新しい Cloud Armor サービスで DDoS 対策を強化して料金を予測可能に

※この投稿は米国時間 2021 年 5 月 13 日に、Google Cloud blog に投稿されたものの抄訳です。

多くの組織にとって、ウェブサイトとアプリケーションの保護は常に大きな課題です。この課題が簡単になるよう、Google はこの 1 年間、アプリケーションの保護に役立つ新しい機能を Cloud Armor に導入してまいりました。本日は、Google Cloud Armor Managed Protection Plus の一般提供を発表します。

Cloud Armor は、Google Cloud 上で分散型サービス拒否攻撃（DDoS）対策やウェブ アプリケーション ファイアウォール（WAF）サービスを提供する Google のサービスで、インターネットに接続された Google の資産を史上最大級の攻撃から保護してきたものと同じインフラストラクチャ、ネットワーク、技術を利用しています。これらの同じツールで、年々規模も複雑さも増し続けている DDoS 攻撃からお客様のインフラストラクチャを保護します。Cloud Armor はネットワークのエッジにデプロイされ、悪意のあるネットワーク ベースおよびプロトコル ベースのボリューム型攻撃を吸収します。同時に、OWASP トップ 10 のリスクを軽減し、保護されたサービスの可用性を維持します。

Managed Protection Plus の概要

Cloud Armor 

L3/L4 DDoS 対策

Cloud Armor のすべてのお客様（Standard と Managed Protection Plus）に、同じインライン型で常時稼働の DDoS 対策を提供します。この保護は、GoogleCloud のエッジにあるグローバル ロードバランサと密接に統合されています。これらの機能は、ネットワーク ベースおよびプロトコル ベースのボリューム型攻撃（L3/L4 DDoS）からターゲット ワークロードを防御します。これは昨年紹介した 2.54 Tbps の DDoS 攻撃から保護するために使用されたものと同じ、保護および脅威の軽減のためのインフラストラクチャです。

グローバルに負荷分散されたエンドポイント（HTTP/S LB、TCP プロキシ、SSL プロキシ）をターゲットとする不正な形式のトラフィックは、保護されたサービスに向かう正しい形式のリクエストに影響を与えることなく、自動的に吸収またはドロップされます。Cloud Armor は、UDP ベースの増幅攻撃やリフレクション攻撃などの一般的な攻撃や、SYN-Flood などの TCP フラッドを阻止します。

Cloud Armor ウェブ アプリケーション ファイアウォール（WAF）

Cloud Armor WAF は、インターネットに接続されたアプリケーションを一般的なタイプの攻撃から保護し、Google のネットワークのエッジで IP、地域、レイヤ 7 フィルタリングのポリシーを適用します。ユーザーは、事前構成済みの WAF ルールを簡単にデプロイして、OWASP トップ 10 のウェブ脆弱性リスクを軽減し、幅広いカスタムルール言語を使用してセキュリティ ポリシーを構成できます。

Managed Protection Plus の機能

適応型保護 

Cloud Armor 適応型保護（現在プレビュー版）は機械学習を利用したサービスで、レイヤ 7 攻撃を検出してアプリケーションやサービスを攻撃から保護します。適応型保護は、アプリケーション/サービスごとに通常のトラフィック パターンの状態を自動的に学習します。適応型保護は常に監視しているため、疑わしいトラフィックをすばやく特定して分析し、カスタマイズして厳密に調整されたルールを提供して、進行中の攻撃をほぼリアルタイムで緩和します。

厳選されたルール

Cloud Armor の厳選されたルールにより、アプリケーションの前面に効果的なアクセス制御を簡単にデプロイできます。さまざまな名前付きルールを使用して、脅威インテリジェンス データに基づいてトラフィックをフィルタリングできます。このルールは、Managed Protection Plus に登録しているお客様に代わって Google が維持し、定期的に更新しているものです。たとえば、現在の厳選されたルールに含まれる名前付き IP リストには、ユーザーが Google Cloud Endpoints のアップストリームをデプロイする可能性のある Cloudflare、Imperva、Fastly などのサードパーティのプロキシの IP アドレス範囲が含まれています。

将来的な機能

Managed Protection Plus は、今後も保護の幅と深さを拡大していきます。具体的には、お客様のための追加の保護機能、DDoS 攻撃と進行中の緩和策の可視化、Google の脅威インテリジェンスへのアクセスなどを予定しています。

Managed Protection Plus サービス

DDoS 対応サポート

攻撃を受けたお客様は、サポートを利用して Google の DDoS 対応チームから迅速な支援を受けられます。Google のサポートチームは攻撃の評価、助言を行い、攻撃の緩和をお手伝いします。DDoS とネットワーキングの専門家が配属されたグローバルなチームが、年中無休で 1 日 24 時間、DDoS 対応サポートに当たっています。このチームは、Google 自身のサービスと、Google Cloud の他のお客様のサービスの保護を担当しています。対応チームのメンバーは、Google Cloud のネットワーキング インフラストラクチャ全体にデプロイされたカスタムの緩和策など、さまざまな戦術とツールを駆使して対応します。

DDoS 請求対策

請求対策により、DDoS 攻撃の経済的影響が大幅に軽減され、安心感を得られると同時に、料金の予測もできるようになります。DDoS 攻撃を受けたために Google Cloud ネットワーキングの請求額が急増したことを確認したお客さまは、申し立てを行って請求額の増加分のクレジットを受け取ることができます。このサービスにより、DDoS 攻撃に直面した場合のコストを予測できるようになるだけでなく、「費用を高額にすることで運用できないようにしよう」という、インフラストラクチャの請求金額を標的にする攻撃者の意図をくじくこともできます。

Managed Protection Plus を利用することで、Google の大規模なグローバル ネットワーク、機械学習機能、独自の経験と専門知識を活用できます。登録したお客様は、インターネットに接続されているサービスやワークロードを安全に操作し、標的型攻撃や分散型攻撃に迅速かつ効果的に対応できます。

コンソールで[Managed Protection] タブに移動して登録ボタンをクリックし、今すぐご登録ください。

-Google Cloud Armor プロダクト マネージャー Emil Kiner