セキュリティ ポリシーの例

このページでは、さまざまな種類のロードバランサとセキュリティ ポリシーの構成例について説明します。

外部アプリケーション ロードバランサにセキュリティ ポリシーを構成する

以下では、グローバル外部アプリケーション ロードバランサまたは従来のアプリケーション ロードバランサへのトラフィックを許可または拒否するルールを有効にするように Google Cloud Armor セキュリティ ポリシーを構成する手順について説明します。

  1. Google Cloud Armor セキュリティ ポリシーを作成します。
  2. IP アドレスのリスト、カスタム式、または事前に構成された式のセットに基づいて、セキュリティ ポリシーにルールを追加します。
  3. アクセスを制御するグローバル外部アプリケーション ロードバランサまたは従来のアプリケーション ロードバランサのバックエンド サービスにセキュリティ ポリシーを接続します。
  4. 必要に応じて、セキュリティ ポリシーを更新します。

次の例では、2 つの Google Cloud Armor セキュリティ ポリシーを作成し、そのポリシーを異なるバックエンド サービスに適用します。

2 つのセキュリティ ポリシーが異なるバックエンド サービスに適用されている例。
2 つのセキュリティ ポリシーが異なるバックエンド サービスに適用されている例(クリックして拡大)

この例における Google Cloud Armor のセキュリティ ポリシーは、次のとおりです。

  • mobile-clients-policy は、games サービスの外部ユーザーに適用されます。
  • internal-users-policy は、組織の test-network チームに適用されます。

mobile-clients-policygames サービス(バックエンド サービスが games と呼ばれる)に適用し、internal-users-policy をテストチームの内部 test サービス(対応するバックエンド サービスが test-network と呼ばれる)に適用します。

バックエンド サービスのバックエンド インスタンスが複数のリージョンに存在する場合、サービスに関連付けられた Google Cloud Armor セキュリティ ポリシーがすべてのリージョンのインスタンスに適用されます。上記の例では、セキュリティ ポリシー mobile-clients-policyus-central のインスタンス 1、2、3、4 と us-east のインスタンス 5、6 に適用されます。

サンプルを作成する

以降の手順を使用して、前のセクションで説明したサンプルの構成を作成します。

コンソール

以下の手順で外部ユーザーのセキュリティ ポリシーを構成します。

  1. Google Cloud コンソールで、[Google Cloud Armor のポリシー]ページに移動します。

    [Google Cloud Armor ポリシー] に移動

  2. [ポリシーの作成] をクリックします。

  3. [名前] フィールドに「mobile-clients-policy」と入力します。

  4. [説明] フィールドに「Policy for external users」と入力します。

  5. [デフォルトのルール アクション] で [拒否] を選択します。

  6. [拒否ステータス] で [404(ファイル未検出)] を選択します。

  7. [次のステップ] をクリックします。

ルールを追加します。

  1. [ルールを追加] をクリックします。
  2. [説明] フィールドに「allow traffic from 192.0.2.0/24」と入力します。
  3. [モード] で [基本モード(IP アドレスまたは IP 範囲のみ)] を選択します。
  4. [一致] フィールドに「192.0.2.0/24」と入力します。
  5. [アクション] で [許可] を選択します。
  6. [優先度] に「1000」と入力します。
  7. [完了] をクリックします。
  8. [次のステップ] をクリックします。

ターゲットへのポリシーの適用:

  1. [ターゲットを追加] をクリックします。
  2. [ターゲット] リストで、ターゲットを選択します。
  3. [完了] をクリックします。
  4. [ポリシーの作成] をクリックします。

必要に応じて、Google Cloud Armor Adaptive Protection を有効にする

  1. Adaptive Protection を有効にするには、[有効] チェックボックスをオンにします。

以下の手順で内部ユーザーのポリシーを構成します。

  1. [ポリシーの作成] をクリックします。
  2. [名前] フィールドに「internal-users-policy」と入力します。
  3. [説明] フィールドに「Policy for internal test users」と入力します。
  4. [デフォルトのルール アクション] で [拒否] を選択します。
  5. [拒否ステータス] で [502(不正なゲートウェイ)] を選択します。
  6. [次のステップ] をクリックします。

ルールを追加します。

  1. [ルールを追加] をクリックします。
  2. [説明] フィールドに「allow traffic from 198.51.100.0/24」と入力します。
  3. [モード] で [基本モード(IP アドレスまたは IP 範囲のみ)] を選択します。
  4. [一致] フィールドに「198.51.100.0/24」と入力します。
  5. [アクション] で [許可] を選択します。
  6. [プレビューのみ] で [有効にする] チェックボックスをオンにします。
  7. [優先度] に「1000」と入力します。
  8. [完了] をクリックします。
  9. [次のステップ] をクリックします。

