Google Cloud Armor セキュリティポリシーの構成

Google Cloud Armor セキュリティポリシーを作成して、HTTP(S) 負荷分散への受信トラフィックをフィルタする手順を説明します。Google Cloud Armor セキュリティポリシーのコンセプトに関する情報については、Google Cloud Armor のセキュリティポリシーの概要をご覧ください。

セキュリティポリシーを構成する前に、HTTP(S) 負荷分散のコンセプトについて理解しておいてください。

GKE での Google Cloud Armor の構成については、Google Cloud Armor の構成をご覧ください。

Google Cloud Armor セキュリティポリシーの IAM 権限

次のオペレーションでは、セキュリティ管理者のロール（roles/compute.securityAdmin）が必要です。

Google Cloud Armor セキュリティポリシーの作成、変更、更新、削除
許可される API メソッド
- SecurityPolicies insert
- SecurityPolicies delete
- SecurityPolicies patch
- SecurityPolicies addRule
- SecurityPolicies patchRule
- SecurityPolicies removeRule

ネットワーク管理者のロール（roles/compute.networkAdmin）を付与されたユーザーは、次のオペレーションを実行できます。

バックエンドサービスの Google Cloud Armor セキュリティポリシーの設定
許可される API メソッド
- BackendServices setSecurityPolicy

セキュリティ管理者とネットワーク管理者のロールを付与されたユーザーは、API メソッド SecurityPolicies get、list、getRule を使用して Google Cloud Armor セキュリティポリシーを表示できます。

カスタムロールのための IAM 権限

次の表に、基本的な IAM 役割の基本的な権限と、関連する API メソッドを示します。

IAM 権限	API メソッド
compute.securityPolicies.create	SecurityPolicies insert
compute.securityPolicies.delete	SecurityPolicies delete
compute.securityPolicies.get	SecurityPolicies get SecurityPolicies getRule
compute.securityPolicies.list	SecurityPolicies list
compute.securityPolicies.use	BackendServices setSecurityPolicy
compute.securityPolicies.update	SecurityPolicies patch SecurityPolicies addRule SecurityPolicies patchRule SecurityPolicies removeRule
compute.backendServices.setSecurityPolicy	BackendServices setSecurityPolicy

HTTP(S) 負荷分散のための Google Cloud Armor セキュリティポリシーの構成

以下で説明している概要は、Google Cloud Armor セキュリティポリシーを構成して、HTTP(S) 負荷分散へのトラフィックを許可または拒否するルールを有効にする手順です。

Google Cloud Armor セキュリティポリシーを作成します。
IP リスト、カスタム式、または事前構成された式のセットに基づいて、ルールをポリシーに追加します。
アクセス制御のために、HTTP(S) ロードバランサのバックエンドサービスに Google Cloud Armor セキュリティポリシーを接続します。
必要に応じて、Google Cloud Armor セキュリティポリシーを更新します。

次の例では、2 つの Google Cloud Armor セキュリティポリシーを作成し、そのポリシーを異なるバックエンドサービスに適用します。

2 つの Google Cloud Armor セキュリティポリシーが異なるバックエンドサービスに適用されている例（クリックして拡大）

この例における Google Cloud Armor のセキュリティポリシーは、次のとおりです。

mobile-clients-policy は、games サービスの外部ユーザーに適用されます。
internal-users-policy は、組織の test-network チームに適用されます。

mobile-clients-policy を games サービス（バックエンドサービスが games と呼ばれる)に適用し、internal-users-policy をテストチームの内部 test サービス（対応するバックエンドサービスが test-network と呼ばれる）に適用します。

バックエンドサービスのバックエンドインスタンスが複数のリージョンにある場合、サービスに関連付けられた Google Cloud Armor セキュリティポリシーはすべてのリージョンのインスタンスに適用されます。上記の例では、Google Cloud Armor セキュリティポリシー mobile-clients-policy は、us-central 内のインスタンス 1、2、3、4 と、us-east 内のインスタンス 5、6 に適用されます。

サンプルの作成

以降の手順を使用して、前のセクションで説明したサンプルを作成します。

Console

構成サンプルを作成するには、次の手順を行います。

Google Cloud Console の [ネットワークセキュリティ] ページに移動します。
[ネットワークセキュリティ] ページに移動
[セキュリティポリシー] ページが表示されます。
[ポリシーを作成] をクリックします。
[名前] フィールドに「mobile-client-policy」と入力します。
[説明] フィールドに「policy for external users」と入力します。
[拒否] をクリックします。
[次のステップ] をクリックします。
[ルールを追加] をクリックします。
[説明] フィールドに「allow traffic from 192.0.2.0/24」と入力します。
[モード] で [基本モード（IP アドレスまたは IP 範囲のみ）] を選択します。
[一致] フィールドに「192.0.2.0/24」と入力します。
[アクション] で [許可] を選択します。
[優先度] フィールドに「1000」と入力します。
[完了] をクリックします。
[次のステップ] をクリックします。
[ターゲットを追加] をクリックします。
プルダウンリストから [ターゲット] を選択します。
[完了] をクリックします。
[ポリシーを作成] をクリックします。Console に [セキュリティポリシー] ページが表示されます。
[名前] フィールドに「internal-users-policy」と入力します。
[説明] フィールドに「Policy for internal test users」と入力します。
[拒否] をクリックします。
[次のステップ] をクリックします。
[ルールを追加] をクリックします。
[説明] フィールドに「allow traffic from 198.51.100.0/24」と入力します。
[モード] で [基本モード（IP アドレスまたは IP 範囲のみ）] を選択します。
[一致] フィールドに「198.51.100.0/24」と入力します。
[アクション] で [許可] を選択します。
[有効にする] をクリックします。
[優先度] フィールドに「1000」と入力します。
[完了] をクリックします。
[次のステップ] をクリックします。
[ターゲットを追加] をクリックします。
プルダウンリストから [ターゲット] を選択します。
[完了] をクリックします。
[ポリシーを作成] をクリックします。Console に [セキュリティポリシー] ページが表示されます。

gcloud

Google Cloud Armor セキュリティポリシーを作成します。

gcloud compute security-policies create mobile-clients-policy \
    --description "policy for external users"

gcloud compute security-policies create internal-users-policy \
    --description "policy for internal test users"

