次の手順に沿って Google Cloud Armor セキュリティ ポリシーを作成して、外部 HTTP(S) ロードバランサを宛先とする受信トラフィックをフィルタリングします。セキュリティ ポリシーのコンセプトについては、Google Cloud Armor セキュリティ ポリシーの概要をご覧ください。
Google Kubernetes Engine(GKE)で Google Cloud Armor を構成する方法については、「BackendConfig パラメータによる Ingress 機能の構成」セクション内の Google Cloud Armor セキュリティ ポリシーをご覧ください。
始める前に
セキュリティ ポリシーを構成する前に、HTTP(S) 負荷分散のコンセプトについてよくご確認ください。
Google Cloud Armor セキュリティ ポリシーの IAM 権限を設定する
次のオペレーションでは、Identity and Access Management(IAM)のロールの Compute セキュリティ管理者(roles/compute.securityAdmin)が必要です。
- Google Cloud Armor セキュリティ ポリシーの作成、変更、更新、削除
- 許可される API メソッド
SecurityPolicies insert
SecurityPolicies delete
SecurityPolicies patch
SecurityPolicies addRule
SecurityPolicies patchRule
SecurityPolicies removeRule
Compute ネットワーク管理者のロール(roles/compute.networkAdmin)を付与されたユーザーは、次のオペレーションを実行できます。
- バックエンド サービスの Google Cloud Armor セキュリティ ポリシーの設定
- 許可される API メソッド
BackendServices setSecurityPolicy
セキュリティ管理者とネットワーク管理者のロールを付与されたユーザーは、API メソッド SecurityPolicies get
、list
、getRule
を使用して Google Cloud Armor セキュリティ ポリシーを表示できます。
カスタムロールの IAM 権限を設定する
次の表に、IAM のロールの基本的な権限と、関連する API メソッドを示します。
IAM 権限 | API メソッド |
---|---|
compute.securityPolicies.create |
SecurityPolicies insert |
compute.securityPolicies.delete |
SecurityPolicies delete |
compute.securityPolicies.get |
SecurityPolicies get SecurityPolicies getRule |
compute.securityPolicies.list |
SecurityPolicies list |
compute.securityPolicies.use |
BackendServices setSecurityPolicy |
compute.securityPolicies.update |
SecurityPolicies patch SecurityPolicies addRule SecurityPolicies patchRule SecurityPolicies removeRule |
compute.backendServices.setSecurityPolicy |
BackendServices setSecurityPolicy |
HTTP(S) 負荷分散のセキュリティ ポリシーを構成する
Google Cloud Armor セキュリティ ポリシーを構成するための大まかな手順を以下に示します。これにより、外部 HTTP(S) ロードバランサへのトラフィックを許可または拒否するルールを有効化できます。
- Google Cloud Armor セキュリティ ポリシーを作成します。
- IP アドレスのリスト、カスタム式、または事前に構成された式のセットに基づいて、セキュリティ ポリシーにルールを追加します。
- アクセスを制御する外部 HTTP(S) ロードバランサのバックエンド サービスにセキュリティ ポリシーを接続します。
- 必要に応じて、セキュリティ ポリシーを更新します。
次の例では、2 つの Google Cloud Armor セキュリティ ポリシーを作成し、そのポリシーを異なるバックエンド サービスに適用します。
この例における Google Cloud Armor のセキュリティ ポリシーは、次のとおりです。
mobile-clients-policy
は、games
サービスの外部ユーザーに適用されます。internal-users-policy
は、組織のtest-network
チームに適用されます。
mobile-clients-policy
を games
サービス(バックエンド サービスが games
と呼ばれる)に適用し、internal-users-policy
をテストチームの内部 test
サービス(対応するバックエンド サービスが test-network
と呼ばれる)に適用します。
バックエンド サービスのバックエンド インスタンスが複数のリージョンに存在する場合、サービスに関連付けられた Google Cloud Armor セキュリティ ポリシーがすべてのリージョンのインスタンスに適用されます。上記の例では、セキュリティ ポリシー mobile-clients-policy
は us-central
のインスタンス 1、2、3、4 と us-east
のインスタンス 5、6 に適用されます。
サンプルを作成する
以降の手順を使用して、前のセクションで説明したサンプルの構成を作成します。
コンソール
以下の手順で外部ユーザーのポリシーを構成します。
Google Cloud Console で、[ネットワーク セキュリティ] ページに移動します。
[ポリシー] ページで、[ポリシーを作成] をクリックします。
[名前] フィールドに「
mobile-clients-policy
」と入力します。[説明] フィールドに「
Policy for external users
」と入力します。[デフォルトのルール アクション] で [拒否] を選択します。
[拒否ステータス] で [404(ファイル未検出)] を選択します。
[次のステップ] をクリックします。
ルールを追加します。
- [ルールを追加] をクリックします。
- [説明] フィールドに「
allow traffic from 192.0.2.0/24
」と入力します。 - [モード] で [基本モード(IP アドレスまたは IP 範囲のみ)] を選択します。
- [一致] フィールドに「
192.0.2.0/24
」と入力します。 - [アクション] で [許可] を選択します。
- [優先度] 欄に「
1000
」と入力します。 - [完了] をクリックします。
- [次のステップ] をクリックします。
ターゲットにポリシーを適用します。
- [ターゲットを追加] をクリックします。
- [ターゲット] リストで、ターゲットを選択します。
- [完了] をクリックします。
- [ポリシーを作成] をクリックします。
必要に応じて、適応型保護を有効にします。
- 適応型保護を有効にするには、[有効] チェックボックスをオンにします。
内部ユーザー用のセキュリティ ポリシーを構成します。
- [ポリシー] ページで、[ポリシーを作成] をクリックします。
- [名前] フィールドに「
internal-users-policy
