Google Cloud Armor の概要

Google Cloud Armor は、分散型サービス拒否(DDoS)攻撃や、クロスサイト スクリプティング(XSS)、SQL インジェクション(SQLi)などのアプリケーション攻撃など、さまざまなタイプの脅威から Google Cloud のデプロイを保護するのに役立ちます。Google Cloud Armor には自動保護のほか、手動で構成する必要がある保護もあります。このドキュメントでは、これらの機能についての概要を大まかに説明します。

セキュリティ ポリシー

Google Cloud Armor のセキュリティ ポリシーを使用して、ロードバランサの背後で実行されているアプリケーションを分散型サービス拒否攻撃(DDoS)やその他のウェブベースの攻撃から保護します。アプリケーションが Google Cloud にデプロイされているか、ハイブリッド デプロイであるか、マルチクラウド アーキテクチャであるかは関係ありません。 セキュリティ ポリシーは、構成可能な一致条件とアクションを使用して、手動で構成できます。Google Cloud Armor は、さまざまなユースケースに対応する事前構成されたセキュリティ ポリシーも特色にしています。詳細については、Google Cloud Armor セキュリティ ポリシーの概要をご覧ください。

ルール言語

Google Cloud Armor を使用すると、セキュリティ ポリシーで構成可能な一致条件とアクションを使用して優先順位付けされたルールを定義できます。ルールが効力を発するということは、受信リクエストの属性と一致するルールで、そのルールの優先度が最も高いルールである場合に、構成されているアクションが適用されることを意味します。詳細については、Google Cloud Armor カスタムルール言語リファレンスをご覧ください。

事前構成済みの WAF ルール

Google Cloud Armor の事前構成済みルールは、インターネットからの一般的な攻撃からウェブ アプリケーションやサービスを保護し、OWASP の 10 大リスクを軽減するのに役立ちます。このルールにより、Google Cloud Armor では、各シグネチャを手動で定義する必要がなく、便利に命名されたルールを参照することで、異なるトラフィック シグネチャを評価できます。ルールのソースは ModSecurity Core Rule Set 3.0.2(CRS)です。

事前構成されたルールを調整して、ノイズの多いまたは不要なシグネチャを無効にできます。詳細については、Google Cloud Armor WAF ルールのチューニングをご覧ください。

名前付き IP リスト

Google Cloud Armor の名前付き IP アドレスリストを使用すると、サードパーティ プロバイダが管理している IP アドレスと IP 範囲のリストを参照できます。名前付き IP アドレスリストは、セキュリティ ポリシー内で構成できます。各 IP アドレスまたは IP 範囲を個別に手動で指定する必要はありません。 詳しくは、名前付き IP リストをご覧ください。

Google Cloud Armor Managed Protection

Managed Protection は、分散型サービス拒否(DDoS)攻撃やその他のインターネット脅威からウェブ アプリケーションとサービスを保護するマネージド アプリケーション保護サービスです。Managed Protection はロードバランサの常時保護を特色としており、WAF ルールにアクセスできるようになります。

DDoS 対策は、階層に関係なく、HTTP(S) 負荷分散、SSL プロキシ負荷分散、TCP プロキシ負荷分散のために自動的に行われます。HTTP、HTTPS、HTTP/2、QUIC の各プロトコルはすべてサポートされています。

詳細については、Managed Protection の概要をご覧ください。

Google Cloud Armor 適応型保護

適応型保護は、バックエンド サービスへのトラフィック パターンの分析、疑わしい攻撃の検出とアラートと、そのような攻撃を低減するために推奨される WAF ルールの生成により、L7 分散サービス拒否(DDoS)攻撃からのアプリケーションとサービスの保護に役立ちます。これらのルールは、ニーズに合わせて調整できます。適応型保護はセキュリティ ポリシーごとをベースに有効にできますが、プロジェクト内に有効な Managed Protection サブスクリプションが必要です。

詳細については、Google Cloud Armor の適応型保護の概要をご覧ください。

Google Cloud Armor の仕組み

Google Cloud Armor のセキュリティ ポリシーを使用すると、Google Cloud Edge の外部 HTTP(S) ロードバランサへのアクセスを、着信トラフィックのソースにできるだけ近い場所で許可または拒否できます。これにより、望ましくないトラフィックによるリソースの消費や Virtual Private Cloud(VPC)ネットワークへ侵入を防止します。

次の図は、外部 HTTP(S) ロードバランサ、Google ネットワーク、および Google データセンターのロケーションを示しています。

ネットワーク エッジでの Google Cloud Armor ポリシー。
ネットワーク エッジでの Google Cloud Armor ポリシー(クリックして拡大)

手動で構成したセキュリティ ポリシーの使用に加えて、外部 HTTP(S) ロードバランサ、SSL プロキシ負荷分散、TCP プロキシ負荷分散のいずれかを使用したデプロイは、DDoS 攻撃に対する常時保護を実現します。外部 HTTP(S) ロードバランサの背後にあるバックエンド サービスには、ウェブ アプリケーション ファイアウォール(WAF)ルールも利用できます。

これらの機能の一部またはすべてを使用して、アプリケーションを保護できます。セキュリティ ポリシーを使用して、既知の条件の照合や、ModSecurity Core Rule Set 3.0.2 で見つかるような一般的な攻撃から保護するための WAF ルールの作成、DDoS 攻撃に対する Google Cloud Armor Managed Protection の組み込み保護の使用ができます。

次のステップ