Google Cloud Armor セキュリティポリシーに対するデフォルトのルールを更新し、トラフィックを拒否します。

gcloud compute security-policies rules update 2147483647 \
    --security-policy mobile-clients-policy \
    --action "deny-404"

gcloud compute security-policies rules update 2147483647 \
    --security-policy internal-users-policy \
    --action "deny-502"

Google Cloud Armor セキュリティポリシーにルールを追加します。

gcloud compute security-policies rules create 1000 \
    --security-policy mobile-clients-policy \
    --description "allow traffic from 192.0.2.0/24" \
    --src-ip-ranges "192.0.2.0/24" \
    --action "allow"

gcloud compute security-policies rules create 1000 \
    --security-policy internal-users-policy \
    --description "allow traffic from 198.51.100.0/24" \
    --src-ip-ranges "198.51.100.0/24" \
    --action "allow"

Google Cloud Armor セキュリティポリシーをバックエンドサービスに接続します。

gcloud compute backend-services update games \
    --security-policy mobile-clients-policy

gcloud compute backend-services update test-network \
    --security-policy internal-users-policy

Google Cloud Armor for GKE の構成

次の大まかな手順で、Google Cloud Armor for GKE セキュリティポリシーを構成できます。

REST API または gcloud コマンドラインツールを使用して、ルールで Google Cloud Armor セキュリティポリシーを構成します。
GKE で Ingress リソースを作成します。
Ingress リソースに関連付けられているバックエンドサービスを特定します。
1. Ingress リソースの構成を取得します。
```
kubectl describe ingress [INGRESS_NAME]
```
2. 出力の「Annotations」セクションの backends フィールドの値をメモします。これらの値は、使用されているバックエンドサービスの名前です。
REST API または gcloud コマンドラインツールを使用して、前のステップでメモした各バックエンドサービスに Google Cloud Armor セキュリティポリシーを接続します。

Kubernetes Ingress リソースを削除してから再作成した場合は、セキュリティポリシーを新しいバックエンドサービスに再適用する必要があります。

詳細については、Ingress による Google Cloud Armor の構成をご覧ください。

Google Cloud Armor のセキュリティポリシー、ルール、式を作成する

Google Cloud Console、gcloud コマンドラインツール、または REST API を使用して、Google Cloud Armor のセキュリティポリシー、ルール、式を作成できます。

以下にサンプルの式を示します。式の詳細については、Google Cloud Armor ルールの言語リファレンスをご覧ください。

ISO 3166-1 alpha 2 の国名コード（地域コード）を使用するルールや式を作成する場合、Google Cloud Armor では各コードが個別に扱われます。Google Cloud Armor のルールと式では、これらの地域コードを明示的に使用して、リクエストを許可または拒否します。

次の式は、IP アドレス 1.2.3.4 からのリクエストを照合し、ユーザーエージェントヘッダーに文字列 Godzilla を含めます。
```
inIpRange(origin.ip, '1.2.3.4/32') && has(request.headers['user-agent']) && request.headers['user-agent'].contains('Godzilla')
```

次の式は、特定の値を含む Cookie を持つリクエストを照合します。

has(request.headers['cookie']) && request.headers['cookie'].contains('cookie_name=cookie_value')

次の式は、リージョン AU からのリクエストを照合します。
```
origin.region_code == 'AU'
```
次の式は、リージョン AU からのリクエストで、指定された IP 範囲ではないリクエストを照合します。
```
request.region_code == "AU" && !inIpRange(origin.ip, '1.2.3.0/24')
```
次の式は、URI が正規表現に一致する場合、リクエストを照合します。
```
request.path.matches('/bad_path/')
```
次の式は、Base64 でデコードされた user-id ヘッダーの値に特定の値が含まれている場合に、リクエストを照合します。
```
has(request.headers['user-id']) && request.headers['user-id'].base64Decode().contains('myValue')
```
事前構成された式セットを使用する次の式は、SQLi 攻撃を照合します。
```
evaluatePreconfiguredExpr('sqli-stable')
```

次の手順では、既存の外部 HTTP(S) ロードバランサとバックエンドサービスに適用するセキュリティポリシーを作成していることを前提としています。

Console

Google Cloud Armor のセキュリティポリシーとルールを作成し、Google Cloud Armor のセキュリティポリシーをバックエンドサービスに接続するには:

Google Cloud Console の [ネットワークセキュリティ] ページに移動します。
[ネットワークセキュリティ] ページに移動
[セキュリティポリシー] ページが表示されます。
[ポリシーを作成] をクリックします。
[名前] フィールドに、ポリシーの名前を入力します。
必要に応じて、ポリシーの [説明] を入力します。
アクセスを許可するデフォルトルールの場合は [許可]、IP アドレスまたは IP アドレス範囲へのアクセスを禁止するデフォルトルールの場合は [拒否] を選択します。