ターゲットへのポリシーの適用:

  1. [ターゲットを追加] をクリックします。
  2. [ターゲット] リストで、ターゲットを選択します。
  3. [完了] をクリックします。
  4. [ポリシーを作成] をクリックします。

gcloud

  1. Google Cloud Armor セキュリティ ポリシーを作成します。

    gcloud compute security-policies create mobile-clients-policy \
    --description "policy for external users"

    gcloud compute security-policies create internal-users-policy \
    --description "policy for internal test users"

  2. セキュリティ ポリシーに対するデフォルトのルールを更新し、トラフィックを拒否します。

    gcloud compute security-policies rules update 2147483647 \
    --security-policy mobile-clients-policy \
    --action "deny-404"

    gcloud compute security-policies rules update 2147483647 \
    --security-policy internal-users-policy \
    --action "deny-502"

  3. セキュリティ ポリシーにルールを追加します。

    gcloud compute security-policies rules create 1000 \
    --security-policy mobile-clients-policy \
    --description "allow traffic from 192.0.2.0/24" \
    --src-ip-ranges "192.0.2.0/24" \
    --action "allow"

    gcloud compute security-policies rules create 1000 \
    --security-policy internal-users-policy \
    --description "allow traffic from 198.51.100.0/24" \
    --src-ip-ranges "198.51.100.0/24" \
    --action "allow"

  4. セキュリティ ポリシーをバックエンド サービスに接続します。

    gcloud compute backend-services update games \
    --security-policy mobile-clients-policy

    gcloud compute backend-services update test-network \
    --security-policy internal-users-policy

  5. 必要に応じて、適応型保護を有効にします。

    gcloud compute security-policies update mobile-clients-policy \
    --enable-layer7-ddos-defense

    gcloud compute security-policies update internal-users-policy \
    --enable-layer7-ddos-defense

セキュリティ ポリシーを作成する

Google Cloud コンソールまたは gcloud CLI を使用して、セキュリティ ポリシーを作成できます。このセクションの手順では、既存のグローバル外部アプリケーション ロードバランサ、または従来のアプリケーション ロードバランサとバックエンド サービスに適用するセキュリティ ポリシーを構成していることを前提としています。フィールドの入力方法の例については、サンプルを作成するをご覧ください。

コンソール

Google Cloud Armor セキュリティ ポリシーとルールを作成し、セキュリティ ポリシーをバックエンド サービスに接続します。

  1. Google Cloud コンソールで、[Google Cloud Armor のポリシー]ページに移動します。

    [Google Cloud Armor ポリシー] に移動

  2. [ポリシーの作成] をクリックします。

  3. [名前] フィールドに、ポリシーの名前を入力します。

  4. (省略可)ポリシーの [説明] を入力します。

  5. [ポリシータイプ] で、[バックエンド セキュリティ ポリシー] または [Edge のセキュリティ ポリシー] を選択します。

  6. デフォルト ルールのアクションで、アクセスを許可するデフォルト ルールの場合は [許可] を選択します。IP アドレスまたは IP アドレス範囲へのアクセスを禁止するデフォルト ルールの場合は [拒否] を選択します。

    デフォルトのルールは、他に適用するルールがない場合にのみ適用される、最も優先度の低いルールです。

  7. 拒否ルールを作成している場合は、[拒否ステータス] メッセージを選択します。これは、アクセス権のないユーザーがアクセスしようとしたときに Google Cloud Armor によって表示されるエラー メッセージです。

  8. 作成するルールのタイプに関係なく、[次のステップ] をクリックします。

ルールを追加します。

  1. [ルールを追加] をクリックします。
  2. 省略可: ルールの説明を入力します。

  3. モードを選択します。

    • 基本モード: IP アドレスまたは範囲に基づいて、トラフィックを許可または拒否します。
    • 詳細モード: ルール式に基づいてトラフィックを許可または拒否します。

  4. [一致] フィールドで、ルールが適用される条件を指定します。

    • 基本モード: ルールで一致する IP アドレスまたは IP 範囲を入力します。
    • 詳細モード: 受信リクエストに対して評価する式またはサブ式を入力します。式の作成方法については、カスタムルール言語属性の構成をご覧ください。

  5. [アクション] で、[許可] または [拒否] を選択して、ルールが一致する場合にトラフィックを許可または拒否します。

  6. プレビュー モードを有効にするには、[有効にする] チェックボックスをオンにします。プレビュー モードでは、ルールの動作を確認できますが、ルールは有効になっていません。

