セキュリティ ポリシーの一般的なユースケース

このページでは、Google Cloud Armor のセキュリティ ポリシーの一般的なユースケースについて説明します。Cloud Armor セキュリティ ポリシーでは、IP アドレスの許可リスト / 拒否リストのような機能や一般的なウェブ攻撃を阻止する事前構成ルールを使用して、アプリケーションを保護できます。

ウェブ アプリケーションとサービスへのアクセスを制御する

このセクションでは、Cloud Armor セキュリティ ポリシーを使用してアプリケーションやサービスへのアクセスを制御する方法について説明します。

許可リストを使用して特定の IP アドレスでのユーザーのアクセスを有効にする

ユーザー IP アドレスを許可リストに設定する一般的なユースケースは、グローバル外部アプリケーション ロードバランサまたは従来のアプリケーション ロードバランサに特定のユーザーセットのみがアクセスする場合です。次の例では、組織のユーザーだけに、ロードバランサの背後のサービスへのアクセスが許可されています。これらのユーザーには、組織から割り当てられた IP アドレスまたはアドレス ブロックがあります。これらの IP アドレスまたは CIDR 範囲を許可リストに追加すると、これらのユーザーのみがロードバランサにアクセスできるようになります。

グローバル外部アプリケーション ロードバランサまたは従来のアプリケーション ロードバランサへのアクセスを制御するには、ロードバランサへのアクセスを許可する送信元 IP アドレスまたは送信元 CIDR 範囲を含む許可リストを構成します。次のセクションでは、この構成について詳細に説明します。

この構成では、IP 範囲の IP アドレスを使用する組織内のユーザーにのみ、グローバル外部アプリケーション ロードバランサまたは従来のアプリケーション ロードバランサへのアクセスを許可します。他のトラフィックはすべて拒否します。

この構成は次の手順に沿って作成します。

1. Cloud Armor セキュリティ ポリシーを作成します。
2. セキュリティ ポリシー内の最初のルールとして、許可リストに範囲を追加するルールを追加します。このルールの説明は allow [RANGE] とします。ここで、[RANGE] は、対象の IP 範囲を記述します。
3. ポリシーのデフォルト ルールを allow ルールから deny ルールに変更します。デフォルト ルールは、それに先立つルールに一致しないトラフィックに適用されます。デフォルト ルールはポリシー内の最終ルールです。ルールを allow から deny に変更すると、許可リストの範囲外のトラフィックはすべてブロックされます。
4. このポリシーをグローバル外部アプリケーション ロードバランサまたは従来のアプリケーション ロードバランサのバックエンド サービスに関連付けます。

組織でサードパーティのセキュリティ プロバイダを使用してトラフィックをスクラブしている場合は、セキュリティ プロバイダの IP アドレスを許可リストに追加して、スクラブされたトラフィックだけがグローバル外部アプリケーション ロードバランサまたは従来のアプリケーション ロードバランサとバックエンドにアクセスするようにできます。

次の図では、サードパーティ プロバイダが CIDR 範囲 192.0.2.0/24 で識別されており、この範囲が許可リストに含まれています。

拒否リストを使用して特定の IP アドレスのユーザーによるアクセスをブロックする

拒否リストを使用して、ある特定の IP アドレスまたは CIDR 範囲からのトラフィックを拒否する Cloud Armor セキュリティ ポリシーを作成します。次の図では、悪意のあるユーザーが識別された IP アドレス 198.51.100.1 からのトラフィックをブロックする deny ルールが Cloud Armor セキュリティ ポリシーに設定されています。

レイヤ 3 からレイヤ 7 のパラメータに基づいてフィルタリングするカスタムルール

Cloud Armor カスタムルール言語を使用して、ルールの一致条件で 1 つ以上の式を定義します。Cloud Armor はリクエストを受信すると、これらの式に対してリクエストを評価します。一致がある場合、ルールのアクションが有効になり、受信トラフィックが拒否または許可されます。

Cloud Armor の Common Expression Language（CEL）拡張機能で記述された式の例を以下に示します。詳細については、カスタムルール言語リファレンスをご覧ください。

ルールで式を定義するには、gcloud --expression フラグまたはGoogle Cloud コンソールを使用します。詳細については、Cloud Armor のセキュリティ ポリシー、ルール、式の作成をご覧ください。

