コンテンツに移動
デベロッパー

Cloud Armor を使用すべき理由

2022年11月14日
https://storage.googleapis.com/gweb-cloudblog-publish/images/cloud_armor.max-2600x2600.png
Google Cloud Japan Team

※この投稿は米国時間 2022 年 11 月 8 日に、Google Cloud blog に投稿されたものの抄訳です。

Cloud Armor を使用すべき理由

Google Cloud Armor は広く知られたエンタープライズ グレードの DDoS 防御およびウェブ アプリケーション ファイアウォール サービスです。Google Cloud、オンプレミス、その他のプラットフォームで実行されているアプリケーション、ウェブサイトのセキュリティを強化します。Cloud Armor を使用すると、不完全なアクセス制御、セキュリティに関する構成ミス、暗号化の失敗を防止できます。Cloud Armor では、ハイブリッド クラウドとマルチクラウドのデプロイ、すぐに使用できる事前定義済みの OWASP ベースの WAF ルール、Security Command Center(SCC)、Cloud MonitoringCloud LoggingreCAPTCHA Enterprise とのインテグレーションがサポートされています。また、機械学習を使用して自動的にレイヤ 7 の脅威を検出できます。

Cloud Armor はネットワークおよびアプリケーション レイヤで機能し、レイヤ 3 / 4 およびレイヤ 7 の保護を実現します。ロードバランサを活用してアプリケーションとウェブサイトのセキュリティを確保し、ロードバランサの背後のバックエンド サービスにセキュリティ ポリシーを付加することができます。また、ネットワークのエッジにある HTTP(S) レイヤ 7 のロードバランサ、および内外の TCP / SSL ロードバランサと連携します。

このブログでは、Cloud Armor がお客様のクラウド環境にとって優れたユースケースとなる具体的な理由をいくつかご紹介します。

理由 1

あるデジタル ネイティブなスタートアップ SaaS 企業は、最近、新しいウェブ アプリケーションを Google Cloud でデプロイしました。このアプリケーションは、睡眠障害に悩む人の睡眠習慣を追跡し、質の高い睡眠を実現できるようにするものです。この企業は小規模のスタートアップで、予算は多くなく、長期契約にしばられたくないと考えています。ウェブ アプリケーションの既知の重大なセキュリティ リスクに対する自動的な保護を必要としていますが、セキュリティ チームの規模は大きくありません。

https://storage.googleapis.com/gweb-cloudblog-publish/images/image7_A8BPhUS.max-2000x2000.png

図 1

このような場合、Cloud Armor は以下の理由でおすすめです。

問題の解決方法

  • プレビュー モード - Cloud Armor にはプレビュー モードがあり、ルールを適用して本番環境に実装する前に適用結果を確認できます。

  • 時間の短縮 - Cloud Armor には WAF ルールが事前構成されています。各企業はこれを利用すると、カスタムルールの作成に時間を費やす必要がなく、小さなチームでも他の重要なプロジェクトに時間を充てることができます。

  • 従量課金制 - Cloud Armor の Standard ティアは従量課金制です。

時間が短縮でき、従量課金制モデルがあり、柔軟性も高いため、Cloud Armor はデジタル ネイティブ スタートアップにとって有益です。

理由 2

ある大手金融機関は、Google Cloud でモバイルおよびオンライン バンキング アプリを稼働しています。行政機関の規制により、アプリの特定の部分はオンプレミスでなければなりません。この企業は最近ブルート フォース アタックの被害にあい、不正な行為者が、高い権限を持つアカウントへのアクセス権を取得してしまいました。また、この不正な行為者は SQL インジェクション攻撃によりアプリケーション バックエンドへのアクセスを試み、機密性の高い顧客情報を入手しようとしました。

https://storage.googleapis.com/gweb-cloudblog-publish/images/image6_YJXwVtJ.max-2000x2000.png

図 2

このような場合、Cloud Armor は以下の理由でおすすめです。

問題の解決方法

  • 未知の攻撃への対応 - Cloud Armor では、Standard ティアと Managed Protection Plus ティアの両方で適応型保護が可能です。Standard ティアで提供される機能はアラートのみです。Managed Protection Plus ティアにはその他に、潜在的な攻撃の内容を示すシグネチャの生成や、シグネチャをブロックするためのカスタムの Google Cloud Armor WAF ルールの生成などの機能があります。

  • オンプレミス保護 - Cloud Armor は Google Cloud とオンプレミスで利用でき、DDoS からの保護や、レイヤ 7 のセキュリティ ポリシーの適用に役立ちます。