  7. ルールの優先度を入力します。0~2,147,483,646 の正の整数を指定できます。評価順序の詳細については、ルール評価の順序をご覧ください。

  8. [完了] をクリックします。

  9. さらにルールを追加するには、[ルールを追加] をクリックして前の手順を繰り返します。追加しない場合は、[次のステップ] をクリックします。

ターゲットへのポリシーの適用:

  1. [ターゲットを追加] をクリックします。
  2. [ターゲット] リストで、ターゲットを選択します。
  3. さらにターゲットを追加するには、[ターゲットを追加] をクリックします。
  4. [完了] をクリックします。
  5. [ポリシーを作成] をクリックします。

gcloud

  1. 新しい Google Cloud Armor セキュリティ ポリシーを作成するには、gcloud compute security-policies create コマンドを使用します。

    type フィールドで、CLOUD_ARMOR を使用してバックエンド セキュリティ ポリシーを作成するか、CLOUD_ARMOR_EDGE を使用してエッジ セキュリティ ポリシーを作成します。type フラグは省略可能です。タイプが指定されていない場合、バックエンド セキュリティ ポリシーがデフォルトで作成されます。

    gcloud compute security-policies create NAME \
   [--type=CLOUD_ARMOR|CLOUD_ARMOR_EDGE] \
   [--file-format=FILE_FORMAT | --description=DESCRIPTION] \
   [--file-name=FILE_NAME]

    次のように置き換えます。

    • NAME: セキュリティ ポリシーの名前
    • DESCRIPTION: セキュリティ ポリシーの説明

    次のコマンドは、以前に作成したポリシーを更新し、JSON の解析を有効にして、ログレベルを VERBOSE に変更します。

    gcloud compute security-policies update my-policy \
    --json-parsing=STANDARD \
    --log-level=VERBOSE

  2. セキュリティ ポリシーにルールを追加するには、gcloud compute security-policies rules create PRIORITY コマンドを使用します。

    gcloud compute security-policies rules create PRIORITY  \
    [--security-policy POLICY_NAME] \
    [--description DESCRIPTION] \
    --src-ip-ranges IP_RANGE,... | --expression EXPRESSION \
    --action=[ allow | deny-403 | deny-404 | deny-502 ] \
    [--preview]

    PRIORITY は、ポリシー内のルールに割り当てられた優先度に置き換えます。ルールの優先度の仕組みについては、ルール評価の順序をご覧ください。

    たとえば、次のコマンドは、IP アドレス範囲 192.0.2.0/24198.51.100.0/24 からのトラフィックを遮断するルールを追加します。このルールの優先度は 1,000 で、my-policy という名前のポリシー内のルールです。

    gcloud compute security-policies rules create 1000 \
    --security-policy my-policy \
    --description "block traffic from 192.0.2.0/24 and 198.51.100.0/24" \
    --src-ip-ranges "192.0.2.0/24","198.51.100.0/24" \
    --action "deny-403"

    --preview フラグを追加すると、ルールはポリシーに追加されますが、適用されず、ルールをトリガーするトラフィックがログに記録されるのみです。

    gcloud compute security-policies rules create 1000 \
    --security-policy my-policy \
    --description "block traffic from 192.0.2.0/24 and 198.51.100.0/24" \
    --src-ip-ranges "192.0.2.0/24","198.51.100.0/24" \
    --action "deny-403" \
    --preview

    カスタム条件を指定するには、--expression フラグを使用します。詳細については、カスタムルール言語属性の構成をご覧ください。次のコマンドは、IP アドレス 1.2.3.4 からのトラフィックを許可するルールを追加し、user-agent ヘッダーに文字列 example を含めます。

    gcloud compute security-policies rules create 1000 \
    --security-policy my-policy \
    --expression "inIpRange(origin.ip, '1.2.3.4/32') && has(request.headers['user-agent']) && request.headers['user-agent'].contains('example')" \
    --action allow \
    --description "Block User-Agent 'example'"

    次のコマンドは、リクエストの Cookie に特定の値が含まれている場合に、リクエストをブロックするルールを追加します。

    gcloud compute security-policies rules create 1000 \
    --security-policy my-policy \
    --expression "has(request.headers['cookie']) && request.headers['cookie'].contains('cookie_name=cookie_value')" \
    --action "deny-403" \
    --description "Cookie Block"

    次のコマンドは、リージョン AU からのリクエストをブロックするルールを追加します。

    gcloud compute security-policies rules create 1000 \
    --security-policy my-policy \
    --expression "origin.region_code == 'AU'" \
    --action "deny-403" \
    --description "AU block"