」と入力します。 - [説明] フィールドに「
Policy for internal test users
」と入力します。 - [デフォルトのルール アクション] で [拒否] を選択します。
- [拒否ステータス] で [502(不正なゲートウェイ)] を選択します。
- [次のステップ] をクリックします。
ルールを追加します。
- [ルールを追加] をクリックします。
- [説明] フィールドに「
allow traffic from 198.51.100.0/24
」と入力します。 - [モード] で [基本モード(IP アドレスまたは IP 範囲のみ)] を選択します。
- [一致] フィールドに「
198.51.100.0/24
」と入力します。 - [アクション] で [許可] を選択します。
- [プレビューのみ] で [有効にする] チェックボックスをオンにします。
- [優先度] 欄に「
1000
」と入力します。 - [完了] をクリックします。
- [次のステップ] をクリックします。
ターゲットにポリシーを適用します。
- [ターゲットを追加] をクリックします。
- [ターゲット] リストで、ターゲットを選択します。
- [完了] をクリックします。
- [ポリシーを作成] をクリックします。
gcloud
Google Cloud Armor セキュリティ ポリシーを作成します。
gcloud compute security-policies create mobile-clients-policy \ --description "policy for external users"
gcloud compute security-policies create internal-users-policy \ --description "policy for internal test users"
セキュリティ ポリシーに対するデフォルトのルールを更新し、トラフィックを拒否します。
gcloud compute security-policies rules update 2147483647 \ --security-policy mobile-clients-policy \ --action "deny-404"
gcloud compute security-policies rules update 2147483647 \ --security-policy internal-users-policy \ --action "deny-502"
セキュリティ ポリシーにルールを追加します。
gcloud compute security-policies rules create 1000 \ --security-policy mobile-clients-policy \ --description "allow traffic from 192.0.2.0/24" \ --src-ip-ranges "192.0.2.0/24" \ --action "allow"
gcloud compute security-policies rules create 1000 \ --security-policy internal-users-policy \ --description "allow traffic from 198.51.100.0/24" \ --src-ip-ranges "198.51.100.0/24" \ --action "allow"
セキュリティ ポリシーをバックエンド サービスに接続します。
gcloud compute backend-services update games \ --security-policy mobile-clients-policy
gcloud compute backend-services update test-network \ --security-policy internal-users-policy
必要に応じて、適応型保護を有効にします。
gcloud compute security-policies update mobile-clients-policy \ --enable-layer7-ddos-defense
gcloud compute security-policies update internal-users-policy \ --enable-layer7-ddos-defense
セキュリティ ポリシー、ルール、式を作成する
Google Cloud Armor セキュリティ ポリシー、ルール、式を作成するには、Google Cloud Console、gcloud
コマンドライン ツール、または REST API を使用します。
以下にサンプルの式を示します。式の詳細については、Google Cloud Armor カスタムルール言語リファレンスをご覧ください。
ISO 3166-1 alpha 2 の国コードや地域コードを使用するルールや式を作成する場合、Google Cloud Armor は各コードを個別に処理します。Google Cloud Armor のルールと式では、これらの地域コードを明示的に使用して、リクエストを許可または拒否します。
次の式は、IP アドレス
1.2.3.4
からのリクエストを照合し、ユーザー エージェント ヘッダーに文字列Godzilla
を含めます。inIpRange(origin.ip, '1.2.3.4/32') && has(request.headers['user-agent']) && request.headers['user-agent'].contains('Godzilla')
次の式は、特定の値を含む Cookie を持つリクエストを照合します。
has(request.headers['cookie']) && request.headers['cookie'].contains('cookie_name=cookie_value')
次の式は、リージョン
AU
からのリクエストを照合します。origin.region_code == 'AU'
次の式は、指定された IP 範囲に存在しないリージョン
AU
からのリクエストを照合します。origin.region_code == "AU" && !inIpRange(origin.ip, '1.2.3.0/24')
次の式は、URI が正規表現に一致する場合、リクエストを照合します。
request.path.matches('/bad_path/')
次の式は、Base64 でデコードされた
user-id
ヘッダーの値に特定の値が含まれている場合に、リクエストを照合します。has(request.headers['user-id']) && request.headers['user-id'].base64Decode().contains('myValue')
次の式は、事前設定された式セットを使用して SQLi 攻撃を照合します。
evaluatePreconfiguredExpr('sqli-stable')
次の手順では、既存の外部 HTTP(S) ロードバランサとバックエンド サービスに適用するセキュリティ ポリシーを作成していることを前提としています。フィールドの入力方法の例については、サンプルを作成するをご覧ください。
Console
Google Cloud Armor セキュリティ ポリシーとルールを作成し、セキュリティ ポリシーをバックエンド サービスに接続します。
Google Cloud Console で、[ネットワーク セキュリティ] ページに移動します。
[ポリシー] ページで、[ポリシーを作成] をクリックします。
[名前] フィールドに、ポリシーの名前を入力します。
省略可: ポリシーの説明を入力します。
