Broadcom、Google Cloud Armor を使用して DDoS 攻撃をブロック
Google Cloud Japan Team
※この投稿は米国時間 2023 年 2 月 23 日に、Google Cloud blog に投稿されたものの抄訳です。
Broadcom は、ハードウェアとソフトウェアの専門知識を活用したエンタープライズ セキュリティ ソリューションのテクノロジー リーダーです。統合された Symantec サイバーセキュリティ ソフトウェアなど、埋め込みセキュリティ ソリューションの幅広いポートフォリオを全世界で提供しています。Broadcom は 2021 年に、Google Cloud DevOps Awards を受賞しました。
Broadcom はエンタープライズ セキュリティ ソリューション インフラストラクチャをアマゾン ウェブ サービス(AWS)から Google Cloud に移行するにあたって、環境のネットワーク セキュリティ インフラストラクチャの保護を最優先としていました。顧客の環境の安全性を確保することに加え、コンプライアンス要件(公共部門のお客様向けの FedRAMP など)を満たすのに役立つ、アンチ DDoS 機能のある堅牢なウェブ アプリケーション ファイアウォールを必要としていました。Google Cloud はこれらの機能を Broadcom に提供することができました。
Broadcom で Symantec Zero Trust Network Access および Web Isolation 担当プラットフォーム グループ マネージャーを務める Shay Ben-Haroche 氏は次のように述べています。「サーバー、グローバル IP アドレス、グローバル ロードバランサを DDoS 攻撃から保護し、防御する必要がありました。」
Google Cloud Armor による DDoS 対策
この課題に取り組むため、Broadcom はクラウド ファーストでフルマネージドの最新のソフトウェア定義ソリューションをデプロイしたいと考えていました。求めていたのは、セットアップ、構成、スケーリングが簡単で、高可用性の機能を備え、帯域幅の制限を気にする必要のないソリューションです。
Google Cloud プロフェッショナル サービス チームの信頼できるアドバイザーに相談した後、Broadcom は Google Cloud Armor を使用することを決定しました。Google Cloud Armor はクラウドベースの DDoS 軽減およびウェブ アプリケーション ファイアウォール(WAF)サービスで、ワークロードがオンプレミス、コロケーション、パブリック クラウドのどこにあっても保護できるよう支援するものです。Google Cloud グローバル ロード バランシング インフラストラクチャと連動する Cloud Armor は、HTTP(S) プロキシ、TCP / SSL プロキシのロードバランサ、プロトコル転送を使用したネットワーク ロードバランサ、パブリック IP を使用した仮想マシン(VM)の背後に配置されたすべてのワークロードを対象として、レイヤ 3 とレイヤ 4 のボリューム型の DDoS 攻撃やプロトコルベースの DDoS 攻撃に対し、常時 DDoS 対策を提供します。
Cloud Armor Standard と Managed Protection Plus の 2 つのティアでは、ウェブサイト、アプリケーション、サービス、API の検出と保護をさらにカスタマイズするために使用できる機能とサービスが提供されます。
Ben-Haroche 氏は次のように述べています。「Cloud Armor のデプロイを決めた要因の一つは、Google と共同で行った DDoS 攻撃のテストでした。ネットワーク セキュリティ インフラストラクチャへの攻撃をシミュレーションすることで、Cloud Armor によって激しい DDoS 攻撃からインフラストラクチャを保護できることを確認しました。このような脅威が発生した時点で特定して軽減し、インフラストラクチャの安全性をこれまで以上に高めることができます。」
プロファイリング済みトラフィックに基づくサイバーセキュリティ対策
Broadcom は Cloud Armor Managed Protection Plus を購入し、Google Cloud Armor の適応型保護機能を使用しています。これは、レイヤ 7(OSI モデル)の HTTP / HTTPs 攻撃の検出と軽減を行う、ML ベースの機能です。このサービスは、プロファイリング済みトラフィックに基づいて動的に対策をモデル化、検出、構築するもので、ウェブサイトやアプリケーションをこのようなタイプの標的型攻撃から保護するのに役立ちます。