次の式は、AU リージョンの 2001:db8::/32（アルファ テスターなど）からのリクエストと一致します。

origin.region_code == "AU" && inIpRange(origin.ip, '2001:db8::/32')

次の例は、ユーザー エージェントに文字列 WordPress が含まれている 192.0.2.0/24 からのリクエストに一致します。

inIpRange(origin.ip, '192.0.2.0/24') && has(request.headers['user-agent']) && request.headers['user-agent'].contains('WordPress')

その他の例については、ルール言語リファレンスの式の例をご覧ください。

アプリケーション レイヤへの攻撃からデプロイを保護し、OWASP トップ 10 リスクを軽減する

Cloud Armor を使用すると、SQL インジェクション（SQLi）やクロスサイト スクリプティング（XSS）などのアプリケーション レイヤ（L7）攻撃から Cloud CDN オリジン サーバーを保護できます。キャッシュ内のコンテンツは静的であり、おそらくウェブからの標的型攻撃のリスクが発生することはありません。ただし、基になるコンテンツのオリジン サーバーは、ウェブアプリの既知の脆弱性または潜在的な脆弱性がある動的アプリケーションである可能性があります。セキュリティまたはコンプライアンスの要件により、こうしたリスクを軽減して、インターネットの脆弱性を悪用してオリジン サーバーが攻撃されるのを防ぐ必要があります。

このリスクを低減する手順は次のとおりです。

1. CDN を有効にしてバックエンド サービスを作成または識別します。
2. Cloud Armor セキュリティ ポリシーを作成します。
3. セキュリティ ポリシーに、L7 攻撃を拒否するルールを 1 つ以上作成します。
4. セキュリティ ポリシーのターゲットのいずれかを、ステップ 1 で作成または特定したバックエンド サービスとして構成します。

事前構成されたルールを使用して、一般的なアプリケーション レイヤの攻撃を検出してブロックすることもできます。事前構成済みのルールは、Cloud Armor セキュリティ ポリシーに追加できる事前定義された式のセットです。これらの式セットをルールに追加するには、gcloud --expression フラグまたは Google Cloud コンソールを使用します。詳細については、セキュリティ ポリシー、ルール、式の作成をご覧ください。

事前構成済みのルールは、デフォルトでリクエスト本文の最初の最大 8 KB を検査します。ただし、ポリシーごとにこの上限を構成できます。事前構成済みの WAF ルールを使用する場合にこのリクエスト本文の検査上限を構成する方法の詳細については、POST および PATCH 本文の検査における制限をご覧ください。

事前構成済みルールの詳細については、カスタムルール言語リファレンスの事前構成済みルールをご覧ください。

次の例では、事前構成済みのルールを使用して、クロスサイト スクリプティング（XSS）攻撃を軽減しています。

evaluatePreconfiguredWaf('xss-stable')

次の例では、事前構成済みのルールを使用して、SQL インジェクション（SQLi）攻撃を軽減しています。

evaluatePreconfiguredWaf('sqli-stable')

また、事前構成済みのルールを他の式と組み合わせることもできます。次の例では、事前構成済みのルールを使用して、192.0.2.1/24 IP アドレス範囲からの SQLi 攻撃を軽減しています。

inIpRange(origin.ip, '192.0.2.1/24') && evaluatePreconfiguredWaf('sqli-stable')

ハイブリッド ワークロードにおける OWASP トップ 10 リスクの緩和策

Cloud Armor には、デプロイ先が Google Cloud、オンプレミス、サードパーティ プロバイダのいずれであるかを問わず、次の攻撃に対する緩和策が用意されています。

• SQL インジェクション（SQLi）
• クロスサイト スクリプティング（XSS）
• ローカル ファイル インクルード（LFI）
• リモート ファイル インクルード（RFI）
• リモートコード実行（RCE）

これらの機能を利用して、OWASP トップ 10 リストに記載されているリスクなど、ウェブ アプリケーションで一般的なセキュリティ リスクに対処できます。

SQLi や XSS の試行を含む望ましくないレイヤ 7 リクエストを検出して拒否するため、Cloud Armor の事前構成済み WAF ルールをセキュリティ ポリシーに追加できます。Cloud Armor は悪意のあるリクエストを検出し、Google のインフラストラクチャのエッジでドロップします。バックエンド サービスがデプロイされている場所に関係なく、それらのリクエストはバックエンド サービスにプロキシされません。