デフォルト ルールのアクションでは、アクセスを許可するデフォルト ルールの場合は [許可]、IP アドレスまたは IP アドレス範囲へのアクセスを禁止するデフォルト ルールの場合は [拒否] を選択します。
デフォルトのルールは、他に適用するルールがない場合にのみ適用される、最も優先度の低いルールです。
拒否 ルールを作成している場合は、[拒否ステータス] メッセージを選択します。これは、アクセス権のないユーザーがアクセスしようとしたときに Google Cloud Armor によって表示されるエラー メッセージです。
作成するルールのタイプに関係なく、[次のステップ] をクリックします。
ルールを追加します。
- [ルールを追加] をクリックします。
- 省略可: ルールの説明を入力します。
モードを選択します。
- 基本モード: IP アドレスや範囲に基づいてトラフィックを許可または拒否します。
- 詳細モード: ルール式に基づいてトラフィックを許可または拒否します。
[一致] フィールドで、ルールが適用される条件を指定します。
- 基本モード: ルールで一致する IP アドレスまたは IP 範囲を入力します。
- 詳細モード: 受信リクエストに対して評価する式またはサブ式を入力します。式の作成方法については、カスタムルール言語リファレンスをご覧ください。
[アクション] で、[許可] または [拒否] を選択して、ルールが一致する場合にトラフィックを許可または拒否します。
プレビュー モードを有効にするには、[有効にする] チェックボックスをオンにします。プレビュー モードでは、ルールの動作を確認できますが、ルールは有効になっていません。
ルールの [優先度] を入力します。0~2,147,483,646 の正の整数を指定できます。評価順序の詳細については、ルール評価の順序をご覧ください。
[完了] をクリックします。
さらにルールを追加するには、[ルールを追加] をクリックして前の手順を繰り返します。追加しない場合は、[次のステップ] をクリックします。
ターゲットにポリシーを適用します。
- [ターゲットを追加] をクリックします。
- [ターゲット] リストで、ターゲットを選択します。
- さらにターゲットを追加するには、[ターゲットを追加] をクリックします。
- [完了] をクリックします。
- [ポリシーを作成] をクリックします。
gcloud
新しい Google Cloud Armor セキュリティ ポリシーを作成するには、
gcloud compute security-policies create
コマンドを使用します。NAME
とDESCRIPTION
は、セキュリティ ポリシーの名前と説明に置き換えます。gcloud compute security-policies create NAME \ [--file-format=FILE_FORMAT | --description=DESCRIPTION] \ [--file-name=FILE_NAME]
例:
gcloud compute security-policies create my-policy \ --description "block bad traffic"
セキュリティ ポリシーにルールを追加するには、
gcloud compute security-policies rules create PRIORITY
コマンドを使用します。PRIORITY
は、ポリシー内のルールに割り当てられた優先度に置き換えます。ルールの優先度の仕組みについては、ルール評価の順序をご覧ください。gcloud compute security-policies rules create PRIORITY \ [--security-policy POLICY_NAME] \ [--description DESCRIPTION] \ --src-ip-ranges IP_RANGE,... | --expression EXPRESSION \ --action=[ allow | deny-403 | deny-404 | deny-502 ] \ [--preview]
たとえば、次のコマンドは、IP アドレス範囲 192.0.2.0/24 と 198.51.100.0/24 からのトラフィックを遮断するルールを追加します。このルールの優先度は 1,000 で、
my-policy
という名前のポリシー内のルールです。gcloud compute security-policies rules create 1000 \ --security-policy my-policy \ --description "block traffic from 192.0.2.0/24 and 198.51.100.0/24" \ --src-ip-ranges "192.0.2.0/24","198.51.100.0/24" \ --action "deny-403"
--preview
フラグを追加すると、ルールはポリシーに追加されますが、適用されず、ルールをトリガーするトラフィックのみがログに記録されます。gcloud compute security-policies rules create 1000 \ --security-policy my-policy \ --description "block traffic from 192.0.2.0/24 and 198.51.100.0/24" \ --src-ip-ranges "192.0.2.0/24","198.51.100.0/24" \ --action "deny-403" \ --preview
カスタムルール言語リファレンスでカスタム条件を指定するには、
--expression
フラグを使用します。次のコマンドは、IP アドレス1.2.3.4
からのトラフィックを許可するルールを追加し、user-agent ヘッダーに文字列Godzilla
を含めます。gcloud compute security-policies rules create 1000 \ --security-policy my-policy \ --expression "inIpRange(origin.ip, '1.2.3.4/32') && has(request.headers['user-agent']) && request.headers['user-agent'].contains('Godzilla')" \ --action allow \ --description "Block User-Agent 'Godzilla'"
次のコマンドは、リクエストの Cookie に特定の値が含まれている場合に、リクエストをブロックするルールを追加します。
gcloud compute security-policies rules create 1000 \ --security-policy my-policy \ --expression "has(request.headers['cookie']) && request.headers['cookie'].contains('cookie_name=cookie_value')" \ --action "deny-403" \ --description "Cookie Block"
次のコマンドは、リージョン
AU
からのリクエストをブロックするルールを追加します。gcloud compute security-policies rules create 1000 \ --security-policy my-policy \ --expression "origin.region_code == 'AU'" \ --action "deny-403" \ --description "AU block"
次のコマンドは、指定した IP 範囲にないリージョン
AU