デフォルトのルールは、他に適用するルールがない場合にのみ適用される、最も優先度の低いルールです。
拒否ルールを作成する場合は、[拒否ステータス] を選択します。これは、アクセス権のないユーザーがアクセスしようとしたときに Google Cloud Armor によって表示されるエラーメッセージです。
作成するルールのタイプに関係なく、[次のステップ] をクリックします。
[ルールを追加] をクリックして、セキュリティポリシーの追加ルールを構成します。
必要に応じて、ルールの [説明] を入力します。
[モード] を選択します。
- 基本モード - IP アドレスや範囲に基づいてトラフィックを許可または拒否します。
- 詳細モード - ルール式に基づいてトラフィックを許可または拒否します。
[一致] フィールドで、ルールが適用される条件を指定します。
- 基本モード - ルールで一致する IP アドレス範囲を入力します。
- 詳細モード - 受信リクエストに対して評価する式またはサブ式を入力します。式の作成方法についての詳細は、Google Cloud Armor のルール言語をご覧ください。
ルールが一致した場合にトラフィックを [許可] するか [拒否] するかを選択します。
プレビューモードを有効にするには、[有効にする] をオンにします。プレビューモードでは、ルールの動作を確認できますが、ルールは有効になっていません。
ルールの [優先度] を入力します。0～2,147,483,646 の正の整数を指定できます。評価順序の詳細については、ルールの優先度と評価順序をご覧ください。
[完了] をクリックします。
ルールをさらに追加するには、[ルールを追加] をクリックして上記の手順を繰り返します。追加しない場合は、[次のステップ] をクリックします。
[ターゲットを追加] をクリックします。
プルダウンリストから [ターゲット] を選択します。
さらにターゲットを追加するには、[ターゲットを追加] をクリックします。
[完了] をクリックします。
[ポリシーを作成] をクリックします。

gcloud

新しい Google Cloud Armor セキュリティポリシーを作成するには、コマンド gcloud compute security-policies create を使用します。ここで、NAME は Google Cloud Armor セキュリティポリシーの名前です。
```
gcloud compute security-policies create [NAME] \
    [--file-format=[FILE_FORMAT] | --description=[DESCRIPTION]] \
    [--file-name=[FILE_NAME]]
```
例:
```
gcloud compute security-policies create my-policy \
   --description "block bad traffic"
```

Google Cloud Armor セキュリティポリシーにルールを追加するには、コマンド gcloud compute security-policies rules create PRIORITY を使用します。ここで、PRIORITY は、ポリシー内のルールに割り当てられた優先度です。ルールの優先度の仕組みについては、Google Cloud Armor のセキュリティポリシーの概要をご覧ください。

gcloud compute security-policies rules create [PRIORITY]  \
   [--security-policy [POLICY_NAME]] \
   [--description [DESCRIPTION]] \
   --src-ip-ranges [IP_RANGE,...] | --expression [EXPRESSION] \
   --action=[ allow | deny-403 | deny-404 | deny-502 ]  \
   [--preview]

次のコマンドは、IP アドレス範囲 192.0.2.0/24 と 198.51.100.0/24 からのトラフィックをブロックするルールを追加します。このルールの優先度は 1,000 で、my-policy という名前のポリシー内のルールです。

gcloud compute security-policies rules create 1000 \
   --security-policy my-policy \
   --description "block traffic from 192.0.2.0/24 and 198.51.100.0/24" \
   --src-ip-ranges "192.0.2.0/24","198.51.100.0/24" \
   --action "deny-403"

--preview フラグを追加すると、ルールはポリシーに追加されますが、適用されず、ルールをトリガーするトラフィックのみがログに記録されます。

gcloud compute security-policies rules create 1000 \
   --security-policy my-policy \
   --description "block traffic from 192.0.2.0/24 and 198.51.100.0/24" \
   --src-ip-ranges "192.0.2.0/24","198.51.100.0/24" \
   --action "deny-403" \
   --preview

--expression フラグを使用して、Google Cloud Armor のルール言語でカスタム条件を指定します。次のコマンドは、IP アドレス 1.2.3.4 からのトラフィックを許可するルールを追加し、user-agent ヘッダーに文字列 Godzilla を含めます。

gcloud compute security-policies rules create 1000 \
   --security-policy my-policy \
   --expression "inIpRange(origin.ip, '1.2.3.4/32') && has(request.headers['user-agent']) && request.headers['user-agent'].contains('Godzilla')" \
   --action allow \
   --description "Block User-Agent 'Godzilla'"

次のコマンドは、リクエストの Cookie に特定の値が含まれている場合に、リクエストをブロックするルールを追加します。

gcloud compute security-policies rules create 1000 \
   --security-policy my-policy \
   --expression "has(request.headers['cookie']) && request.headers['cookie'].contains('cookie_name=cookie_value')" \
   --action "deny-403" \
   --description "Cookie Block"

次のコマンドは、リージョン AU からのリクエストをブロックするルールを追加します。

gcloud compute security-policies rules create 1000 \
   --security-policy my-policy \
   --expression "origin.region_code == 'AU'" \
   --action "deny-403" \
   --description "AU block"

次のコマンドは、リージョン AU からのリクエストで、指定した IP 範囲外からのリクエストをブロックするルールを追加します。

gcloud compute security-policies rules create 1000 \
   --security-policy my-policy \
   --expression "origin.region_code == 'AU' && !inIpRange(origin.ip, '1.2.3.0/24')" \
   --action "deny-403" \
   --description "country and IP block"

次のコマンドは、正規表現に一致する URI を含むリクエストをブロックするルールを追加します。

gcloud compute security-policies rules create 1000 \
   --security-policy my-policy \
   --expression "request.path.matches('/bad_path/)')" \
   --action "deny-403" \
   --description "regex block"

次のコマンドは、Base64 デコードされた user-id ヘッダーの値に特定の値が含まれている場合に、リクエストをブロックするルールを追加します。

gcloud compute security-policies rules create 1000 \
   --security-policy my-policy \
   --expression "has(request.headers['user-id']) && request.headers['user-id'].base64Decode().contains('myValue')" \
   --action "deny-403" \
   --description "country and IP block"

