Cloud Armor

Cloud Armorとは

Cloud Armor は、Google Cloud Platform (GCP) が提供するウェブアプリケーションファイアウォール（WAF）およびDDoS（分散型サービス拒否攻撃）保護サービスです。Google Cloud Load Balancingと統合され、インターネットに公開されたアプリケーションやサービスを様々なサイバー攻撃から保護します。Cloud Armorは、Googleのグローバルインフラストラクチャとセキュリティの専門知識を活用して、アプリケーションの可用性、セキュリティ、パフォーマンスを確保します。

Cloud Armorの主な特徴

• DDoS保護： Googleのグローバルインフラストラクチャを活用した大規模DDoS攻撃からの保護
• ウェブアプリケーションファイアウォール（WAF）： SQLインジェクション、クロスサイトスクリプティング（XSS）などの一般的なウェブ攻撃からの保護
• 事前構成ルール： OWASPトップ10などの一般的な脆弱性に対する事前構成されたルール
• カスタムルール： 特定のビジネスニーズに合わせたカスタムセキュリティルールの作成
• 地理的制限： 特定の国や地域からのトラフィックを許可または拒否
• IPアドレスフィルタリング： 特定のIPアドレスまたはCIDRブロックからのトラフィックを許可または拒否
• レート制限： 特定のクライアントからのリクエスト数を制限してブルートフォース攻撃を防止
• 名前付き永続的リソース： 再利用可能なIPアドレスリストやカスタムヘッダートランスフォーメーション

Cloud Armorのアーキテクチャ

Cloud Armorは以下の主要コンポーネントで構成されています：

Cloud Armorの設定方法

Cloud Armorは、Google Cloud Console、gcloud CLIツール、またはAPIを使用して設定できます。

Google Cloud Consoleを使用した設定

1. Google Cloud Consoleにログイン
2. 「ネットワークセキュリティ」→「Cloud Armor」に移動
3. 「セキュリティポリシーを作成」をクリック
4. ポリシー名と説明を入力
5. デフォルトルールのアクションを設定（通常は「許可」）
6. 「ルールを追加」をクリックして、セキュリティルールを作成
7. ルールの優先度、一致条件、アクションを設定
8. 「作成」をクリックしてポリシーを保存
9. 作成したポリシーをバックエンドサービスに適用

gcloud CLIを使用した設定

gcloud compute security-policies create my-policy \
    --description="My security policy"

gcloud compute security-policies rules create 1000 \
    --security-policy=my-policy \
    --description="Block specific IP ranges" \
    --src-ip-ranges="192.0.2.0/24,198.51.100.0/24" \
    --action=deny-403

gcloud compute security-policies rules create 2000 \
    --security-policy=my-policy \
    --description="Allow traffic from Japan only" \
    --expression="origin.region_code != 'JP'" \
    --action=deny-403

gcloud compute backend-services update my-backend-service \
    --global \
    --security-policy=my-policy

Cloud Armorのセキュリティルール

Cloud Armorでは、様々な種類のセキュリティルールを作成できます：

事前構成ルール

一般的なウェブ攻撃に対する事前構成されたルールを使用できます：

# SQLインジェクション対策ルール
gcloud compute security-policies rules create 1000 \
    --security-policy=my-policy \
    --description="Block SQL injection" \
    --expression="evaluatePreconfiguredExpr('sqli-stable')" \
    --action=deny-403

# XSS対策ルール
gcloud compute security-policies rules create 2000 \
    --security-policy=my-policy \
    --description="Block XSS attacks" \
    --expression="evaluatePreconfiguredExpr('xss-stable')" \
    --action=deny-403

# リモートファイルインクルージョン対策ルール
gcloud compute security-policies rules create 3000 \
    --security-policy=my-policy \
    --description="Block remote file inclusion" \
    --expression="evaluatePreconfiguredExpr('rfi-stable')" \
    --action=deny-403

カスタムルール

Common Expression Language (CEL)を使用して、カスタムルールを作成できます：

# 特定のUser-Agentをブロック
gcloud compute security-policies rules create 4000 \
    --security-policy=my-policy \
    --description="Block bad bots" \
    --expression="request.headers['user-agent'].contains('BadBot')" \
    --action=deny-403

# 特定のURLパスへのアクセスを制限
gcloud compute security-policies rules create 5000 \
    --security-policy=my-policy \
    --description="Protect admin area" \
    --expression="request.path.startsWith('/admin') && request.headers['cookie'].contains('admin=true') == false" \
    --action=deny-403

# 特定のHTTPメソッドのみを許可
gcloud compute security-policies rules create 6000 \
    --security-policy=my-policy \
    --description="Allow only GET and POST methods" \
    --expression="request.method != 'GET' && request.method != 'POST'" \
    --action=deny-403