からのリクエストをブロックするルールを追加します。gcloud compute security-policies rules create 1000 \ --security-policy my-policy \ --expression "origin.region_code == 'AU' && !inIpRange(origin.ip, '1.2.3.0/24')" \ --action "deny-403" \ --description "country and IP block"
次のコマンドは、正規表現に一致する URI を含むリクエストをブロックするルールを追加します。
gcloud compute security-policies rules create 1000 \ --security-policy my-policy \ --expression "request.path.matches('/bad_path/)')" \ --action "deny-403" \ --description "regex block"
次のコマンドは、Base64 デコードされた
user-id
ヘッダーの値に特定の値が含まれている場合に、リクエストをブロックするルールを追加します。gcloud compute security-policies rules create 1000 \ --security-policy my-policy \ --expression "has(request.headers['user-id']) && request.headers['user-id'].base64Decode().contains('myValue')" \ --action "deny-403" \ --description "country and IP block"
次のコマンドは、事前構成された式セットを使用して SQLi 攻撃を軽減するルールを追加します。
gcloud compute security-policies rules create 1000 \ --security-policy my-policy \ --expression "evaluatePreconfiguredExpr('sqli-stable')" \ --action "deny-403"
次のコマンドは、事前構成された式を使用して、名前付き IP アドレスリストのすべての IP アドレスからのアクセスを許可するルールを追加します。
gcloud compute security-policies rules create 1000 \ --security-policy my-policy \ --expression "evaluatePreconfiguredExpr('sourceiplist-fastly')" \ --action "allow"
適応型保護の使用
適応型保護はセキュリティ ポリシーごとをベースに適用されます。
コンソール
セキュリティ ポリシーの適応型保護を有効にするには:
Google Cloud Console で、[ネットワーク セキュリティ] ページに移動します。
[ポリシー] ページで、セキュリティ ポリシーの名前をクリックします。
[編集] をクリックします。
[適応型保護] で [有効] を選択します。
[更新] をクリックします。
セキュリティ ポリシーの適応型保護を無効にするには:
Google Cloud Console で、[ネットワーク セキュリティ] ページに移動します。
[ポリシー] ページで、セキュリティ ポリシーの名前をクリックします。
[編集] をクリックします。
[適応型保護] で [有効] をオフにします。
[更新] をクリックします。
gcloud
セキュリティ ポリシーの適応型保護を有効にするには:
gcloud compute security-policies update MY-SECURITY-POLICY \ --enable-layer7-ddos-defense
セキュリティ ポリシーの適応型保護を無効にするには:
gcloud compute security-policies update MY-SECURITY-POLICY \ --no-enable-layer7-ddos-defense
使用可能な事前構成ルールを一覧表示する
事前構成されたルールを一覧表示して、Google Cloud Armor が提供する ModSecurity Core Rule Set など、事前定義されたアプリケーション保護ルールとシグネチャを表示します。これらの事前構成されたルールには、Google Cloud Armor が受信リクエストに対して評価するために使用する複数の組み込みシグネチャが含まれています。カスタムルール言語リファレンスを使用して、事前構成済みのルールを新規または既存のルールに追加します。
詳細については、事前構成されたルールをご覧ください。
gcloud
gcloud compute security-policies list-preconfigured-expression-sets
コマンドを実行します。gcloud compute security-policies list-preconfigured-expression-sets
次の例は、コマンドからの出力形式を示しています。
EXPRESSION_SET expression-set-1 RULE_ID expression-set-1-id-1 expression-set-1-id-2 expression-set-2 alias-1 RULE_ID expression-set-2-id-1 expression-set-2-id-2
次の例には、コマンドの実際の出力のサンプルが含まれています。実際の出力には、Google Cloud Armor WAF ルールのチューニングにリストされているすべてのルールが含まれているので注意してください。
gcloud compute security-policies list-preconfigured-expression-sets
EXPRESSION_SET sqli-canary RULE_ID owasp-crs-v030001-id942110-sqli owasp-crs-v030001-id942120-sqli … xss-canary RULE_ID owasp-crs-v030001-id941110-xss owasp-crs-v030001-id941120-xss … sourceiplist-fastly sourceiplist-cloudflare sourceiplist-imperva
セキュリティ ポリシーを一覧表示する
以降の手順を使用して、現在のプロジェクトまたは指定したプロジェクト内のすべての Google Cloud Armor セキュリティ ポリシーを一覧表示します。
Console
Google Cloud Console で、[ネットワーク セキュリティ] ページに移動します。
特定のポリシーを表示するには、[セキュリティ ポリシー] ページのポリシーのリストで該当の名前をクリックします。
gcloud
gcloud compute security-policies list
例:
gcloud compute security-policies list
NAME my-policy
詳細については、gcloud compute security-policies list
をご覧ください。
セキュリティ ポリシーを更新する
以降の手順を使用して、Google Cloud Armor のセキュリティ ポリシーを更新します。たとえば、ポリシーの説明を変更する、デフォルトのルールの動作を変更する、ターゲット バックエンド サービスを変更する、新しいルールを追加する、といった操作が可能です。
Console
