コンテンツに移動
Cloud
ブログ
お問い合わせ 無料で開始
Cloud
ブログ
お問い合わせ 無料で開始
セキュリティ & アイデンティティ

Google Cloud が進めるネットワーク セキュリティでのインテリジェントな自動化

2020年11月30日
https://storage.googleapis.com/gweb-cloudblog-publish/images/Google_Blog_Security-identity.max-2600x2600.jpg
Google Cloud Japan Team

※この投稿は米国時間 2020 年 11 月 19 日に、Google Cloud blog に投稿されたものの抄訳です。

Google Cloud は、企業が本来の重要事業に集中できるよう、高度なセキュリティを簡単に確保する方法を常に追求しています。すでに今年は、DDoS 保護の強化に取り組み、阻止したいくつかの最大の攻撃に言及し、ファイアウォール防御の効果を向上させています。セキュリティ イノベーションのペースを着実に速めている Google は本日、既存の保護の強化と、お客様がクラウド内のユーザー、データ、アプリケーションを保護する際に役立つ新機能を発表します。

1. 機械学習を使用して、Adaptive Protection により DDoS 攻撃を検出およびブロック

つい最近、Google のインフラストラクチャが 2.54 Tbps DDoS 攻撃を吸収した経緯について話しました。これは、複数の攻撃方法を利用した 6 か月間にわたるキャンペーンの集大成です。自動化された防御をすり抜けるという目論見のせいか、数千もの IP が同時に標的にされていましたが、攻撃の影響は受けませんでした。

潜在的な DDoS 攻撃の規模は膨大になる可能性があります。幸い、Google Cloud Armor を Google の Cloud Load Balancing サービスに統合してデプロイすることで、大規模な DDoS 攻撃を吸収するようスケールでき、Google Cloud、他のクラウド、またはオンプレミスにデプロイされたサービスを攻撃から保護します。Google の DDoS および WAF-as-a-service である Cloud Armor は、Google サービスで利用しているのと同じテクノロジーとインフラストラクチャを使用して構築されています。

本日、Cloud Armor Adaptive Protection を発表できることを嬉しく思います。これは、セキュリティの課題に機械学習を使用して取り組んだ長年の経験、さらに、レイヤー 7 DDoS 攻撃からユーザー プロパティを保護する過程で積み重ねた深い経験により生まれた独自のテクノロジーです。Adaptive Protection 内の複数の機械学習モデルを使用して、各ウェブサービスのセキュリティの問題の前兆を分析し、ウェブアプリおよびサービスに対する潜在的な攻撃を検出します。

このシステムは、ウェブアプリとサービスに対する大量のアプリケーション層 DDoS 攻撃を検出し、軽減できるまでの時間を大幅に短縮できます。たとえば、攻撃者は、ウェブアプリの検索結果やレポートなどの動的ページに対して大量のリクエストを頻繁に送信し、サーバー リソースをすべて消費してページを生成しようとします。このシステムを有効にすると、対象サービスに到達するトラフィックに関する多数の要因や属性から学習し、どのような状態が「通常」なのかを判断できます。ワークロードのすべてのコンテキストを勘案して、潜在的な攻撃と思われる場合はアラートを生成します。つまり、従来のしきい値ベースの検出メカニズムでは、攻撃がすでに加速された状態で検出しきい値に達するまで調査とトリアージが行われず、低信頼性のアラートが大量に生成されるのに対し、Adaptive Protection では、攻撃が頻度を増しつつあるより早期の段階で、潜在的な攻撃に対して高信頼性のシグナルを生成します。

Adaptive Protection は攻撃を検出するだけでなく、その攻撃に悪意があると判断した理由となるコンテキストを示し、その攻撃を軽減するルールも提供します。この保護はクラウド ファブリックに組み込まれ、コンテキスト、攻撃シグネチャ、Cloud Armor ルールに関してより深刻な問題が発生したときにのみオペレーターに警告します。これに応じてオペレーターは、そのような問題をプレビューまたはブロックモードにデプロイできます。進行中の攻撃をトリアージするためにトラフィック ログの分析に何時間も費やすのではなく、アプリケーション オーナーとインシデント レスポンダーには、潜在的に悪意のあるトラフィックの停止の要否と停止の方法を決定するのに必要なすべてのコンテキストが与えられます。Cloud Armor Adaptive Protection は保護作業を著しく簡素化するもので、まもなくプレビュー版として一般公開される予定です。

https://storage.googleapis.com/gweb-cloudblog-publish/images/Adaptive_Protection_suggested_rule.max-1500x1500.jpg
Adaptive Protection が提示するルール

2. ファイアウォール インサイトによるファイアウォール ルール管理の改善 

より複雑な環境の管理を容易にする知見を提供し、制御作業を簡素化するため、Google Cloud はネットワーク ファイアウォールに多くの投資を行ってきました。ファイアウォール インサイトは、複数の検出機能によりファイアウォール構成を最適化するのに役立ちます。そのうちの一つ、シャドウルール検出機能は、優先順位の高い競合ルールによって誤ってシャドウされたファイアウォール ルールを特定します。言い換えると、重複していることが原因でファイアウォール ルールの評価中にリーチできない優先順位の高いルールを自動的に検出できるということです。

これは、冗長なファイアウォール ルール、開いているポート、IP 範囲の検出、およびオペレーターがセキュリティ境界を引き締めるのに役立ちます。また、ファイアウォール ルールの突然のヒット数の増加を管理者に知らせ、トラフィックのソースにドリルダウンして新たな攻撃を捕捉するのにも役立ちます。

