Google Cloud Armor Threat Intelligence を使用すると、Google Cloud Armor Managed Protection Plus のサブスクライバーが、複数の脅威インテリジェンス データのカテゴリに基づいて外部 HTTP(S) ロードバランサへのトラフィックを許可またはブロックすることで、トラフィックを保護できます。Threat Intelligence のデータは、次のカテゴリに分けられます。
- Tor 終了ノード: Tor は、匿名通信を可能にするオープンソース ソフトウェアです。自分の ID を非表示にしたユーザーを除外するには、Tor の出口ノードの IP アドレス(トラフィックが Tor ネットワークから出るポイント)をブロックします。
- 悪意のある既知の IP アドレス: ウェブ アプリケーションに対する攻撃の発生源であることがわかっているため、アプリケーションのセキュリティを強化するためにブロックする必要がある IP アドレス。
- 検索エンジン: サイトのインデックス登録を許可できる IP アドレス。
- パブリック クラウド IP アドレス範囲: このカテゴリは、悪意のある自動ツールがウェブ アプリケーションを閲覧しないようにブロックできます。ご使用のサービスが他のパブリック クラウドを使用している場合は許可できます。
Threat Intelligence を使用するには、evaluateThreatIntelligence 一致式を上記のカテゴリの一つを表すフィード名とともに使用し、トラフィックをこれらのカテゴリの一部またはすべてに基づいて許可またはブロックするセキュリティ ポリシー ルールを定義します。 さらに、Managed Protection Plus に登録する必要があります。Managed Protection の詳細については、Managed Protection の概要をご覧ください。
Threat Intelligence を構成する
Threat Intelligence を使用するには、許可またはブロックするカテゴリに基づいて FEED_NAME を指定し、evaluateThreatIntelligence('FEED_NAME') 一致式を使用してセキュリティ ポリシー ルールを構成します。各フィード内の情報は継続的に更新され、追加の構成を行わなくても、サービスを新たな脅威から保護します。有効な引数は次のとおりです。
| フィード名 | Description |
|---|---|
iplist-tor-exit-nodes |
Tor の出口ノードの IP アドレスと一致します |
iplist-known-malicious-ips |
ウェブ アプリケーションを攻撃することが知られている IP アドレスと一致します |
iplist-search-engines-crawlers |
検索エンジンのクローラの IP アドレスと一致します |
iplist-cloudflare |
Cloudflare プロキシ サービスの IPv4 および IPv6 アドレス範囲と一致します。 |
iplist-fastly |
Fastly プロキシ サービスの IP アドレス範囲と一致します。 |
iplist-imperva |
Imperva プロキシ サービスの IP アドレス範囲と一致します。 |
iplist-public-clouds
|
パブリック クラウドに属する IP アドレスと一致します。
|
新しいセキュリティ ポリシー ルールは、次の gcloud コマンドを使用して構成できます。コマンドには、上記表の FEED_NAME と、任意の ACTION(allow、deny、throttle など)を指定します。ルールのアクションの詳細については、ポリシーのタイプをご覧ください。
gcloud compute security-policies rules create 1000 \
--security-policy=NAME \
--expression="evaluateThreatIntelligence('FEED_NAME')" \
--action="ACTION"
Threat Intelligence が評価からブロックする可能性のある IP アドレスまたは IP アドレス範囲を除外する場合は、次の式を使用してアドレスを除外リストに追加します。ADDRESS は、除外するアドレスまたはアドレス範囲に置き換えてください。
evaluateThreatIntelligence('iplist-known-malicious-ips', ['ADDRESS'])