Google Cloud Armor
-
Google 規模の DDoS 対策と WAF によるメリット
-
Cloud Load Balancing ワークロードに対する攻撃の検出と軽減
-
適応型保護 ML ベースのメカニズムにより、レイヤー 7 DDoS 攻撃を検出してブロック
-
OWASP の 10 大リスクを軽減し、オンプレミスやクラウドのワークロードを保護
-
reCPATCHA Enterprise とのネイティブ統合により、エッジでの不正行為を防止する bot 管理
利点
エンタープライズ級の DDoS 防御
Cloud Armor には、Google 検索、Gmail、YouTube といった主要なインターネット資産を保護してきた Google の経験が活かされています。L3 と L4 に対する DDoS 攻撃を防ぐ組み込みの防御機能を提供します。
OWASP の 10 大リスクを軽減
Cloud Armor の事前設定されたルールによって、クロスサイト スクリプティング(XSS)や SQL インジェクション(SQLi)などの攻撃を防御できます。
Managed Protection
Cloud Armor Managed Protection Plus ティアでは、予測可能な月額料金で、DDoS サービスや WAF サービス、厳選されたルールセットなどのサービスを利用できます。詳細
主な機能
主な機能
適応型保護
アプリケーション上でローカルにトレーニングされた ML システムを使用して、大量のレイヤ 7 DDoS 攻撃を自動的に検出し、軽減します。詳細
ハイブリッドとマルチクラウドでのデプロイ向けサポート
アプリケーションが Google Cloud にデプロイされていても、ハイブリッドまたはマルチクラウドのアーキテクチャでデプロイされていても、DDoS 攻撃やウェブ攻撃からアプリケーションを防御し、レイヤ 7 セキュリティ ポリシーを適用できます。
事前構成されている WAF ルール
業界標準に基づいたすぐに使えるルールで、一般的なウェブ アプリケーションの脆弱性を緩和し、OWASP Top 10 からの保護を提供するのに役立ちます。詳しくは、WAF ルールガイドをご覧ください。
bot 管理
reCAPTCHA Enterprise とのネイティブな統合により、アプリを bot から自動的に保護し、ラインおよびエッジでの不正行為を阻止することができます。詳細
レート制限
レートベースのルールを使用すると、インスタンスに送られる大量のリクエストからアプリケーションを保護し、正当なユーザーへのアクセスをブロックできます。詳細
導入事例
Cloud Armor を利用しているお客様
ドキュメント
ドキュメント
Cloud Armor の概要
Cloud Armor の仕組みに加え、Cloud Armor の特長と機能の概要をご確認ください。
ハンズオンラボ: HTTP load balancer with Cloud Armor
グローバルなバックエンドを使って HTTP ロードバランサを構成する方法、そのロードバランサに対してストレステストを実施する方法、ストレステストの IP を拒否リストに登録する方法を学びます。
Cloud Armor セキュリティ ポリシーの概要
Google Cloud Armor セキュリティ ポリシーを使用すると、負荷分散されたアプリケーションを分散型サービス拒否攻撃(DDoS)などのウェブベースの攻撃から保護するために役立ちます。
Managed Protection
Managed Protection は、DDoS 攻撃などのインターネット上の脅威からウェブ アプリケーションやウェブサービスを保護するアプリケーション保護サービスです。
bot 管理
reCAPTCHA Enterprise とのネイティブ統合を通して、自動クライアントのバックエンドに対するリクエストを効果的に管理できます。
レート制限
レートベースのルールを使用すると、インスタンスに送られる大量のリクエストからアプリケーションを保護し、正当なユーザーのアクセスをブロックできます。
Google Cloud Armor セキュリティ ポリシーの構成
Google Cloud Armor セキュリティ ポリシーを作成することにより、HTTP(S) 負荷分散への受信トラフィックをフィルタする手順をご紹介します。
GKE Ingress による Google Cloud Armor の構成
BackendConfig カスタム リソースを使用して Google Kubernetes Engine(GKE)で Google Cloud Armor を構成する方法について学びます。