次のコマンドは、事前構成された式セットを使用して SQLi 攻撃を軽減するルールを追加します。

gcloud compute security-policies rules create 1000 \
   --security-policy my-policy \
   --expression "evaluatePreconfiguredExpr('sqli-stable')" \
   --action "deny-403"

次のコマンドは、事前構成された式を使用して、名前付き IP アドレスリストのすべての IP アドレスからのアクセスを許可するルールを追加します。

gcloud beta compute security-policies rules create 1000 \
   --security-policy my-policy \
   --expression "evaluatePreconfiguredExpr('sourceiplist-fastly')" \
   --action "allow"

利用可能な事前構成ルールの一覧表示

事前構成されたルールを一覧表示して、Google Cloud Armor が提供する ModSecurity Core Rule Set など、事前定義されたアプリケーション保護ルールとシグネチャを表示します。これらの事前構成されたルールには、Google Cloud Armor が受信リクエストに対して評価するために使用する複数の組み込みシグネチャが含まれています。Google Cloud Armor カスタムルール言語を使用して、これらの事前構成されたルールを新規または既存のルールに追加します。

詳細については、事前構成されたルールをご覧ください。

gcloud

gcloud compute security-policies list-preconfigured-expression-sets コマンドを実行します。

gcloud compute security-policies list-preconfigured-expression-sets

次の例は、コマンドからの出力形式を示しています。

EXPRESSION_SET
expression-set-1
   RULE_ID
   expression-set-1-id-1
   expression-set-1-id-2
expression-set-2
   alias-1
   RULE_ID
   expression-set-2-id-1
   expression-set-2-id-2

次の例には、コマンドの実際の出力のサンプルが含まれています。実際の出力には、Google Cloud Armor WAF ルールのチューニングにリストされているすべてのルールが含まれているので注意してください。

gcloud beta compute security-policies list-preconfigured-expression-sets

EXPRESSION_SET
sqli-canary
    RULE_ID
    owasp-crs-v030001-id942110-sqli
    owasp-crs-v030001-id942120-sqli
    …
xss-canary
    RULE_ID
    owasp-crs-v030001-id941110-xss
    owasp-crs-v030001-id941120-xss
…
sourceiplist-fastly
sourceiplist-cloudflare
sourceiplist-imperva

Google Cloud Armor セキュリティポリシーの一覧表示

以降の手順を使用して、現在のプロジェクトまたは指定したプロジェクト内のすべての Google Cloud Armor セキュリティポリシーを一覧表示します。

Console

Google Cloud Console の [ネットワークセキュリティ] ページに移動します。
[ネットワークセキュリティ] ページに移動
[セキュリティポリシー] ページとポリシーのリストが表示されます。
特定のポリシーを表示するには、その名前をクリックします。

gcloud

構成済みのすべての Google Cloud Armor セキュリティポリシーを一覧表示するには:

gcloud compute security-policies list

例:

gcloud compute security-policies list

NAME
my-policy

詳細については、gcloud compute security-policies list をご覧ください。

Google Cloud Armor セキュリティポリシーの更新

以降の手順を使用して、Google Cloud Armor のセキュリティポリシーを更新します。たとえば、ポリシーの説明を変更する、デフォルトのルールの動作を変更する、ターゲットバックエンドサービスを変更する、新しいルールを追加する、といった操作が可能です。

Console

Google Cloud Armor セキュリティポリシーを更新するには:

Google Cloud Console の [ネットワークセキュリティ] ページに移動します。
[ネットワークセキュリティ] ページに移動
Google Cloud Armor セキュリティポリシー ページとポリシーのリストが表示されます。
更新するポリシーのその他メニューをクリックします。
1. デフォルトのルールアクションのポリシーの説明を更新するには、[編集] を選択し、必要な変更を行い、[更新] をクリックします。
2. ルールを追加するには、[ルールを追加] を選択し、上記の手順に従って Console からポリシーにルールを追加します。
3. Google Cloud Armor セキュリティポリシーのターゲットバックエンドサービスを変更するには、[ターゲットにポリシーを適用] を選択し、新しいターゲットを追加して [追加] をクリックします。

gcloud

gcloud コマンドラインツールを使用して Google Cloud Armor セキュリティポリシーを更新するには、次の手順を使用します。

セキュリティポリシーのルールを更新するには、ルールの更新をご覧ください
セキュリティポリシーにルールを追加するには、Google Cloud Armor セキュリティポリシーにルールを追加するをご覧ください。
セキュリティポリシーからルールを削除するには、ルールを削除するをご覧ください。
1 回の更新（アトミックアップデート）で複数のルールを更新するには、Google Cloud Armor セキュリティポリシーのルールをアトミックに更新するをご覧ください。
セキュリティポリシーのルール以外のフィールド（説明フィールドなど）を更新するには、エクスポートとインポートの手順をご覧ください。

Google Cloud Armor セキュリティポリシーのエクスポート

gcloud コマンドラインツールを使用して、Google Cloud Armor セキュリティポリシーを YAML ファイルまたは JSON ファイルとしてエクスポートできます。ポリシーをエクスポートすると、そのコピーを取得して、ソース管理で変更や保存が可能です。

gcloud

次のコマンドの NAME は、Google Cloud Armor セキュリティポリシーの名前です。有効なファイル形式は YAML と JSON です。ファイル形式を指定しない場合、Google Cloud Armor はデフォルトの YAML を使用します。

gcloud compute security-policies export NAME \
    --file-name [FILE_NAME]  \
    --file-format [FILE_FORMAT]

次のコマンドは、my-policy セキュリティポリシーを YAML 形式で my-file ファイルにエクスポートします。

gcloud compute security-policies export my-policy \
     --file-name my-file \
     --file-format yaml