Cloud Armor の適応型保護では、HTTP のリクエスト、ペイロード、ヘッダー、その他の接続属性を検査して関連付けを行い、バックエンド サービスのベースライン交換の特徴を判別します。Cloud Armor の適応型保護による検出では、攻撃の特徴の詳細な説明が提供されます。そのようなパターンの疑わしい箇所の特定、そのバックエンド サービスで通常見られるベースラインとの違いのほか、実際に攻撃されている可能性の信頼レベルが説明されます。Broadcom は次に、観測された攻撃に対する有効性の信頼レベルなど、攻撃の軽減に役立つルール案を受け取ります。
ポリシーに従って、Broadcom はルール案のデプロイを自動化できます。このとき「プレビュー モード」のオプションにより、ルールを実際に適用することなく、セキュリティ チームのメンバーがルールの影響を Cloud Monitoring で確認できます。
Broadcom は、Managed Protection Plus の高度なネットワーク DDoS 対策も有効にしています。これにより、外部 TCP / UDP ネットワーク ロードバランサ(ネットワーク ロード バランシング)、プロトコル転送、パブリック IP アドレスを持つ VM を使用して、レイヤ 3 とレイヤ 4 の DDoS 対策とワークロードのテレメトリを追加しています。
お客様に提供する保護
Google Cloud Platform は Cloud Armor によって防御側を保護することで、Broadcom の顧客によって使用されているネットワーク インフラストラクチャを保護し、安全にインターネットを使用できるようにします。Broadcom は Cloud Armor を、インターネット セキュリティに関するコンプライアンスの規制によって必要とされる顧客のセキュリティ監査を裏付ける、主要なセキュリティ コントロールとして提示することもできます。
また、Cloud Armor はパブリック IP 仮想マシンおよびネットワーク ロード バランシングにおいて Broadcom の顧客が対応すべきコンプライアンスを促進します。「WAF コンプライアンスはお客様にとって必須条件です。それがないと、エンタープライズ セキュリティ ソリューションの使用が禁止される可能性があります」と、Ben-Haroche 氏は述べています。
Broadcom は、Cloud Armor で発見された最新の脅威に基づいて即座にデプロイ可能なカスタマイズされた WAF ルールを使用して、送信元 IP アドレスやブラウザ クライアントの位置情報に基づいた許可リストなどの高度な保護を顧客に提供しています。Broadcom のセキュリティ チームは次にプレビュー モードでルールを適用し、ほぼリアルタイムの Cloud Logging を使用してルールの効果とウェブサーバーのパフォーマンスへの影響を測定できます。ルールを確認したら、Broadcom はルールを適用して、構成したアクションを実際に実行します。
ワークロードを保護するための専門的なガイダンス
Ben-Haroche 氏は次のように述べています。「Cloud Armor の理解がさらに深まり、WAF の機能面の要件が明確になったため、その他のユースケースのローリング リストを作成しています。プロフェッショナル サービスの Google Cloud アーキテクトが、ワークロードや公開されたアプリケーションを保護する方法についてうまくサポートしてくれます。」
Ben-Haroche 氏は次のように続けています。「Cloud Armor のおかげで、Symantec のネットワーク セキュリティ インフラストラクチャのセキュリティ体制を強化し、エンタープライズ グレードの優れたソリューションをお客様に提供できるようになりました。また、副産物として、運用上のオーバーヘッドを削減できるため、Broadcom の従業員が最先端のソフトウェア ソリューション開発に集中できるようになりました。これにより、業界におけるサイバーセキュリティの大きな課題の多くに取り組むことができます。」
Cloud Armor の詳細を確認する
Cloud Armor は世界中のお客様に、インターネットに接続するウェブ アプリケーションおよびサービスに対するさまざまな脅威を軽減する保護機能を提供し続けます。Cloud Armor の詳細については、Go Deep with Cloud Armor 動画シリーズをご覧ください。
