Google Cloud Armor の概要

Google Cloud Armor は、分散型サービス拒否(DDoS)攻撃や、クロスサイト スクリプティング(XSS)、SQL インジェクション(SQLi)などのアプリケーション攻撃など、さまざまなタイプの脅威から Google Cloud のデプロイを保護するのに役立ちます。Google Cloud Armor には自動保護のほか、手動構成が必要な保護もあります。このドキュメントでは、これらのトピックの概要について説明します。

セキュリティ ポリシー

Google Cloud Armor のセキュリティ ポリシーを使用して、ロードバランサの背後で実行されているアプリケーションを分散型サービス拒否攻撃(DDoS)やその他のウェブベースの攻撃から保護します。アプリケーションが Google Cloud にデプロイされているか、ハイブリッド デプロイであるか、マルチクラウド アーキテクチャであるかは関係ありません。セキュリティ ポリシーは、構成可能な一致条件とアクションを使用して、手動で構成できます。さまざまなユースケースに対応する事前構成されたセキュリティ ポリシーも、Google Cloud Armor の特長の一つです。詳細については、Google Cloud Armor セキュリティ ポリシーの概要をご覧ください。

ルール言語

Google Cloud Armor を使用すると、セキュリティ ポリシーで構成可能な一致条件とアクションを使用して優先順位付けされたルールを定義できます。ルールが効力を発するということは、受信リクエストの属性と一致するルールで、そのルールの優先度が最も高いルールである場合に、構成されているアクションが適用されることを意味します。詳細については、Google Cloud Armor カスタムルール言語リファレンスをご覧ください。

事前構成されている WAF ルール

Google Cloud Armor の事前構成済みルールは、インターネットからの一般的な攻撃からウェブ アプリケーションやサービスを保護し、OWASP の 10 大リスクを軽減するのに役立ちます。このルールにより、Google Cloud Armor では、各シグネチャを手動で定義する必要がなく、わかりやすい名前の付いたルールを参照することで、異なるトラフィック シグネチャを評価できます。ルールのソースは ModSecurity Core Rule Set 3.0.2(CRS)です。

事前構成されたルールを調整して、ノイズの多いまたは不要なシグネチャを無効にできます。詳細については、Google Cloud Armor WAF ルールのチューニングをご覧ください。

名前付き IP リスト

Google Cloud Armor の名前付き IP アドレスリストを使用すると、サードパーティ プロバイダが管理している IP アドレスと IP 範囲のリストを参照できます。名前付き IP アドレスリストは、セキュリティ ポリシー内で構成できます。各 IP アドレスまたは IP 範囲を個別に手動で指定する必要はありません。詳しくは、名前付き IP リストをご覧ください。

Google Cloud Armor Managed Protection

Managed Protection は、分散型サービス拒否(DDoS)攻撃やその他のインターネット脅威からウェブ アプリケーションとサービスを保護するマネージド アプリケーション保護サービスです。Managed Protection はロードバランサの常時保護を特色としており、WAF ルールにアクセスできるようになります。

DDoS 対策は、階層に関係なく、HTTP(S) 負荷分散、SSL プロキシ負荷分散、TCP プロキシ負荷分散のために自動的に行われます。HTTP、HTTPS、HTTP/2、QUIC プロトコルはすべてサポートされています。

詳細については、Managed Protection の概要をご覧ください。

Google Cloud Armor 適応型保護

適応型保護は、バックエンド サービスに対するトラフィック パターンを分析し、不審な攻撃を検知してアラートを生成します。さらに、こうした攻撃を回避するための WAF 推奨ルールを生成します。これにより、L7 分散サービス拒否(DDoS)攻撃からアプリケーションとサービスを保護します。これらのルールはニーズに合わせて調整できます。適応型保護は、セキュリティ ポリシーごとに有効にできますが、プロジェクトに有効な Managed Protection サブスクリプションが必要です。

詳細については、Google Cloud Armor の適応型保護の概要をご覧ください。

Google Cloud Armor の仕組み

Google Cloud Armor は、外部 HTTP(S) ロードバランサ、SSL プロキシ ロードバランサ、TCP プロキシのロードバランサの背後にあるアプリケーションやサービスで、ネットワーク ベースまたはプロトコル ベースの DDoS 攻撃を防ぎます。Google Cloud Armor の DDoS 対策は常時稼働し、Google のグローバル ネットワークの容量に合わせてスケーリングします。ネットワーク攻撃をすぐに検知し、回避することができるため、正しい形式のリクエストだけに負荷分散プロキシを通過させることが可能です。外部 HTTP(S) ロードバランサの背後にあるバックエンド サービスは、セキュリティ ポリシーにアクセスして、レイヤ 7 フィルタリングのカスタム ポリシーを適用します。たとえば、事前構成済みの WAF ルールを使用して、OWASP トップ 10 のウェブ アプリケーションの脆弱性リスクを低減できます。

Google Cloud Armor のセキュリティ ポリシーを使用すると、着信トラフィックの送信元にできるだけ近い場所で Google Cloud Edge の外部 HTTP(S) ロードバランサへのアクセスを許可または拒否できます。これにより、望ましくないトラフィックによるリソースの消費や Virtual Private Cloud(VPC)ネットワークへ侵入を防止します。

次の図は、外部 HTTP(S) ロードバランサ、Google ネットワーク、Google データセンターのロケーションを示しています。

ネットワーク エッジでの Google Cloud Armor ポリシー。
ネットワーク エッジでの Google Cloud Armor ポリシー(クリックして拡大)

これらの機能の一部またはすべてを使用してアプリケーションを保護できます。セキュリティ ポリシーを使用して既知の条件と照合できます。WAF ルールを作成して、ModSecurity Core Rule Set 3.0.2 で検出される一般的な攻撃から保護することもできます。Google Cloud Armor Managed Protection に組み込まれている、DDoS 攻撃に対する保護機能も使用できます。

次のステップ