次の例は、エクスポートされたセキュリティポリシーを示しています。

description: my description fingerprint: PWfLGDWQDLY= id: '123' name: my-policy rules:

action: allow description: default rule match: config: srcIpRanges: - '*' versionedExpr: SRC_IPS_V1 preview: false priority: 2147483647 selfLink: https://www.googleapis.com/compute/v1/projects/my-project/global/securityPolicies/my-policy

エクスポートされたファイルは、任意のテキストエディタで変更し、import コマンドを使用して GCP にインポートできます。

Google Cloud Armor セキュリティポリシーのインポート

YAML ファイルまたは JSON ファイルから Google Cloud Armor セキュリティポリシーをインポートするには、gcloud コマンドラインツールを使用します。import コマンドを使用して、既存のポリシーのルールを更新することはできません。代わりに、ルールの更新手順を使用してルールを 1 つずつ更新するか、Google Cloud Armor セキュリティポリシーのルールをアトミックに更新する手順を使用して、一度にすべてを更新する必要があります。

gcloud

Google Cloud Armor セキュリティポリシーをインポートするには、gcloud compute security-policies import NAME コマンドを使用します。ここで、NAME はインポートする Google Cloud Armor セキュリティポリシーの名前です。ファイル形式を指定しない場合は、ファイル構造に基づいて正しい形式が推定されます。構造が無効な場合は、エラーが表示されます。

gcloud compute security-policies import NAME \
   --file-name [FILE_NAME] \
  [--file-format [FILE_FORMAT]]

たとえば、次のコマンドはファイル my-file をインポートしてポリシー my-policy を更新します。

gcloud compute security-policies import my-policy \
    --file-name my-file \
    --file-format json

ポリシーのフィンガープリントがインポート時に最新でない場合は、Google Cloud Armor によりエラーが表示されます。これは、最後にエクスポートした後に、ポリシーが変更されたことを意味します。これを修正するには、ポリシーで describe コマンドを使用して、最新のフィンガープリントを取得します。describe コマンドで取得されたポリシーと実際のポリシーの相違点をマージし、古いフィンガープリントを最新のものに置き換えます。

Google Cloud Armor セキュリティポリシーの削除

以降の手順を使用して、Google Cloud Armor セキュリティポリシーを削除します。ポリシーを削除する前に、ポリシーからすべてのバックエンドサービスを削除する必要があります。

Console

Google Cloud Armor セキュリティポリシーを削除するには:

Google Cloud Console の [ネットワークセキュリティ] ページに移動します。
[ネットワークセキュリティ] ページに移動
Google Cloud Armor のセキュリティポリシー ページが表示されます。
削除する Google Cloud Armor セキュリティポリシーの名前の横にあるチェックボックスをオンにします。
画面の右上隅にある [削除] アイコンをクリックします。

gcloud

gcloud compute security-policies delete NAME を使用してセキュリティポリシーを削除します。NAME は Google Cloud Armor セキュリティポリシーの名前です。

gcloud compute security-policies delete NAME

Google Cloud Armor セキュリティポリシーをバックエンドサービスに接続する

以降の手順を使用して、Google Cloud Armor セキュリティポリシーをバックエンドサービスに接続します。Google Cloud Armor セキュリティポリシーは複数のバックエンドサービスに接続できますが、バックエンドサービスに接続できる Google Cloud Armor セキュリティポリシーは 1 つだけです。

Console

ポリシーをバックエンドサービスに接続するには:

Google Cloud Console の [ネットワークセキュリティ] ページに移動します。
[ネットワークセキュリティ] ページに移動
Google Cloud Armor のセキュリティポリシー ページが表示されます。
Google Cloud Armor セキュリティポリシーの名前をクリックします。[ポリシーの詳細] ページが表示されます。
ページ中央の [ターゲット] タブをクリックします。
[新しいターゲットにポリシーを適用] をクリックします。
[ターゲットを追加] をクリックします。
[ターゲットを選択] をクリックします。
ターゲットを選択します。
[追加] をクリックします。

gcloud

gcloud compute backend-services コマンドを使用して、セキュリティポリシーをバックエンドサービスに接続します。

gcloud compute backend-services update my-backend \
    --security-policy my-policy

バックエンドサービスからの Google Cloud Armor セキュリティポリシーの削除

以降の手順を使用して、Google Cloud Armor セキュリティポリシーをバックエンドサービスから削除します。

Console

ポリシーをバックエンドサービスから削除するには:

Google Cloud Console の [ネットワークセキュリティ] ページに移動します。
[ネットワークセキュリティ] ページに移動
Google Cloud Armor のセキュリティポリシー ページが表示されます。
Google Cloud Armor セキュリティポリシーの名前をクリックします。[ポリシーの詳細] ページが表示されます。
ページ中央の [ターゲット] タブをクリックします。
ポリシーを削除する対象のバックエンドサービスを選択します。
[削除] をクリックします。
確認のポップアップで [削除] をクリックします。

gcloud

Google Cloud Armor セキュリティポリシーをバックエンドサービス my-backend から削除するには:

gcloud compute backend-services update my-backend \
   --security-policy ""

Google Cloud Armor セキュリティポリシーにルールを追加する

以降の手順を使用して、Google Cloud Armor セキュリティポリシーにルールを追加します。

Console

Google Cloud Armor セキュリティポリシーにルールを追加するには:

Google Cloud Console の [ネットワークセキュリティ] ページに移動します。
[ネットワークセキュリティ] ページに移動
Google Cloud Armor のセキュリティポリシー ページが表示されます。
Google Cloud Armor セキュリティポリシーの名前をクリックします。[ポリシーの詳細] ページが表示されます。
ページ中央の [ルールを追加] をクリックします。
必要に応じて、ルールの [説明] を入力します。
[モード] を選択します。
- 基本モード - IP アドレスや範囲に基づいてトラフィックを許可または拒否します。
- 詳細モード - ルール式に基づいてトラフィックを許可または拒否します。
[一致] フィールドで、ルールが適用される条件を指定します。
- 基本モード - ルールで一致する IP アドレス範囲を 1 つから 5 つまでの間で入力します。
- 詳細モード - 受信リクエストに対して評価する式またはサブ式を入力します。式の記述方法と次の例の読み方については、Google Cloud Armor ルールの言語をご覧ください。
  - 次の式は、IP アドレス 1.2.3.4 からのリクエストを照合し、ユーザーエージェントヘッダーに文字列 Godzilla を含めます。
```
inIpRange(origin.ip, '1.2.3.4/32') && has(request.headers['user-agent']) && request.headers['user-agent'].contains('Godzilla')
```
  - 次の式は、特定の値を含む Cookie を持つリクエストを照合します。
```
has(request.headers['cookie']) && request.headers['cookie'].contains('cookie_name=cookie_value')
```
  - 次の式は、リージョン AU からのリクエストを照合します。
```
origin.region_code == 'AU'
```
  - 次の式は、リージョン AU からのリクエストで、指定された IP 範囲ではないリクエストを照合します。
```
request.region_code == "AU" && !inIpRange(origin.ip, '1.2.3.0/24')
```
  - 次の式は、URI が正規表現に一致する場合、リクエストを照合します。
```
request.path.matches('/bad_path/)')
```
  - 次の式は、Base64 でデコードされた user-id ヘッダーの値に特定の値が含まれている場合に、リクエストを照合します。
```
has(request.headers['user-id']) && request.headers['user-id'].base64Decode().contains('myValue')
```
  - 事前構成された式セットを使用する次の式は、SQLi 攻撃を照合します。
```
evaluatePreconfiguredExpr('sqli-stable')
```
[アクション] セクションで [許可] または [拒否] を選択します。
拒否ルールを作成する場合は、[拒否ステータス] を選択します。
ルールのプレビューモードを有効にする場合は、[有効にする] をオンにします。
[優先度] フィールドに正の整数を入力します。
[追加] をクリックします。

gcloud

Google Cloud Armor セキュリティポリシーにルールを追加するには、コマンド gcloud compute security-policies rules create PRIORITY を使用します。ここで、PRIORITY は、ポリシー内のルールに割り当てられた優先度です。

gcloud compute security-policies rules create PRIORITY \
   --security-policy [POLICY_NAME} \
   --description [DESCRIPTION] \
   --src-ip-ranges [IP_RANGES] | --expression [EXPRESSION] \
   --action=[ allow | deny-403 | deny-404 | deny-502 ] \
   --preview

gcloud compute security-policies rules create 1000 \
   --security-policy my-policy \
   --description "block traffic from 192.0.2.0/24 and 198.51.100.0/24" \
   --src-ip-ranges "192.0.2.0/24","198.51.100.0/24" \
   --action "deny-403"

--expression フラグを使用して、Google Cloud Armor ルール言語で条件を指定します。次のコマンドは、IP アドレス 1.2.3.4 からのトラフィックを許可するルールを追加し、user-agent ヘッダーに文字列 Godzilla を含めます。

gcloud compute security-policies rules create 1000 \
   --security-policy my-policy \
   --expression "inIpRange(origin.ip, '1.2.3.4/32') && has(request.headers['user-agent']) && request.headers['user-agent'].contains('Godzilla')" \
   --action allow \
   --description "Block User-Agent 'Godzilla'"

次のコマンドは、リクエストの Cookie に特定の値が含まれている場合に、リクエストをブロックするルールを追加します。

gcloud compute security-policies rules create 1000 \
   --security-policy my-policy \
   --expression "has(request.headers['cookie']) && request.headers['cookie'].contains('80=BLAH')" \
   --action deny-403 \
   --description "Cookie Block"

次のコマンドは、リージョン AU からのリクエストをブロックするルールを追加します。

gcloud compute security-policies rules create 1000 \
   --security-policy my-policy \
   --expression "origin.region_code == 'AU'" \
   --action deny-403 \
   --description "AU block"

次のコマンドは、リージョン AU からのリクエストで、指定した IP 範囲外からのリクエストをブロックするルールを追加します。

gcloud compute security-policies rules create 1000 \
   --security-policy my-policy \
   --expression "request.region_code == "AU" && !inIpRange(origin.ip, '1.2.3.0/24')" \
   --action deny-403 \
   --description "country and IP block"

次のコマンドは、正規表現に一致する URI を含むリクエストをブロックするルールを追加します。

gcloud compute security-policies rules create 1000 \
   --security-policy my-policy \
   --expression "request.path.matches('/bad_path/)')" \
   --action deny-502 \
   --description "regex block"

次のコマンドは、Base64 デコードされた user-id ヘッダーの値に特定の値が含まれている場合に、リクエストをブロックするルールを追加します。

gcloud compute security-policies rules create 1000 \
   --security-policy my-policy \
   --expression "has(request.headers['user-id']) && request.headers['user-id'].base64Decode().contains('myValue')" \
   --action deny-403 \
   --description "country and IP block"

次のコマンドは、事前構成された式セットを使用して SQLi 攻撃を軽減するルールを追加します。

gcloud compute security-policies rules create 1000 \
   --security-policy my-policy \
   --expression "evaluatePreconfiguredExpr('sqli-stable')" \
   --action deny-403

Google Cloud Armor セキュリティポリシーのルールを一覧表示する

以降の手順を使用して、Google Cloud Armor セキュリティポリシーのルールを一覧表示します。

Console

Google Cloud Armor セキュリティポリシーのルールを一覧表示するには:

Google Cloud Console の [ネットワークセキュリティ] ページに移動します。
[ネットワークセキュリティ] ページに移動
Google Cloud Armor のセキュリティポリシー ページが表示されます。
Google Cloud Armor セキュリティポリシーの名前をクリックします。[ポリシーの詳細] ページが表示され、ページの中央にポリシールールが一覧表示されます。

gcloud

次の gcloud コマンドを使用して、1 つのセキュリティポリシー内のすべてのルールを、ポリシーの説明とともに一覧表示します。

gcloud compute security-policies describe [NAME] \

次の gcloud コマンドを使用して、指定された Google Cloud Armor セキュリティポリシーで、指定された優先度を持つルールを表示します。

gcloud compute security-policies rules describe [PRIORITY] \
    --security-policy [POLICY_NAME]

たとえば、次のコマンドは、Google Cloud Armor セキュリティポリシー my-policy の優先度 1,000 のルールを示しています。

gcloud compute security-policies rules describe 1000 \
    --security-policy my-policy

action: deny(403) description: block traffic from 192.0.2.0/24 and 198.51.100.0/24 kind: compute#securityPolicyRule match: srcIpRanges:

'192.0.2.0/24'
'198.51.100.0/24' preview: false priority: 1000

単一のルールの更新

以降の手順を使用して、Google Cloud Armor セキュリティポリシーの単一のルールを更新します。複数のルールをアトミックに更新するには、Google Cloud Armor セキュリティポリシーのルールをアトミックに更新するをご覧ください。

Console

単一のルールを更新するには:

Google Cloud Console の [ネットワークセキュリティ] ページに移動します。
[ネットワークセキュリティ] ページに移動
Google Cloud Armor のセキュリティポリシー ページが表示されます。
Google Cloud Armor セキュリティポリシーの名前をクリックします。[ポリシーの詳細] ページが表示されます。
ページの中央で、ルールの横にある鉛筆アイコンをクリックします。[ルールの編集] ページが表示されます。
必要な変更を行い、[更新] をクリックします。

gcloud

このコマンドを使用して、指定された Google Cloud Armor セキュリティポリシーで、指定された優先度を持つルールを更新します。このコマンドを使用して一度に更新できる Google Cloud Armor セキュリティポリシーは 1 つだけです。

gcloud compute security-policies rules update [PRIORITY] [ \
   --security-policy [POLICY_NAME]  \
   --description [DESCRIPTION]  \
   --src-ip-ranges [IP_RANGES]  | --expression [EXPRESSION] \
   --action=[ allow | deny-403 | deny-404 | deny-502 ]  \
   --preview
  ]

たとえば、次のコマンドは、IP アドレス範囲 192.0.2.0/24 からのトラフィックを許可する優先度 1111 のルールを更新します。

gcloud compute security-policies rules update 1111 \
   --security-policy my-policy \
   --description "allow traffic from 192.0.2.0/24" \
   --src-ip-ranges "192.0.2.0/24" \
   --action "allow"

このコマンドの詳細については、gcloud compute security-policies rules update をご覧ください。

ルールの優先度を更新するには、REST API を使用する必要があります。詳細については、securityPolicies.patchRule をご覧ください。

Google Cloud Armor セキュリティポリシーの複数のルールをアトミックに更新する

アトミックに更新を行うと、1 回の更新で複数のルールに変更が適用されます。ルールを 1 つずつ更新すると、古いルールと新しいルールが少しの間連携するため、意図しない動作が発生することがあります。

複数のルールをアトミックに更新するには、現在の Google Cloud Armor セキュリティポリシーを JSON ファイルまたは YAML ファイルにエクスポートして、ファイルを変更します。変更したファイルを使用して新しい Google Cloud Armor セキュリティポリシーを作成し、関連するバックエンドサービスのセキュリティポリシーを切り替えます。

gcloud

次の例に示すように、更新するポリシーをエクスポートします。

gcloud compute security-policies export my-policy \
     --file-name my-file \
     --file-format yaml

エクスポートされたポリシーは、たとえば次の例のようになります。

description: my description fingerprint: PWfLGDWQDLY= id: '123' name: my-policy rules:

action: deny(404) description: my-rule-1 match: expr: expression: evaluatePreconfiguredExpr('xss-stable') versionedExpr: SRC_IPS_V1 preview: false priority: 1
action: allow description: my-rule-2 match: config: srcIpRanges:
- '1.2.3.4' versionedExpr: SRC_IPS_V1 preview: false priority: 2
action: deny description: default rule kind: compute#securityPolicyRule match: config: srcIpRanges:
- '*' versionedExpr: SRC_IPS_V1 preview: false priority: 2147483647 selfLink: https://www.googleapis.com/compute/v1/projects/my-project/global/securityPolicies/my-policy

任意のテキストエディタを使用してポリシーを変更します。たとえば、既存ルールの優先度を変更して、新しいルールを追加できます。

description: my description fingerprint: PWfLGDWQDLY= id: '123' name: my-policy rules:

action: deny(404) description: my-rule-1 match: expr: expression: evaluatePreconfiguredExpr('xss-stable') versionedExpr: SRC_IPS_V1 preview: false priority: 1
action: allow description: my-new-rule match: config: srcIpRanges:
- '1.2.3.1' versionedExpr: SRC_IPS_V1 preview: false priority: 10
action: allow description: my-rule-2 match: config: srcIpRanges:
- '1.2.3.4' versionedExpr: SRC_IPS_V1 preview: false priority: 11
action: deny description: default rule kind: compute#securityPolicyRule match: config: srcIpRanges:
- '*' versionedExpr: SRC_IPS_V1 preview: false priority: 2147483647 selfLink: https://www.googleapis.com/compute/v1/projects/my-project/global/securityPolicies/my-policy

