Threat Intelligence の構成

Google Cloud Armor Threat Intelligence を使用すると、脅威インテリジェンス データの複数のカテゴリに基づいて外部 HTTP(S) ロードバランサへのトラフィックを許可またはブロックすることで、トラフィックを保護できます。Threat Intel のデータは、次のカテゴリに分けられます。

  • Tor 終了ノード: Tor は、匿名通信を可能にするオープンソース ソフトウェアです。自分の ID を非表示にしたユーザーを除外するには、Tor の出口ノードの IP アドレス(トラフィックが Tor ネットワークから出るポイント)をロックします。
  • 悪意のある既知の IP アドレス: ウェブ アプリケーションに対する攻撃の発生源であることがわかっているため、アプリケーションのセキュリティを強化するためにブロックする必要がある IP アドレス。
  • 検索エンジン: サイトのインデックス登録を許可できる IP アドレス。
  • パブリック クラウド IP アドレス範囲: このカテゴリは、悪意のある自動ツールがウェブ アプリケーションを閲覧しないようにブロックできます。ご使用のサービスが他のパブリック クラウドを使用している場合は許可できます。

Threat Intel を使用するには、evaluateThreatIntelligence 一致式を上記のカテゴリの一つを表すフィード名とともに使用し、トラフィックをこれらのカテゴリの一部またはすべてに基づいて許可またはブロックするセキュリティ ポリシー ルールを定義します。

Threat Intel を構成する

Threat Intel を使用するには、許可またはブロックするカテゴリに基づいて FEED_NAME を指定し、evaluateThreatIntelligence('FEED_NAME') 一致式を使用してセキュリティ ポリシー ルールを構成します。各フィード内の情報は継続的に更新され、追加の構成を行わなくても、サービスを新たな脅威から保護します。有効な引数は次のとおりです。

フィード名 Description
iplist-tor-exit-nodes Tor の出口ノードの IP アドレスと一致します
iplist-known-malicious-ips ウェブ アプリケーションを攻撃することが知られている IP アドレスと一致します
iplist-search-engines-crawlers 検索エンジンのクローラの IP アドレスと一致します
iplist-public-clouds パブリック クラウドに属する IP アドレスと一致します

新しいセキュリティ ポリシー ルールは、次の gcloud コマンドを使用して構成できます。コマンドには、上記表の FEED_NAME と、任意の ACTIONallowdeny など)を指定します。

gcloud beta compute security-policies rules create 1000 \
    --security-policy=NAME \
    --expression="evaluateThreatIntelligence('FEED_NAME')" \
    --action="ACTION"

Threat Intel が評価からブロックする可能性のある IP アドレスまたは IP アドレス範囲を除外する場合は、次の式を使用してアドレスを除外リストに追加し、<var>ADDRESS</var> を除外するアドレスまたはアドレス範囲に置き換えます。

evaluateThreatIntelligence('iplist-known-malicious-ips', ['ADDRESS'])

次のステップ