Google Cloud Console で、[ネットワーク セキュリティ] ページに移動します。
特定のポリシーを更新するには、[セキュリティ ポリシー] ページのポリシーのリストで、更新したいポリシーの
[メニュー] をクリックします。- デフォルトのルール アクションのポリシーの説明を更新するには、[編集] を選択し、必要な変更を行い、[更新] をクリックします。
- ルールを追加するには、[ルールを追加] を選択し、セキュリティ ポリシーにルールを追加するの手順に沿って操作します。
- ポリシーのターゲット バックエンド サービスを変更するには、[ターゲットにポリシーを適用] を選択し、[ターゲットを追加] をクリックしてターゲットを選択してから、[追加] をクリックします。
gcloud
セキュリティ ポリシーを更新するには、次の gcloud
コマンドライン ツールの手順を実施します。
- セキュリティ ポリシーのルールを更新するには、セキュリティ ポリシーで 1 つのルールを更新するをご覧ください。
- セキュリティ ポリシーにルールを追加するには、セキュリティ ポリシーにルールを追加するをご覧ください。
- セキュリティ ポリシーからルールを削除するには、セキュリティ ポリシーからルールを削除するをご覧ください。
- 1 回の更新(アトミック アップデート)で複数のルールを更新するには、セキュリティ ポリシーのルールをアトミックに更新するをご覧ください。
- セキュリティ ポリシー(説明フィールドなど)の非ルール フィールドを更新するには、セキュリティ ポリシーをエクスポートするとセキュリティ ポリシーをインポートするをご覧ください。
セキュリティ ポリシーをエクスポートする
gcloud
コマンドライン ツールを使用して、Google Cloud Armor セキュリティ ポリシーを YAML ファイルまたは JSON ファイルとしてエクスポートできます。ポリシーをエクスポートすると、そのコピーを取得して、ソース管理で変更や保存が可能です。
gcloud
次のコマンドの
NAME
は、セキュリティ ポリシーの名前です。有効なファイル形式は YAML と JSON です。ファイル形式を指定しない場合、Google Cloud Armor はデフォルトの YAML を使用します。gcloud compute security-policies export NAME \ --file-name FILE_NAME \ --file-format FILE_FORMAT
次の例では、
my-policy
セキュリティ ポリシーを YAML 形式でmy-file
ファイルにエクスポートします。gcloud compute security-policies export my-policy \ --file-name my-file \ --file-format yaml
次の例は、エクスポートされたセキュリティ ポリシーを示しています。
description: my description fingerprint: PWfLGDWQDLY= id: '123' name: my-policy rules: - action: allow description: default rule match: config: srcIpRanges: - '*' versionedExpr: SRC_IPS_V1 preview: false priority: 2147483647 selfLink: https://www.googleapis.com/compute/v1/projects/my-project/global/securityPolicies/my-policy
エクスポートされたファイルは、任意のテキスト エディタで変更し、
import
コマンドを使用して Google Cloud にインポートできます。
セキュリティ ポリシーをインポートする
YAML ファイルまたは JSON ファイルから Google Cloud Armor セキュリティ ポリシーをインポートするには、gcloud
コマンドライン ツールを使用します。import
コマンドを使用して、既存のポリシーのルールを更新することはできません。代わりに、セキュリティ ポリシーで1つのルールを更新する手順に従ってルールを 1 つずつ更新するか、Google Cloud Armor セキュリティ ポリシーのルールをアトミックに更新する手順を使用して、一度に全ルールを更新する必要があります。
gcloud
セキュリティ ポリシーをインポートするには、gcloud compute security-policies import NAME
コマンドを使用します。NAME
は、インポートするセキュリティ ポリシーの名前に置き換えます。ファイル形式を指定しない場合は、ファイル構造に基づいて正しい形式が推定されます。構造が無効な場合は、エラーが表示されます。
gcloud compute security-policies import NAME \ --file-name FILE_NAME \ [--file-format FILE_FORMAT]
たとえば、次のコマンドはファイル my-file
をインポートしてポリシー my-policy
を更新します。
gcloud compute security-policies import my-policy \ --file-name my-file \ --file-format json
ポリシーのフィンガープリントがインポート時に最新でない場合は、Google Cloud Armor によりエラーが表示されます。これは、最後にエクスポートした後に、ポリシーが変更されたことを意味します。これを修正するには、ポリシーで describe
コマンドを使用して、最新のフィンガープリントを取得します。describe コマンドで取得されたポリシーと実際のポリシーの相違点をマージし、古いフィンガープリントを最新のものに置き換えます。
セキュリティ ポリシーを削除する
以降の手順を使用して、Google Cloud Armor セキュリティ ポリシーを削除します。ポリシーを削除する前に、ポリシーからすべてのバックエンド サービスを削除する必要があります。
Console
Google Cloud Console で、[ネットワーク セキュリティ] ページに移動します。
[セキュリティ ポリシー] ページで、削除するセキュリティ ポリシーの名前の横にあるチェックボックスをオンにします。
ページの右上で
[削除] をクリックします。
gcloud
gcloud compute security-policies delete NAME
を使用します。NAME
は、セキュリティ ポリシーの名前に置き換えます。
gcloud compute security-policies delete NAME
バックエンド サービスにセキュリティ ポリシーを接続する
以降の手順を使用して、Google Cloud Armor セキュリティ ポリシーをバックエンド サービスに接続します。セキュリティ ポリシーは複数のバックエンド サービスに接続できますが、バックエンド サービスに接続できるセキュリティ ポリシーは 1 つだけです。
Console
Google Cloud Console で、[ネットワーク セキュリティ] ページに移動します。
[セキュリティ ポリシー] ページで、セキュリティ ポリシーの名前をクリックします。[ポリシーの詳細] ページが表示されます。
ページ中央の [ターゲット] タブをクリックします。
[新しいターゲットにポリシーを適用] をクリックします。
[ターゲットを追加] をクリックします。
[ターゲット] リストでターゲットを選択し、[追加] をクリックします。
gcloud
gcloud compute backend-services
コマンドを使用します。