Google Cloud Armor WAF ルールのチューニング
事前構成されたウェブ アプリケーション ファイアウォール(WAF)ルールには、オープンソースの業界標準から集められた多数のシグネチャが含まれています。
すべての機能
すべての機能
| OWASP の 10 大リスクを軽減する WAF の事前設定ルール | 業界基準に基づいたすぐに使えるルールに従って、一般的なウェブ アプリケーションの脆弱性を軽減し、OWASP トップ 10 から保護します。 |
| ウェブ アプリケーション ファイアウォール向けの充実したルール言語 | 柔軟なルール言語を使用して、デプロイ環境を保護するためのルールを、L3~L7 パラメータと位置情報を自由に組み合わせてカスタマイズできます。 |
| 可視性とモニタリング | セキュリティ ポリシーに関連するすべての指標を、Cloud Monitoring ダッシュボードで簡単にモニタリングできます。また、疑わしいアプリケーション トラフィックのパターンを Cloud Armor から直接、Security Command Center ダッシュボードに表示できます。 |
| ロギング | Cloud Logging を介して、Cloud Armor の決定とそれに関連するポリシーやルールをリクエスト ベースで可視化します。 |
| プレビュー モード | Cloud Armor ルールをプレビュー モードでデプロイすることで、ルールの有効性と本番環境のトラフィックへの影響を実際に運用する前に確認できます。 |
| ルールを使用したポリシー フレームワーク | ルール階層を使用して 1 つ以上のセキュリティ ポリシーを構成し、1 つまたは複数のワークロードに粒度の異なるポリシーを適用できます。 |
| IP と位置情報に基づくアクセス制御 | IPv4 および IPv6 アドレスまたは CIDR に基づいて、受信トラフィックをフィルタします。受信トラフィックが発生した地理的な位置を特定し、これに基づいてアクセス制御を実施します。 |
| ハイブリッドとマルチクラウドでのデプロイ向けサポート | アプリケーションが Google Cloud にデプロイされていても、ハイブリッドまたはマルチクラウドのアーキテクチャでデプロイされていても、DDoS 攻撃やウェブ攻撃からアプリケーションを防御し、レイヤ 7 セキュリティ ポリシーを適用できます。 |
| 名前付き IP リスト | キュレートされた名前付き IP リストに基づく Cloud Armor セキュリティ ポリシーによってトラフィックを許可または拒否します。 |
料金
料金
Cloud Armor スタンダードは従量課金制モデルを提供しています。ポリシー内のセキュリティ ポリシーやルール測定して課金し、セキュリティ ポリシーによって評価される正しい形式の L7 リクエストに対しても料金請求されます。
Managed Protection プラスは現在一般提供され、サブスクリプション ベースの料金モデルを提供しています。最初の 100 個の保護リソースまでは月額 $3,000、それ以降は追加の保護リソース 1 つにつき月額 $30 です。
| Cloud Armor | スタンダード | Managed Protection プラス | 注 |
|---|---|---|---|
| 課金 | 従量制 | 月額 $3,000 から | - |
| 保護されたリソース | なし | 最初の 100 個のリソースを含む(追加の保護リソースについては月額 $30) | 保護される対象となるリソースは、保護される外部エンドポイントのタイプによって異なります(詳細) |
| ルール | $1 / 月 | サブスクリプションに含まれる | - |
| ポリシー | $5 / 月 | サブスクリプションに含まれる | - |
| リクエスト | クエリ 100 万件あたり $0.75 | サブスクリプションに含まれる | - |
| データ処理手数料 | なし | 追加情報 (詳細) | - |
| 用語 | なし | 1 年 | - |
バックエンド サービスに Cloud Armor ポリシーが含まれている場合、そのサービスではユーザー定義のリクエスト ヘッダー機能を追加料金なしで使用できます。
米ドル以外の通貨でお支払いの場合は、Google Cloud SKU に記載されている該当通貨の料金が適用されます。
このページで紹介しているプロダクトや機能にはプレビュー版のものがあります。プロダクトのリリース ステージの詳細