポリシー（クリックして拡大）

これらの機能の一部またはすべてを使用してアプリケーションを保護できます。セキュリティポリシーを使用して既知の条件と照合できます。WAF ルールを作成して、ModSecurity Core Rule Set 3.0.2 で検出される一般的な攻撃から保護することもできます。Google Cloud Armor Enterprise に組み込まれている、DDoS 攻撃に対する保護機能も使用できます。