gcloud compute backend-services update my-backend \ --security-policy my-policy
バックエンド サービスからセキュリティ ポリシーを削除する
以降の手順を使用して、Google Cloud Armor セキュリティ ポリシーをバックエンド サービスから削除します。
Console
Google Cloud Console で、[ネットワーク セキュリティ] ページに移動します。
[セキュリティ ポリシー] ページで、セキュリティ ポリシーの名前をクリックします。[ポリシーの詳細] ページが表示されます。
ページ中央の [ターゲット] タブをクリックします。
ポリシーを削除する対象のバックエンド サービスを選択します。
[削除] をクリックします。
[ターゲットを削除] メッセージで、[削除] をクリックします。
gcloud
gcloud compute backend-services
コマンドを使用します。
gcloud compute backend-services update my-backend \ --security-policy ""
セキュリティ ポリシーにルールを追加する
以降の手順を使用して、Google Cloud Armor セキュリティ ポリシーにルールを追加します。
Console
Google Cloud Console で、[ネットワーク セキュリティ] ページに移動します。
[セキュリティ ポリシー] ページで、セキュリティ ポリシーの名前をクリックします。[ポリシーの詳細] ページが表示されます。
ページ中央の [ルール] タブをクリックします。
[ルールを追加] をクリックします。
省略可: ルールの説明を入力します。
モードを選択します。
- 基本モード: IP アドレスや範囲に基づいてトラフィックを許可または拒否します。
- 詳細モード: ルール式に基づいてトラフィックを許可または拒否します。
[一致] フィールドで、ルールが適用される条件を指定します。
- 基本モード: ルールで一致する IP アドレス範囲を 1 つから 5 つまでの間で入力します。
詳細モード: 受信リクエストに対して評価する式またはサブ式を入力します。式の作成方法と以下の例の読み取り方法については、カスタムルール言語リファレンスをご覧ください。
次の式は、IP アドレス
1.2.3.4
からのリクエストを照合し、ユーザー エージェント ヘッダーに文字列Godzilla
を含めます。inIpRange(origin.ip, '1.2.3.4/32') && has(request.headers['user-agent']) && request.headers['user-agent'].contains('Godzilla')
次の式は、特定の値を含む Cookie を持つリクエストを照合します。
has(request.headers['cookie']) && request.headers['cookie'].contains('cookie_name=cookie_value')
次の式は、リージョン
AU
からのリクエストを照合します。origin.region_code == 'AU'
次の式は、指定された IP 範囲に存在しないリージョン
AU
からのリクエストを照合します。origin.region_code == "AU" && !inIpRange(origin.ip, '1.2.3.0/24')
次の式は、URI が正規表現に一致する場合、リクエストを照合します。
request.path.matches('/bad_path/)')
次の式は、Base64 でデコードされた
user-id
ヘッダーの値に特定の値が含まれている場合に、リクエストを照合します。has(request.headers['user-id']) && request.headers['user-id'].base64Decode().contains('myValue')
次の式は、事前設定された式セットを使用して SQLi 攻撃を照合します。
evaluatePreconfiguredExpr('sqli-stable')
[アクション] で [許可] または [拒否] を選択します。
拒否ルールを作成する場合は、[拒否ステータス] メッセージを選択します。
ルールのプレビュー モードを有効にする場合は、[有効] チェックボックスをオンにします。
[優先度] フィールドに正の整数を入力します。
[追加] をクリックします。
gcloud
gcloud compute security-policies rules create PRIORITY
コマンドを使用します。PRIORITY
は、ポリシー内のルールの優先度に置き換えます。
gcloud compute security-policies rules create PRIORITY \ --security-policy POLICY_NAME \ --description DESCRIPTION \ --src-ip-ranges IP_RANGES | --expression EXPRESSION \ --action=[ allow | deny-403 | deny-404 | deny-502 ] \ --preview
たとえば、次のコマンドは、IP アドレス範囲 192.0.2.0/24 と 198.51.100.0/24 からのトラフィックを遮断するルールを追加します。このルールの優先度は 1,000 で、my-policy
という名前のポリシー内のルールです。
gcloud compute security-policies rules create 1000 \ --security-policy my-policy \ --description "block traffic from 192.0.2.0/24 and 198.51.100.0/24" \ --src-ip-ranges "192.0.2.0/24","198.51.100.0/24" \ --action "deny-403"
カスタムルール言語リファレンスで条件を指定するには、--expression
フラグを使用します。次のコマンドは、IP アドレス 1.2.3.4
からのトラフィックを許可するルールを追加し、user-agent ヘッダーに文字列 Godzilla
を含めます。
gcloud compute security-policies rules create 1000 \ --security-policy my-policy \ --expression "inIpRange(origin.ip, '1.2.3.4/32') && has(request.headers['user-agent']) && request.headers['user-agent'].contains('Godzilla')" \ --action allow \ --description "Block User-Agent 'Godzilla'"
次のコマンドは、リクエストの Cookie に特定の値が含まれている場合に、リクエストをブロックするルールを追加します。
gcloud compute security-policies rules create 1000 \ --security-policy my-policy \ --expression "has(request.headers['cookie']) && request.headers['cookie'].contains('80=BLAH')" \ --action deny-403 \ --description "Cookie Block"
次のコマンドは、リージョン AU
からのリクエストをブロックするルールを追加します。