  • レート制限 - Cloud Armor ではレートベースのルールを使用して、大量のリクエストからアプリケーションを保護します。これにより、ブルート フォース アタックからの保護が可能になります。

  • SQL インジェクション保護の組み込み - Cloud Armor では業界基準と OWASP Top 10 に基づくルールが事前構成されていて、一般的なウェブ アプリケーションの脆弱性を軽減できます。

  • 脅威インテリジェンス - 「Tor の exit ノード」、「悪意のある既知の IP アドレス」、「検索エンジン」、「パブリック クラウド IP アドレス範囲」の 4 つのカテゴリの脅威インテリジェンス データに基づき、トラフィックをブロックできます。

Cloud Armor なら、オンプレミスでもクラウドでも保護を実現できます。また、レート制限機能でブルート フォース アタックからアプリケーションを保護できます。さらに、業界基準に基づくルールが用意されているため安心して利用でき、アプリケーションを一般的な脆弱性から守ることができます。

理由 3

ある家庭用品企業は、大きなオンライン プレゼンスを確立しています。同社は、ユーザー ログイン ページでリクエストが以前より増加していることに気づきました。この企業は、これらの受信リクエストを評価することにより、リクエストが正当なものであることの確認、トラフィック パターンの把握、bot 攻撃の抑制につなげたいと考えています。また、これらのリクエストからデータを収集して分析することを希望しています。

https://storage.googleapis.com/gweb-cloudblog-publish/images/image3_vdei7Pw.max-2000x2000.png

図 3

このような場合、Cloud Armor は以下の理由でおすすめです。

問題の解決方法

  • reCAPTCHA Enterprise とのインテグレーション - Cloud Armor を reCAPTCHA Enterprise と統合することで、自動 bot によって生成された可能性がある受信リクエストを評価し、対応できます。

  • リクエストごとのロギング - Cloud Logging を利用すると、Google Cloud Armor のセキュリティ ポリシーによって評価されたすべてのリクエストと、その結果または対応を表示できます。Security Command Center を有効にしている場合、Cloud Armor は自動的に統合され、検出結果が表示されます。

  • リクエストのリダイレクト - Cloud Armor はリクエストに添付された reCAPTCHA Enterprise トークンを評価し、別のエンドポイントにリクエストをリダイレクトできます。Cloud Armor は、クライアントに HTTP 302 レスポンスを送信してリクエストをリダイレクトできます。

Cloud Armor reCaptcha Enterprise と Cloud Logging の活用により、一般的な bot 攻撃からの保護を強化することで、アプリケーションのセキュリティ状況を改善できます。

理由 4

あるオンライン トレーニング企業では、グローバルなキャンペーンを始めた後、世界各地からのトラフィックが増加しました。バックエンドでの負荷が原因で、通常よりもウェブサイトのパフォーマンスが低下し、バックエンドへのリクエストが増加したことなどに起因する請求額も増えました。現在のウェブサイトには静的要素と動的要素の両方があります。この企業は、レイテンシを低減して費用を削減しつつ、同時にコンテンツとウェブサイトの保護も実現する必要があります。

https://storage.googleapis.com/gweb-cloudblog-publish/images/image1_wdX4jNd.max-2000x2000.png

図 4

このような場合、Cloud Armor は以下の理由でおすすめです。

問題の解決方法

  • CDN とのインテグレーション - Cloud CDN は世界各地に分布する Google のエッジポイントで実行されていて、ユーザーの所在地に応じてユーザーに近いコンテンツをキャッシュ保存することにより、ネットワークのレイテンシを抑制します。Cloud CDN を利用すると、エッジで静的コンテンツをキャッシュに保存し、バックエンドにヒットするのではなく CDN からコンテンツを提供するため、処理速度が向上します。Cloud Armor では、Google ネットワークのエッジの動作をカスタマイズできます。

  • 特定の GEO IP をブロック - エッジルール origin.ip および origin.region_code を使用して、キャッシュ ストアへのアクセスを制限します。

Cloud Armor と Cloud CDN を利用すると、アプリケーションの速度が向上し、その一方で悪意のある脅威からの保護も実現できます。

最終決定

Cloud Armor を利用するかどうかは、最終的には企業の状況によって判断することになります。いずれの場合でも、技術的な側面だけでなく、ビジネス上の要件についても十分な考慮が必要です。前述のような利点に加えて、Cloud Armor には、毎秒 4,600 万件のリクエストというレイヤ 7 の DDoS 攻撃にも対応した実績があります。

Cloud Armor の詳細は、以下をご覧ください。


- デベロッパーリレーションズ エンジニア Emanuel Burgess 
- デベロッパーリレーションズ エンジニア Ammett Williams
投稿先