Google Cloud Armor の概要

コレクションでコンテンツを整理 必要に応じて、コンテンツの保存と分類を行います。

Google Cloud Armor は、分散型サービス拒否(DDoS)攻撃や、クロスサイト スクリプティング(XSS)、SQL インジェクション(SQLi)などのアプリケーション攻撃など、さまざまなタイプの脅威から Google Cloud のデプロイを保護するのに役立ちます。Google Cloud Armor には自動保護のほか、手動構成が必要な保護もあります。このドキュメントでは、これらの機能の概要を説明します。機能の一部は、グローバル外部 HTTP(S) ロードバランサとグローバル外部 HTTP(S) ロードバランサ(従来版)でのみ使用できます。

セキュリティ ポリシー

Google Cloud Armor のセキュリティ ポリシーを使用して、ロードバランサの背後で実行されているアプリケーションを分散型サービス拒否攻撃(DDoS)やその他のウェブベースの攻撃から保護します。アプリケーションが Google Cloud にデプロイされているか、ハイブリッド デプロイであるか、マルチクラウド アーキテクチャであるかは関係ありません。セキュリティ ポリシーは、構成可能な一致条件とアクションを使用して、手動で構成できます。また、Google Cloud Armor はさまざまなユースケースに対応する事前構成されたセキュリティ ポリシーも特長としています。詳細については、Google Cloud Armor セキュリティ ポリシーの概要をご覧ください。

ルール言語

Google Cloud Armor を使用すると、セキュリティ ポリシーで構成可能な一致条件とアクションを使用して優先順位付けされたルールを定義できます。ルールが効力を発するということは、受信リクエストの属性と一致するルールで、そのルールの優先度が最も高いルールである場合に、構成されているアクションが適用されることを意味します。詳細については、Google Cloud Armor カスタムルール言語リファレンスをご覧ください。

事前構成されている WAF ルール

Google Cloud Armor の事前構成済みルールは、インターネットからの一般的な攻撃からウェブ アプリケーションやサービスを保護し、OWASP の 10 大リスクを軽減するのに役立ちます。このルールにより、Google Cloud Armor では、各シグネチャを手動で定義する必要がなく、わかりやすい名前の付いたルールを参照することで、異なるトラフィック シグネチャを評価できます。ルールのソースは ModSecurity Core Rule Set 3.0.2(CRS)です。

事前構成されたルールを調整して、ノイズの多いまたは不要なシグネチャを無効にできます。詳細については、Google Cloud Armor WAF ルールのチューニングをご覧ください。

Google Cloud Armor Managed Protection

Managed Protection は、分散型サービス拒否(DDoS)攻撃やその他のインターネット脅威からウェブ アプリケーションとサービスを保護するマネージド アプリケーション保護サービスです。Managed Protection はロードバランサの常時保護を特色としており、WAF ルールにアクセスできるようになります。

DDoS 保護は、階層に関係なく、グローバル外部 HTTP(S) ロードバランサ、グローバル外部 HTTP(S) ロードバランサ(従来版)、外部 SSL プロキシ ロードバランサ、外部 TCP プロキシ ロードバランサで自動的に提供されます。HTTP、HTTPS、HTTP/2、QUIC プロトコルはすべてサポートされています。

詳細については、Managed Protection の概要をご覧ください。

脅威インテリジェンス

Google Cloud Armor の脅威インテリジェンスを使用すると、脅威インテリジェンス データの複数のカテゴリに基づいて、グローバル外部 HTTP(S) ロードバランサとグローバル外部 HTTP(S) ロードバランサ(従来)へのトラフィックを許可またはブロックすることで、トラフィックを保護できます。脅威インテリジェンスの詳細については、脅威インテリジェンス機能の構成をご覧ください。

名前付き IP アドレスリスト

Google Cloud Armor の名前付き IP アドレスリストを使用すると、IP アドレスと IP 範囲のリストを参照できます。名前付き IP アドレスリストを使って、セキュリティ ポリシー ルールを構成できます。各 IP アドレスまたは IP 範囲を個別に手動で指定する必要はありません。詳しくは、名前付き IP アドレスリストをご覧ください。

Google Cloud Armor 適応型保護

適応型保護は、バックエンド サービスに対するトラフィック パターンを分析し、不審な攻撃を検知してアラートを生成します。さらに、こうした攻撃を回避するための WAF 推奨ルールを生成します。これにより、L7 分散サービス拒否(DDoS)攻撃からアプリケーションとサービスを保護します。これらのルールはニーズに合わせて調整できます。適応型保護は、セキュリティ ポリシーごとに有効にできますが、プロジェクトに有効な Managed Protection サブスクリプションが必要です。

詳細については、Google Cloud Armor の適応型保護の概要をご覧ください。

Google Cloud Armor の仕組み

Google Cloud Armor は、ネットワーク ベースまたはプロトコル ベースのボリューム型の DDoS 攻撃に対して常時稼働の DDoS 保護を提供します。この保護は、ロードバランサの背後にあるアプリケーションやサービスに適用されます。ネットワーク攻撃を検知し、回避することができるため、正しい形式のリクエストだけにロード バランシング プロキシを通過させることが可能です。セキュリティ ポリシーは、次のロードバランサのバックエンド サービスに接続できます。セキュリティ ポリシーは、カスタムのレイヤ 7 フィルタリング ポリシーを適用します。たとえば、事前構成済みの WAF ルールを使用して、OWASP トップ 10 のウェブ アプリケーションの脆弱性リスクを低減できます。

  • グローバル外部 HTTP(S) ロードバランサ
  • グローバル外部 HTTP(S) ロードバランサ(従来)
  • 外部 TCP プロキシ ロードバランサ
  • 外部 SSL プロキシ ロードバランサ

Google Cloud Armor のセキュリティ ポリシーを使用すると、Google Cloud のエッジにあるデプロイメントへのアクセスを、受信トラフィックの送信元にできるだけ近い場所で許可または拒否できます。これにより、望ましくないトラフィックによるリソースの消費や Virtual Private Cloud(VPC)ネットワークへ侵入を防止します。

次の図は、グローバル外部 HTTP(S) ロードバランサ、グローバル外部 HTTP(S) ロードバランサ(従来版)、Google ネットワーク、Google データセンターのロケーションを示しています。

ネットワーク エッジでの Google Cloud Armor ポリシー。
ネットワーク エッジでの Google Cloud Armor ポリシー(クリックして拡大)

これらの機能の一部またはすべてを使用してアプリケーションを保護できます。セキュリティ ポリシーを使用して既知の条件と照合できます。WAF ルールを作成して、ModSecurity Core Rule Set 3.0.2 で検出される一般的な攻撃から保護することもできます。Google Cloud Armor Managed Protection に組み込まれている、DDoS 攻撃に対する保護機能も使用できます。

次のステップ