サービスの概要

Google Cloud Armor は、分散型サービス拒否(DDoS)攻撃、クロスサイト スクリプティング(XSS)や SQL インジェクション(SQLi)のようなアプリケーション攻撃など、さまざまなタイプの脅威から Google Cloud デプロイを保護するのに役立ちます。Cloud Armor には自動保護のほか、手動構成が必要な保護もあります。このドキュメントでは、これらの機能の概要を説明します。機能の一部は、グローバル外部アプリケーション ロードバランサと従来のアプリケーション ロードバランサでのみ使用できます。

セキュリティ ポリシー

Cloud Armor のセキュリティ ポリシーを使用すると、ロードバランサの背後で実行されているアプリケーションを分散型サービス拒否攻撃(DDoS)やその他のウェブベースの攻撃から保護できます。アプリケーションのデプロイ先が Google Cloud、ハイブリッド デプロイ、マルチクラウド アーキテクチャのどこであるかは問いません。セキュリティ ポリシーは、構成可能な一致条件とアクションを使用して手動で構成できます。また、Cloud Armor はさまざまなユースケースに対応する事前構成されたセキュリティ ポリシーも備えています。詳細については、Cloud Armor のセキュリティ ポリシーの概要をご覧ください。

ルール言語

Cloud Armor では、セキュリティ ポリシー内で、構成可能な一致条件とアクションを使用して優先順位付けされたルールを定義できます。その属性が受信リクエストの属性と一致するルールの中で優先度の最も高いルールが効力を発します(つまり、そのルールで構成されたアクションが適用されます)。詳細については、Cloud Armor カスタムルール言語リファレンスをご覧ください。

事前構成 WAF ルール

Google Cloud Armor の事前構成 WAF ルールは、オープンソースの業界標準から集められた多数のシグネチャを持つ複雑なウェブ アプリケーション ファイアウォール(WAF)ルールです。各シグネチャは、ルールセット内の攻撃検出ルールに対応しています。Google はこれらのルールをそのまま提供します。Cloud Armor では、これらのわかりやすい名前が付いたルールを参照することで、数十の異なるトラフィック シグネチャを評価できます。ユーザーが各シグネチャを手動で定義する必要はありません。

Cloud Armor の事前構成済みルールは、インターネットからの一般的な攻撃からウェブ アプリケーションやサービスを保護し、OWASP トップ 10 リスクを緩和するのに役立ちます。ルールのソースは OWASP Core Rule Set 3.3.2(CRS)です。

事前構成ルールを調整して、誤検知の多いシグネチャや不要なシグネチャを無効にできます。詳細については、Cloud Armor の WAF ルールの調整をご覧ください。

Google Cloud Armor Enterprise

Cloud Armor Enterprise は、分散型サービス拒否(DDoS)攻撃やその他のインターネット脅威からウェブ アプリケーションとサービスを保護するマネージド アプリケーション保護サービスです。Cloud Armor Enterprise はロードバランサの常時保護を特色としているほか、ユーザーが WAF ルールにアクセスできます。

ティアに関係なく、グローバル外部アプリケーション ロードバランサ、従来のアプリケーション ロードバランサ、外部プロキシ ネットワーク ロードバランサで DDoS 対策が自動的に提供されます。これは、HTTP、HTTPS、HTTP/2、QUIC の各プロトコルに対応しています。さらに、Cloud Armor Enterprise に登録すると DDoS 攻撃の可視性のテレメトリーにアクセスできます。

詳細については、Cloud Armor Enterprise の概要をご覧ください。

Google Threat Intelligence

Cloud Armor の Google Threat Intelligence を使用すると、グローバル外部アプリケーション ロードバランサと従来のアプリケーション ロードバランサへのトラフィックを脅威インテリジェンス データのカテゴリに基づいて許可またはブロックすることで、トラフィックを保護できます。Google Threat Intelligence の詳細については、Google Threat Intelligence を適用するをご覧ください。

Google Cloud Armor の適応型保護

適応型保護は、バックエンド サービスに対するトラフィック パターンを分析し、不審な攻撃を検知してアラートを生成します。さらに、こうした攻撃を回避するための WAF 推奨ルールを生成します。これにより、L7 分散サービス拒否(DDoS)攻撃からアプリケーションとサービスを保護します。これらのルールはニーズに合わせて調整できます。適応型保護はセキュリティ ポリシー単位で有効にできますが、プロジェクトに有効な Cloud Armor Enterprise サブスクリプションが必要です。

詳細については、Google Cloud Armor の適応型保護の概要をご覧ください。

高度なネットワーク DDoS 対策

高度なネットワーク DDoS 対策は、ネットワーク ロードバランサ、プロトコル転送、パブリック IP アドレスを持つ VM を使用する Managed Protection Plus ユーザー向けの高度な保護機能です。常時有効な攻撃モニタリングとアラート、標的型攻撃の緩和策、緩和テレメトリーが提供されます。詳細については、高度なネットワーク DDoS 対策を構成するをご覧ください。

Cloud Armor の仕組み

Cloud Armor は、ネットワーク ベースまたはプロトコル ベースのボリューム型 DDoS 攻撃に対する常時有効な DDoS 保護を提供します。この保護は、ロードバランサの背後にあるアプリケーションやサービスに適用されます。ネットワーク攻撃を検知して回避できるため、正しい形式のリクエストだけにロード バランシング プロキシを通過させることが可能です。セキュリティ ポリシーでは、カスタムのレイヤ 7 フィルタリング ポリシーが適用されます。これには、OWASP トップ 10 のウェブ アプリケーション脆弱性リスクを緩和する事前構成済みの WAF ルールが含まれます。セキュリティ ポリシーは、次のロードバランサのバックエンド サービスに接続できます。

  • 従来のアプリケーション ロードバランサを含むすべての外部アプリケーション ロードバランサ
  • リージョン内部アプリケーション ロードバランサ
  • グローバル外部プロキシ ネットワーク ロードバランサ(TCP/SSL)
  • 従来のプロキシ ネットワーク ロードバランサ(TCP/SSL)
  • 外部パススルー ネットワーク ロードバランサ(TCP / UDP)

Cloud Armor のセキュリティ ポリシーを使用すると、受信トラフィックの送信元にできるだけ近い Google Cloud エッジで、デプロイへのアクセスを許可または拒否できます。これにより、望ましくないトラフィックによるリソースの消費や Virtual Private Cloud(VPC)ネットワークへの侵入を防止できます。

次の図は、グローバル外部アプリケーション ロードバランサ、従来のアプリケーション ロードバランサ、Google ネットワーク、Google データセンターの場所を示しています。

ネットワーク エッジにある Cloud Armor ポリシー。
ネットワーク エッジにある Cloud Armor ポリシー(クリックして拡大)

これらの機能の一部またはすべてを使用してアプリケーションを保護できます。セキュリティ ポリシーを使用して既知の条件と照合したり、OWASP Core Rule Set 3.3.2 で検出される一般的な攻撃から保護する WAF ルールを作成したりできます。Google Cloud Armor Enterprise に組み込まれている、DDoS 攻撃に対する保護機能も使用できます。

次のステップ