gcloud compute security-policies rules create 1000 \ --security-policy my-policy \ --expression "origin.region_code == 'AU'" \ --action deny-403 \ --description "AU block"
次のコマンドは、指定した IP 範囲にないリージョン AU
からのリクエストをブロックするルールを追加します。
gcloud compute security-policies rules create 1000 \ --security-policy my-policy \ --expression "origin.region_code == "AU" && !inIpRange(origin.ip, '1.2.3.0/24')" \ --action deny-403 \ --description "country and IP block"
次のコマンドは、正規表現に一致する URI を含むリクエストをブロックするルールを追加します。
gcloud compute security-policies rules create 1000 \ --security-policy my-policy \ --expression "request.path.matches('/bad_path/)')" \ --action deny-502 \ --description "regex block"
次のコマンドは、Base64 デコードされた user-id
ヘッダーの値に特定の値が含まれている場合に、リクエストをブロックするルールを追加します。
gcloud compute security-policies rules create 1000 \ --security-policy my-policy \ --expression "has(request.headers['user-id']) && request.headers['user-id'].base64Decode().contains('myValue')" \ --action deny-403 \ --description "country and IP block"
次のコマンドは、事前構成された式セットを使用して SQLi 攻撃を軽減するルールを追加します。
gcloud compute security-policies rules create 1000 \ --security-policy my-policy \ --expression "evaluatePreconfiguredExpr('sqli-stable')" \ --action deny-403
セキュリティ ポリシーでルールを一覧表示する
以降の手順を使用して、Google Cloud Armor セキュリティ ポリシーのルールを一覧表示します。
Console
Google Cloud Console で、[ネットワーク セキュリティ] ページに移動します。
[セキュリティ ポリシー] ページで、セキュリティ ポリシーの名前をクリックします。[ポリシーの詳細] ページが表示され、ページ中央の [ルール] タブにポリシールールが一覧表示されます。
gcloud
次の gcloud
コマンドを使用して、1 つのセキュリティ ポリシー内のすべてのルールを、ポリシーの説明とともに一覧表示します。
gcloud compute security-policies describe NAME \
次の gcloud
コマンドを使用して、指定したセキュリティ ポリシー内に優先度が指定されたルールを記述します。
gcloud compute security-policies rules describe PRIORITY \ --security-policy POLICY_NAME
たとえば、次のコマンドは、セキュリティ ポリシー my-policy
の優先度が 1,000 のルールを記述します。
gcloud compute security-policies rules describe 1000 \ --security-policy my-policy
出力:
action: deny(403) description: block traffic from 192.0.2.0/24 and 198.51.100.0/24 kind: compute#securityPolicyRule match: srcIpRanges: - '192.0.2.0/24' - '198.51.100.0/24' preview: false priority: 1000
セキュリティ ポリシーで 1 つのルールを更新する
以降の手順を使用して、Google Cloud Armor セキュリティ ポリシーの単一のルールを更新します。複数のルールをアトミックに更新するには、セキュリティ ポリシーで複数のルールをアトミックに更新するをご覧ください。
Console
Google Cloud Console で、[ネットワーク セキュリティ] ページに移動します。
[セキュリティ ポリシー] ページで、セキュリティ ポリシーの名前をクリックします。[ポリシーの詳細] ページが表示されます。
ページ中央の [ルール] タブをクリックします。
更新するルールの横にある
[編集] をクリックします。 [ルールの編集] ページが表示されます。必要な変更を行い、[更新] をクリックします。
gcloud
このコマンドを使用して、指定されたセキュリティ ポリシーで、指定された優先度を持つルールを更新します。次のコマンドを使用して、一度に 1 つのセキュリティ ポリシーのみ更新できます。
gcloud compute security-policies rules update PRIORITY [ \ --security-policy POLICY_NAME \ --description DESCRIPTION \ --src-ip-ranges IP_RANGES | --expression EXPRESSION \ --action=[ allow | deny-403 | deny-404 | deny-502 ] \ --preview ]
たとえば、次のコマンドは、IP アドレス範囲 192.0.2.0/24 からのトラフィックを許可する優先度 1111 のルールを更新します。
gcloud compute security-policies rules update 1111 \ --security-policy my-policy \ --description "allow traffic from 192.0.2.0/24" \ --src-ip-ranges "192.0.2.0/24" \ --action "allow"
このコマンドの詳細については、gcloud compute security-policies rules update
をご覧ください。
ルールの優先度を更新するには、REST API を使用する必要があります。詳細については、securityPolicies.patchRule
をご覧ください。
セキュリティ ポリシーで複数のルールをアトミックに更新する
アトミックに更新を行うと、1 回の更新で複数のルールに変更が適用されます。ルールを 1 つずつ更新すると、古いルールと新しいルールが少しの間連携するため、意図しない動作が発生することがあります。
複数のルールをアトミックに更新するには、現在のセキュリティ ポリシーを JSON ファイルまたは YAML ファイルにエクスポートして、ファイルを変更します。変更したファイルを使用して新しいセキュリティ ポリシーを作成し、関連するバックエンド サービスのセキュリティ ポリシーを切り替えます。
gcloud