レート制限

特定のクライアントからのリクエスト数を制限できます：

gcloud compute security-policies rules create 7000 \
    --security-policy=my-policy \
    --description="Rate limit by IP" \
    --expression="true" \
    --action=rate-based-ban \
    --rate-limit-threshold-count=100 \
    --rate-limit-threshold-interval-sec=60 \
    --ban-duration-sec=300 \
    --conform-action=allow \
    --exceed-action=deny-403

名前付き永続的リソース

再利用可能なIPアドレスリストやカスタムヘッダートランスフォーメーションを作成できます：

# IPアドレスリストの作成
gcloud compute security-policies add-custom-ip-list my-policy \
    --name=trusted-ips \
    --description="Trusted IP addresses" \
    --ip-ranges="203.0.113.0/24,2001:db8::/32"

# IPアドレスリストを使用したルール
gcloud compute security-policies rules create 8000 \
    --security-policy=my-policy \
    --description="Allow trusted IPs" \
    --expression="!inIpRange(origin.ip, resources.custom_ip_lists.trusted-ips)" \
    --action=deny-403

Cloud ArmorのDDoS保護

Cloud Armorは、以下のようなDDoS攻撃からアプリケーションを保護します：

保護されるDDoS攻撃の種類

• SYNフラッド： TCPコネクションの確立プロセスを悪用した攻撃
• UDPフラッド： 大量のUDPパケットを送信する攻撃
• ICMPフラッド： 大量のICMPエコーリクエストを送信する攻撃
• HTTPフラッド： 大量のHTTPリクエストを送信する攻撃
• DNS増幅攻撃： DNSサーバーを悪用して攻撃トラフィックを増幅する攻撃
• NTPリフレクション攻撃： NTPサーバーを悪用して攻撃トラフィックを増幅する攻撃
• アプリケーション層攻撃： アプリケーションの脆弱性を悪用した攻撃

DDoS保護の仕組み

Cloud ArmorのDDoS保護は、以下の方法で機能します：

• エッジでの防御： 攻撃トラフィックをGoogleのネットワークエッジで検出・緩和
• トラフィック分析： 機械学習アルゴリズムを使用して異常なトラフィックパターンを検出
• 自動スケーリング： 攻撃時に自動的にリソースをスケールアップして可用性を維持
• グローバル分散： 攻撃トラフィックを世界中のエッジロケーションに分散
• プロトコル検証： 不正なプロトコルパケットをフィルタリング

Cloud Armorのモニタリングとロギング

Cloud ArmorはGoogle Cloud Monitoringおよびロギングと統合されており、セキュリティイベントを監視できます：

主なモニタリング機能

• セキュリティポリシーのログ： セキュリティポリシーによってブロックまたは許可されたリクエストのログ
• DDoS攻撃の検出： 検出されたDDoS攻撃のアラートと詳細
• リクエスト分析： 地理的分布、IPアドレス、ユーザーエージェントなどのリクエスト属性の分析
• カスタムダッシュボード： セキュリティメトリクスのカスタムダッシュボードの作成

ログの分析

Cloud Armorのログを分析して、セキュリティイベントを調査できます：

# Cloud Armorのログを表示
gcloud logging read 'resource.type="http_load_balancer" AND jsonPayload.enforcedSecurityPolicy.name="my-policy"'

# ブロックされたリクエストのログを表示
gcloud logging read 'resource.type="http_load_balancer" AND jsonPayload.enforcedSecurityPolicy.outcome="DENY"'

アラートの設定

特定のセキュリティイベントに対するアラートを設定できます：

# ブロックされたリクエスト数が閾値を超えた場合のアラート
gcloud alpha monitoring policies create \
    --display-name="Cloud Armor Blocked Requests Alert" \
    --condition-filter='resource.type="http_load_balancer" AND metric.type="compute.googleapis.com/http/request_count" AND metric.labels.response_code_class="400" AND metric.labels.security_policy_name="my-policy"' \
    --condition-threshold-value=100 \
    --condition-threshold-comparison=COMPARISON_GT \
    --condition-aggregations-alignment-period=300s \
    --condition-aggregations-per-series-aligner=ALIGN_RATE \
    --condition-aggregations-cross-series-reducer=REDUCE_SUM \
    --condition-trigger-count=1 \
    --notification-channels=projects/my-project/notificationChannels/1234567890

Cloud Armorの高度な機能

アダプティブプロテクション

機械学習を使用して、通常のトラフィックパターンを学習し、異常を検出します：

# アダプティブプロテクションの有効化
gcloud compute security-policies update my-policy \
    --adaptive-protection-config=enable=true

reCAPTCHA Enterprise統合

reCAPTCHA Enterpriseと統合して、ボット対策を強化できます：

# reCAPTCHA Actionの作成
gcloud recaptcha keys create my-recaptcha-key \
    --display-name="My reCAPTCHA Key" \
    --web \
    --domains=example.com \
    --integration-type=SCORE

