Google Cloud Armor は、分散型サービス拒否(DDoS)攻撃、クロスサイト スクリプティング(XSS)や SQL インジェクション(SQLi)のようなアプリケーション攻撃など、さまざまなタイプの脅威から Trusted Cloud by S3NS デプロイを保護するのに役立ちます。Cloud Armor には自動保護のほか、手動構成が必要な保護もあります。このドキュメントでは、これらの機能の概要を説明します。機能の一部は、グローバル外部アプリケーション ロードバランサと従来のアプリケーション ロードバランサでのみ使用できます。
セキュリティ ポリシー
Cloud Armor のセキュリティ ポリシーを使用すると、ロードバランサの背後で実行されているアプリケーションを分散型サービス拒否攻撃(DDoS)やその他のウェブベースの攻撃から保護できます。アプリケーションのデプロイ先が Trusted Cloud by S3NS、ハイブリッド デプロイ、マルチクラウド アーキテクチャのどこであるかは問いません。セキュリティ ポリシーは、構成可能な一致条件とアクションを使用して手動で構成できます。また、Cloud Armor はさまざまなユースケースに対応する事前構成されたセキュリティ ポリシーも備えています。詳細については、Cloud Armor のセキュリティ ポリシーの概要をご覧ください。
ルール言語
Cloud Armor では、セキュリティ ポリシー内で、構成可能な一致条件とアクションを使用して優先順位付けされたルールを定義できます。その属性が受信リクエストの属性と一致するルールの中で優先度の最も高いルールが効力を発します(つまり、そのルールで構成されたアクションが適用されます)。詳細については、Cloud Armor カスタムルール言語リファレンスをご覧ください。
事前構成 WAF ルール
Google Cloud Armor の事前構成 WAF ルールは、オープンソースの業界標準から集められた多数のシグネチャを持つ複雑なウェブ アプリケーション ファイアウォール(WAF)ルールです。各シグネチャは、ルールセット内の攻撃検出ルールに対応しています。Google はこれらのルールをそのまま提供します。Cloud Armor では、これらのわかりやすい名前が付いたルールを参照することで、数十の異なるトラフィック シグネチャを評価できます。ユーザーが各シグネチャを手動で定義する必要はありません。
Cloud Armor の事前構成済みルールは、インターネットからの一般的な攻撃からウェブ アプリケーションやサービスを保護し、OWASP トップ 10 リスクを緩和するのに役立ちます。ルールのソースは OWASP Core Rule Set 3.3.2(CRS)です。
事前構成ルールを調整して、誤検知の多いシグネチャや不要なシグネチャを無効にできます。詳細については、Cloud Armor の WAF ルールの調整をご覧ください。
Cloud Armor の仕組み
Cloud Armor は、ネットワーク ベースまたはプロトコル ベースのボリューム型 DDoS 攻撃に対する常時有効な DDoS 保護を提供します。この保護は、ロードバランサの背後にあるアプリケーションやサービスに適用されます。ネットワーク攻撃を検知して回避できるため、正しい形式のリクエストだけにロード バランシング プロキシを通過させることが可能です。セキュリティ ポリシーでは、カスタムのレイヤ 7 フィルタリング ポリシーが適用されます。これには、OWASP トップ 10 のウェブ アプリケーション脆弱性リスクを緩和する事前構成済みの WAF ルールが含まれます。セキュリティ ポリシーは、リージョン外部アプリケーション ロードバランサのバックエンド サービスに接続できます。Cloud Armor のセキュリティ ポリシーを使用すると、受信トラフィックの送信元にできるだけ近い Trusted Cloud エッジで、デプロイへのアクセスを許可または拒否できます。これにより、望ましくないトラフィックによるリソースの消費や Virtual Private Cloud(VPC)ネットワークへの侵入を防止できます。
アプリケーションを保護する際は、これらの機能の一部またはすべてを使用できます。セキュリティ ポリシーを使用して既知の条件と照合したり、ModSecurity Core Rule Set 3.3.2 で検出される一般的な攻撃から保護する WAF ルールを作成したりできます。