次の例に示すように、更新するポリシーをエクスポートします。
gcloud compute security-policies export my-policy \ --file-name my-file \ --file-format yaml
エクスポートされたポリシーは、たとえば次の例のようになります。
description: my description fingerprint: PWfLGDWQDLY= id: '123' name: my-policy rules: - action: deny(404) description: my-rule-1 match: expr: expression: evaluatePreconfiguredExpr('xss-stable') versionedExpr: SRC_IPS_V1 preview: false priority: 1 - action: allow description: my-rule-2 match: config: srcIpRanges: - '1.2.3.4' versionedExpr: SRC_IPS_V1 preview: false priority: 2 - action: deny description: default rule kind: compute#securityPolicyRule match: config: srcIpRanges: - '*' versionedExpr: SRC_IPS_V1 preview: false priority: 2147483647 selfLink: https://www.googleapis.com/compute/v1/projects/my-project/global/securityPolicies/my-policy
任意のテキスト エディタを使用してポリシーを変更します。たとえば、既存ルールの優先度を変更して、新しいルールを追加できます。
description: my description fingerprint: PWfLGDWQDLY= id: '123' name: my-policy rules: - action: deny(404) description: my-rule-1 match: expr: expression: evaluatePreconfiguredExpr('xss-stable') versionedExpr: SRC_IPS_V1 preview: false priority: 1 - action: allow description: my-new-rule match: config: srcIpRanges: - '1.2.3.1' versionedExpr: SRC_IPS_V1 preview: false priority: 10 - action: allow description: my-rule-2 match: config: srcIpRanges: - '1.2.3.4' versionedExpr: SRC_IPS_V1 preview: false priority: 11 - action: deny description: default rule kind: compute#securityPolicyRule match: config: srcIpRanges: - '*' versionedExpr: SRC_IPS_V1 preview: false priority: 2147483647 selfLink: https://www.googleapis.com/compute/v1/projects/my-project/global/securityPolicies/my-policy
次の例に示すように、新しい Google Cloud Armor セキュリティ ポリシーを作成し、変更したファイルの名前と形式を指定します。
gcloud compute security-policies create new-policy \ --description "allow-listed traffic" \ --file-name modified-policy \ --file-format yaml
次の例に示すように、関連するバックエンド サービスから古いセキュリティ ポリシーを削除します。
gcloud compute backend-services update my-backend \ --security-policy ""
次の例に示すように、新しいセキュリティ ポリシーをバックエンド サービスに追加します。
gcloud compute backend-services update my-backend \ --security-policy new-policy
古いポリシーが使用されていない場合は、ポリシーを削除します。
gcloud compute security-policies delete my-policy
セキュリティ ポリシーからルールを削除する
以降の手順を使用して、Google Cloud Armor セキュリティ ポリシーからルールを削除します。
Console
Google Cloud Console で、[ネットワーク セキュリティ] ページに移動します。
[セキュリティ ポリシー] ページで、セキュリティ ポリシーの名前をクリックします。[ポリシーの詳細] ページが表示されます。
ページ中央の [ルール] タブで、削除するルールの横にあるチェックボックスをオンにします。
[削除] をクリックします。
gcloud
このコマンドを使用して、指定された優先度のルールを、指定されたセキュリティ ポリシーから削除します。一度に変更できるセキュリティ ポリシーは 1 つだけですが、一度に複数のルールを削除できます。
gcloud compute security-policies rules delete PRIORITY [...] [ --security-policy POLICY_NAME \ ]
例:
gcloud compute security-policies rules delete 1000 \ --security-policy my-policy
HTTP(S) リクエストのロギングを有効にする
セキュリティ ポリシー名、一致ルールの優先度、関連するアクション、関連情報の Google Cloud Armor ログは、HTTP(S) 負荷分散のロギングの一環として記録されます。新しいバックエンド サービスのロギングは、デフォルトでは無効になっているため、Google Cloud Armor の全ロギング情報を記録するには、HTTP(S) 負荷分散ロギングを有効にする必要があります。
HTTP(S) 負荷分散ロギングを使用すると、拒否された HTTP(S) リクエストと許可された HTTP(S) リクエストを詳細に表示できます。たとえば、拒否されたリクエストを表示するには、jsonPayload.enforcedSecurityPolicy.outcome="DENY"
や jsonPayload.statusDetails="denied_by_security_policy"
などのフィルタを使用します。
HTTP(S) 負荷分散のロギングを有効にするには、HTTP(S) 負荷分散のロギングとモニタリングをご覧ください。
ログの表示
Google Cloud Armor セキュリティ ポリシーのログは、Google Cloud Console でのみ表示できます。
Console
Google Cloud Console で、[ネットワーク セキュリティ] ページに移動します。
[セキュリティ ポリシー] ページのセキュリティ ポリシーの行で、ログを表示したいポリシーの
[メニュー] をクリックします。[ログを表示] を選択します。