# Cloud Armorとの統合
gcloud compute security-policies rules create 9000 \
    --security-policy=my-policy \
    --description="reCAPTCHA integration" \
    --expression="token.recaptcha_action.score < 0.5" \
    --action=deny-403 \
    --recaptcha-options=action-token-key=my-recaptcha-key

Google Cloud Armorマネージドプロテクションプラス

高度なDDoS保護と専門家によるサポートを提供する有料サービス：

• 24時間365日のDDoS対応サポート： 専門家によるDDoS攻撃対応のサポート
• カスタムルールの作成支援： セキュリティエキスパートによるカスタムルールの作成支援
• 高度な脅威インテリジェンス： 最新の脅威情報に基づく保護
• SLA保証： サービスレベル契約による可用性保証

Cloud Armorのユースケース

Cloud Armorは以下のようなユースケースに適しています：

• ウェブアプリケーションの保護： SQLインジェクション、XSSなどの一般的なウェブ攻撃からの保護
• APIの保護： 公開APIをDDoS攻撃や不正アクセスから保護
• eコマースサイトの保護： 顧客データや決済情報を保護し、サイトの可用性を確保
• コンテンツ配信の保護： CDNと組み合わせて、コンテンツ配信を保護
• マルチクラウド環境の保護： ハイブリッドクラウドやマルチクラウド環境のエントリーポイントを保護
• コンプライアンス要件の遵守： PCI DSS、HIPAA、GDPRなどのコンプライアンス要件を満たすためのセキュリティ対策
• ボット対策： 悪意のあるボットからウェブサイトやAPIを保護

Cloud Armorとの統合サービス

Cloud Armorは他のGoogle Cloudサービスと統合して、より強力なセキュリティソリューションを構築できます：

GKEとの統合例

# GKEクラスタの作成
gcloud container clusters create my-cluster \
    --zone=asia-northeast1-a \
    --num-nodes=3

# Ingressの作成
gcloud container clusters get-credentials my-cluster --zone=asia-northeast1-a
kubectl create deployment my-app --image=gcr.io/my-project/my-app:latest
kubectl expose deployment my-app --port=80 --target-port=8080 --name=my-service
kubectl create ingress my-ingress --rule="/*=my-service:80"

# バックエンドサービスの取得
BACKEND_SERVICE=$(gcloud compute backend-services list \
    --filter="description~my-ingress" \
    --format="value(name)")

# Cloud Armorポリシーの適用
gcloud compute backend-services update $BACKEND_SERVICE \
    --global \
    --security-policy=my-policy

Cloud Armorのベストプラクティス

• 多層防御の実装： 複数のセキュリティルールを組み合わせて、様々な種類の攻撃から保護
• 最小権限の原則： 必要最小限のアクセスのみを許可し、それ以外をブロック
• ルールの優先順位の適切な設定： より具体的なルールに高い優先順位を設定
• ホワイトリストとブラックリストの併用： 信頼できるソースをホワイトリストに、既知の悪意あるソースをブラックリストに登録
• 定期的なルールの見直し： セキュリティルールを定期的に見直し、最新の脅威に対応
• テストモードの活用： 新しいルールを本番環境に適用する前にテストモードで検証
• ログの監視と分析： セキュリティイベントのログを定期的に監視・分析して、攻撃パターンを把握
• インシデント対応計画の策定： セキュリティインシデント発生時の対応手順を事前に策定

# テストモードでルールを作成
gcloud compute security-policies rules create 10000 \
    --security-policy=my-policy \
    --description="Test rule for XSS protection" \
    --expression="evaluatePreconfiguredExpr('xss-stable')" \
    --action=deny-403 \
    --preview

まとめ

Cloud Armor は、Google Cloud Platform上でのウェブアプリケーションとサービスを保護するためのフルマネージドセキュリティサービスです。DDoS保護とウェブアプリケーションファイアウォール（WAF）機能を組み合わせて、様々なサイバー攻撃からアプリケーションを守ります。

Cloud Armorの主な利点は以下の通りです：

• Googleのグローバルインフラストラクチャを活用したDDoS保護
• 一般的なウェブ攻撃に対する事前構成ルール
• 柔軟なカスタムルール作成機能
• GCPサービスとのシームレスな統合
• 詳細なモニタリングとロギング
• 機械学習を活用したアダプティブプロテクション

Cloud Armorを効果的に活用するには、多層防御アプローチの採用、適切なルールの設定、定期的なモニタリングと分析が重要です。また、他のGCPセキュリティサービスと組み合わせることで、包括的なセキュリティ対策を実現することができます。