ファイアウォール インサイトには、最後にヒットした時刻など、ファイアウォール ルールが実際に適用された頻度を示す指標レポートも表示されます。これにより、セキュリティ管理者はファイアウォール ルールがその意図どおりに使用され、接続を適切に許可またはブロックしていることを確認できます。これらのインサイトは情報が大量でも有効であるため、ファイアウォール ルールの構成に関する人的エラーを排除したり、時間の経過に伴う環境の変化により不要になったルールを特定したりする際に役立ちます。ファイアウォール インサイトはまもなく一般提供される予定です。

https://storage.googleapis.com/gweb-cloudblog-publish/images/Firewall_Insights.max-1300x1300.jpg
ファイアウォール インサイト

3. 階層型ファイアウォール ポリシーによる柔軟でスケーラブルな制御

ファイアウォールは、ほぼすべての IT セキュリティ プランに欠かすことのできないものです。Google Cloud では、ネイティブで完全分散型のファイアウォール技術を利用して、企業のすべてのワークロードに対して最高のパフォーマンスとスケーラビリティをご提供したいと考えています。

Google Cloud の階層型ファイアウォール ポリシーは新しくて柔軟な複数レベルの制御を提供するため、プロジェクト内のよりきめ細かな制御をプロジェクト オーナーに安全に任せることができる一方、組織およびフォルダレベルでは集中制御のメリットを得ることが可能です。

階層型ファイアウォールを使うと、GCP リソース階層の組織レベルとフォルダレベルでファイアウォール ルールを適用できます。これにより、階層内のさまざまなレベルのセキュリティ管理者が多数のプロジェクトにわたって一貫したファイアウォール ルールを定義およびデプロイできるので、そのルールを現在存在するプロジェクトとまだ作成されていないプロジェクトのすべての VM に適用できるようになります。

階層型ファイアウォール ポリシーでは、VPC レベルのファイアウォール ルールに加えて、組織レベルとフォルダレベルでルールを構成できます。階層型ファイアウォールの活用により必要なファイアウォール ルールが少なくなるため、複数の環境の管理がより簡単で効果的になります。さらに、特に重要なファイアウォール ルールを 1 か所で管理できるため、プロジェクト レベルの管理者は組織全体のポリシーの変更に対応する必要がなくなります。階層型ファイアウォール インサイトはまもなく一般提供される予定です。

https://storage.googleapis.com/gweb-cloudblog-publish/images/Hierarchical_firewall_policies.max-1200x1200.jpg
階層型ファイアウォール ポリシー

4. Packet Mirroring 向けの新しい制御

Google Cloud の Packet Mirroring を使用すると、既存の仮想プライベート クラウド(VPC)からサードパーティのネットワーク検査サービスにネットワーク トラフィックをミラーリングできます。このサービスでは、サードパーティ ツールの使用によりネットワーク トラフィックを大規模に収集および検査することで、侵入検知、アプリケーション パフォーマンスのモニタリング、セキュリティの可視性向上が可能になり、その結果、Compute Engine と Google Kubernetes Engine(GKE)で実行されているワークロードのセキュリティとコンプライアンスの向上に役立ちます。

Google Cloud では、現在ミラーパケットに新しいフィルタを追加する取り組みを進めています。これはまもなく一般提供される予定です。トラフィックの方向制御により、内向きまたは外向きトラフィックのいずれかをミラーリングできるようになったことで、ユーザーはトラフィック量をより適切に管理し、コストを削減できるようになりました。

https://storage.googleapis.com/gweb-cloudblog-publish/images/Traffic_Direction.max-900x900.jpg
トラフィックの方向: Packet Mirroring の新しい内向き、外向き制御

これらの機能強化により、私たちのネットワーク セキュリティ プロダクトを使用する Google Cloud のお客様の安全を確保します。ネットワーク セキュリティ ポートフォリオを実際に体験するには、こちらからネットワーク セキュリティ ラボに登録できます。また、Google Cloud Security Talks の最新作で、Google Cloud のセキュリティについて詳しく知ることができます。

-ネットワーク セキュリティ担当プロダクト管理リード Peter Blum

-GCP プラットフォームおよび Google Workspace リード セキュリティ PMM Sam Lugani

セキュリティ & アイデンティティ
DDoS 攻撃の規模の指数関数的な増大

最大の帯域幅消費型(volumetric)DDoS 攻撃に対して、Google はどのように備え保護するのか

執筆者: Google Cloud Japan Team • 所要時間: 3 分

https://storage.googleapis.com/gweb-cloudblog-publish/images/Google_Cloud_security.max-900x900.jpg
投稿先
関連記事
https://storage.googleapis.com/gweb-cloudblog-publish/images/Next24_Blog_blank_2-01.max-700x700.jpg
API Management

Google Cloud 環境向けのシャドー API 検出のご紹介

執筆者: Google Cloud Japan Team • 所要時間: 4 分

https://storage.googleapis.com/gweb-cloudblog-publish/images/image3_SpNveqR.max-700x700.jpg
Security & Identity

AI で防御を強化 - 運用の場所を問わず Google をセキュリティ チームの一員に

執筆者: Google Cloud Japan Team • 所要時間: 12 分

https://storage.googleapis.com/gweb-cloudblog-publish/images/Next24_Blog_Images_6-11.max-700x700.jpg
Networking

Next ’24 の Google Cloud ネットワーキングに関する最新情報

執筆者: Google Cloud Japan Team • 所要時間: 17 分

https://storage.googleapis.com/gweb-cloudblog-publish/images/Next24_Blog_Images_6-09.max-700x700.jpg
Security & Identity

Chrome Enterprise Premium:エンドポイント セキュリティの未来

執筆者: Google Cloud Japan Team • 所要時間: 4 分