Google Cloudでホストされているワークロードを Google ネットワークのエッジで上記の攻撃から防御するには、次の操作を行います。

1. インターネット NEG をバックエンドとして持つバックエンド サービスを使用して、グローバル外部アプリケーション ロードバランサまたは従来のアプリケーション ロードバランサを構成します。
2. Cloud Armor セキュリティ ポリシーを作成します。
3. 事前構成された SQLi ルールと XSS ルールをポリシーに追加します。
4. 手順 1 で作成したバックエンド サービスにセキュリティ ポリシーを接続します。
5. Cloud Logging、Cloud Monitoring、Security Command Center に送信された検出結果を使用して、Cloud Armor のアクティビティをモニタリングします。

Cloud CDN 外部オリジン サーバーの DDoS 防御とレイヤ 7 モニタリング

外部のオリジン サーバーを使用した Cloud CDN デプロイでは、プロキシング、キャッシング、Cloud Armor レイヤ 7 フィルタリングのフロントエンドとして、Google のエッジ インフラストラクチャを使用できます。インターネット NEG を使用すると、オリジン サーバーをオンプレミス上に配置できます。またサードパーティのインフラストラクチャ プロバイダとともに配置することもできます。

Cloud Armor と Google のその他のエッジ インフラストラクチャは、L3 / L4 攻撃を緩和および阻止し、疑わしいレイヤ 7 アクティビティに関するアラートを出し、カスタムルールを使用して望ましくないレイヤ 7 リクエストを拒否できるようにします。Cloud Logging、Cloud Monitoring、Security Command Center を使用した Cloud Armor のロギングとテレメトリーにより、デプロイされている場所に関係なく、保護対象のアプリケーションに関する実用的な分析情報が提供されます。

CDN 外部オリジン サーバーに対して Cloud Armor 保護を有効にする手順は次のとおりです。

1. インターネット NEG をバックエンドとして持つバックエンド サービスを使用して、グローバル外部アプリケーション ロードバランサまたは従来のアプリケーション ロードバランサを構成します。
2. このバックエンド サービスに対して Cloud CDN を有効にします。
3. Cloud Armor セキュリティ ポリシーを作成します。
4. 手順 1 で作成したバックエンド サービスにセキュリティ ポリシーを接続します。
5. Security Command Center、Cloud Logging、Cloud Monitoring で、Cloud Armor のアラート、ロギング、テレメトリーにアクセスします。

さらに、エッジ セキュリティ ポリシーを使用して、キャッシュに保存されたコンテンツを保護することもできます。エッジ セキュリティ ポリシーの詳細については、セキュリティ ポリシーの概要をご覧ください。

レイヤ 7 アクセス制御とキャッシュ無効化攻撃

アプリケーション アーキテクチャに応じて、キャッシュ可能なコンテンツとキャッシュ不可能なコンテンツを含むさまざまな URL のリクエストを処理するように単一のバックエンド サービスを構成できます。このようなデプロイ シナリオでは、特定のリクエストパスでの望ましくないトラフィックは拒否しながら、すべてのクライアントが別のリクエストパスの静的コンテンツにアクセスできるようにする Cloud Armor セキュリティ ポリシーを作成します。

他の状況では、コンテンツがキャッシュで効率的に処理されている場合でも、悪意のあるクライアントや障害のあるクライアントによって大量のリクエストが生成されてキャッシュミスが発生し、基になるオリジン サーバーがリクエストされたコンテンツをフェッチまたは生成する必要が生じる場合があります。こうしたことが起きると限られたリソースに負担がかかり、すべてのユーザーのアプリケーションの可用性に悪影響が出る可能性があります。問題を引き起こしているクライアントのシグネチャを照合し、そのようなリクエストをオリジン サーバーに到達してパフォーマンスに影響を与える前に拒否する Cloud Armor セキュリティ ポリシーを作成できます。

これを行う手順は次のとおりです。

1. Cloud Armor セキュリティ ポリシーを作成します。

2. ルールを構成します。たとえば、次のルールは "/admin" へのアクセスを拒否します。

   request.path.contains("/admin") && !inIpRange(origin.ip, '<allowed_ip_range>')
   

3. 手順 1 のセキュリティ ポリシーを、Cloud CDN が有効になっているバックエンド サービスに接続します。

次のステップ

• セキュリティ ポリシーを構成する
• カスタムルール言語について学習する
• WAF ルールを調整する