    次のコマンドは、指定した IP 範囲にないリージョン AU からのリクエストをブロックするルールを追加します。

    gcloud compute security-policies rules create 1000 \
    --security-policy my-policy \
    --expression "origin.region_code == 'AU' && !inIpRange(origin.ip, '1.2.3.0/24')" \
    --action "deny-403" \
    --description "country and IP block"

    次のコマンドは、正規表現に一致する URI を含むリクエストをブロックするルールを追加します。

    gcloud compute security-policies rules create 1000 \
    --security-policy my-policy \
    --expression "request.path.matches('/bad_path/')" \
    --action "deny-403" \
    --description "regex block"

    次のコマンドは、Base64 デコードされた user-id ヘッダーの値に特定の値が含まれている場合に、リクエストをブロックするルールを追加します。

    gcloud compute security-policies rules create 1000 \
    --security-policy my-policy \
    --expression "has(request.headers['user-id']) && request.headers['user-id'].base64Decode().contains('myValue')" \
    --action "deny-403" \
    --description "country and IP block"

    次のコマンドは、事前構成された式セットを使用して SQLi 攻撃を軽減するルールを追加します。

    gcloud compute security-policies rules create 1000 \
    --security-policy my-policy \
    --expression "evaluatePreconfiguredExpr('sqli-stable')" \
    --action "deny-403"

    次のコマンドは、事前構成された式を使用して、名前付き IP アドレスリストのすべての IP アドレスからのアクセスを許可するルールを追加します。

    gcloud compute security-policies rules create 1000 \
    --security-policy my-policy \
    --expression "evaluatePreconfiguredExpr('sourceiplist-fastly')" \
    --action "allow"

リージョン外部アプリケーション ロードバランサにセキュリティ ポリシーを構成する

このセクションでは、リージョン スコープの Google Cloud Armor セキュリティ ポリシーをリージョン外部アプリケーション ロードバランサ用に構成する方法について説明します。

リージョンでロードバランスされたワークロードを保護する

リージョン スコープのバックエンド サービスを保護するセキュリティ ポリシーを構成するには、次の操作を行います。

  1. リージョン スコープのセキュリティ ポリシーを作成します。

    gcloud compute security-policies create POLICY_NAME \
   --type=CLOUD_ARMOR \
   --region=REGION

  2. リージョン スコープのセキュリティ ポリシーをリージョン スコープのバックエンド サービスに追加します。BACKEND_NAME は、既存のリージョン スコープのバックエンド サービスの名前に置き換えます。

    gcloud compute backend-services update BACKEND_NAME \
   --security-policy=POLICY_NAME \
   --region=REGION

リージョン スコープの Google Cloud Armor セキュリティ ポリシーを適用する

セキュリティ管理者が、バックエンド ワークロードと WAF ルールのすべてが特定のリージョンにデプロイされるという所在地要件を満たそうとしている場合について考えてみましょう。事前に次の作業を行っているものとします。

  1. リージョン スコープのロード バランシング バックエンド サービスをリージョンに作成している。
  2. デプロイで既存のグローバル スコープのセキュリティ ポリシーを無効にしている。
  3. 前のセクションと同様に、リージョン スコープのセキュリティ ポリシーを作成して同じリージョンに追加している。

以下のサンプル コマンドを使用することで、要件を満たしながらポリシーに WAF ルールやその他の高度なルールを追加できます。

  • ポリシーに WAF ルールを追加します。

    gcloud compute security-policies rules create 1000 --action=deny-404 \
  --expression="evaluatePreconfiguredExpr('xss-v33-stable', ['owasp-crs-v030301-id941100-xss', 'owasp-crs-v030301-id941160-xss'])" \
  --security-policy=POLICY_NAME \
  --region=REGION

  • ポリシーに高度なルールを追加します。

    gcloud compute security-policies rules create 1000 --action=allow \
  --expression="has(request.headers['cookie']) && request.headers['cookie'].contains('80=EXAMPLE')" \
  --security-policy=POLICY_NAME \
  --region=REGION

  • ポリシーにレート制限ルールを追加します。

    gcloud compute security-policies rules create 1000 --action=throttle \
  --src-ip-ranges="1.1.1.1/32" \
  --rate-limit-threshold-count=1000 \
  --rate-limit-threshold-interval-sec=120 \
  --conform-action="allow" \
  --exceed-action="deny-429" \
  --enforce-on-key=IP \
  --ban-duration-sec=999 \
  --ban-threshold-count=5000 \
  --ban-threshold-interval-sec=60 \
  --security-policy=POLICY_NAME \
  --region=REGION

次のステップ