次の例に示すように、新しい Google Cloud Armor セキュリティポリシーを作成し、変更したファイルの名前と形式を指定します。
```
gcloud compute security-policies create new-policy \
   --description "allow-listed traffic" \
   --file-name modified-policy \
   --file-format yaml
```
次の例に示すように、関連するバックエンドサービスから古いセキュリティポリシーを削除します。
```
gcloud compute backend-services update my-backend \
   --security-policy ""
```
次の例に示すように、新しいセキュリティポリシーをバックエンドサービスに追加します。
```
gcloud compute backend-services update my-backend \
    --security-policy new-policy
```
古いポリシーが使用されていない場合は、ポリシーを削除します。
```
gcloud compute security-policies delete my-policy
```

ルールを削除する

以降の手順を使用して、Google Cloud Armor セキュリティポリシーからルールを削除します。

Console

Google Cloud Armor セキュリティポリシーからルールを削除するには:

Google Cloud Console の [ネットワークセキュリティ] ページに移動します。
[ネットワークセキュリティ] ページに移動
Google Cloud Armor のセキュリティポリシー ページが表示されます。
Google Cloud Armor セキュリティポリシーの名前をクリックします。[ポリシーの詳細] ページが表示されます。
ページ中央で、削除するルールの横にあるチェックボックスをオンにします。
[削除] ボタンをクリックします。

gcloud

このコマンドを使用して、指定された優先度のルールを、指定された Google Cloud Armor セキュリティポリシーから削除します。一度に変更できる Google Cloud Armor セキュリティポリシーは 1 つだけですが、一度に複数のルールを削除できます。

gcloud compute security-policies rules delete PRIORITY [...] [
   --security-policy [POLICY_NAME] \
  ]

例:

gcloud compute security-policies rules delete 1000 \
   --security-policy my-policy

HTTP(S) リクエストのロギングを有効にする

セキュリティポリシー名、一致ルールの優先度、関連するアクション、関連情報の Google Cloud Armor ログは、HTTP(S) 負荷分散のロギングの一環として記録されます。新しいバックエンドサービスのロギングは、デフォルトでは無効になっているため、Google Cloud Armor の全ロギング情報を記録するには、HTTP(S) 負荷分散ロギングを有効にする必要があります。

HTTP(S) 負荷分散ロギングを使用すると、拒否された HTTP(S) リクエストと許可された HTTP(S) リクエストを詳細に表示できます。たとえば、拒否されたリクエストを表示するには、jsonPayload.enforcedSecurityPolicy.outcome="DENY" や jsonPayload.statusDetails="denied_by_security_policy" などのフィルタを使用します。

HTTP(S) 負荷分散のロギングを有効にするには、HTTP(S) 負荷分散のロギングとモニタリングをご覧ください。

ログの表示

ログは Console でのみ表示できます。

Console

Google Cloud Armor セキュリティポリシーのログを表示するには:

Google Cloud Console の [ネットワークセキュリティ] ページに移動します。
[ネットワークセキュリティ] ページに移動
Google Cloud Armor のセキュリティポリシー ページが表示されます。
セキュリティポリシーの行で、ログを表示するポリシーに対応する [その他メニュー] をクリックします。
[ログを表示] を選択します。

次のステップ

式の詳細については、Google Cloud Armor ルールの言語リファレンスをご覧ください。
事前構成されたルールのチューニングの詳細については、Google Cloud Armor WAF ルールのチューニングをご覧ください。
トラブルシューティング情報については、Google Cloud Armor セキュリティポリシーのトラブルシューティングをご覧ください。

Google Cloud Armor セキュリティ ポリシーの構成

Google Cloud Armor セキュリティ ポリシーの IAM 権限

カスタムロールのための IAM 権限

HTTP(S) 負荷分散のための Google Cloud Armor セキュリティ ポリシーの構成

サンプルの作成

Console

gcloud

Google Cloud Armor for GKE の構成

Google Cloud Armor のセキュリティ ポリシー、ルール、式を作成する

Console

gcloud

利用可能な事前構成ルールの一覧表示

gcloud

Google Cloud Armor セキュリティ ポリシーの一覧表示

Console

gcloud

Google Cloud Armor セキュリティ ポリシーの更新

Console

gcloud

Google Cloud Armor セキュリティ ポリシーのエクスポート

gcloud

Google Cloud Armor セキュリティ ポリシーのインポート

gcloud

Google Cloud Armor セキュリティ ポリシーの削除

Console

gcloud

Google Cloud Armor セキュリティ ポリシーをバックエンド サービスに接続する

Console

gcloud

バックエンド サービスからの Google Cloud Armor セキュリティ ポリシーの削除

Console

gcloud

Google Cloud Armor セキュリティ ポリシーにルールを追加する

Console

gcloud

Google Cloud Armor セキュリティ ポリシーのルールを一覧表示する

Console

gcloud

単一のルールの更新

Console

gcloud

Google Cloud Armor セキュリティ ポリシーの複数のルールをアトミックに更新する

gcloud

ルールを削除する

Console

gcloud

HTTP(S) リクエストのロギングを有効にする

ログの表示

Console

次のステップ

Google Cloud Armor セキュリティポリシーの構成

Google Cloud Armor セキュリティポリシーの IAM 権限

HTTP(S) 負荷分散のための Google Cloud Armor セキュリティポリシーの構成

Google Cloud Armor のセキュリティポリシー、ルール、式を作成する

Google Cloud Armor セキュリティポリシーの一覧表示

Google Cloud Armor セキュリティポリシーの更新

Google Cloud Armor セキュリティポリシーのエクスポート

Google Cloud Armor セキュリティポリシーのインポート

Google Cloud Armor セキュリティポリシーの削除

Google Cloud Armor セキュリティポリシーをバックエンドサービスに接続する

バックエンドサービスからの Google Cloud Armor セキュリティポリシーの削除

Google Cloud Armor セキュリティポリシーにルールを追加する

Google Cloud Armor セキュリティポリシーのルールを一覧表示する

Google Cloud Armor セキュリティポリシーの複数のルールをアトミックに更新する