Google Cloud Armor と他の Google プロダクトの統合

以降のセクションでは、Google Cloud Armor が Google Cloud の他の機能やプロダクトと連携する方法について説明します。

Google Cloud Armor と VPC ファイアウォールルール

Google Cloud Armor のセキュリティポリシーと VPC ファイアウォールルールは異なる役割を果たします。

Google Cloud Armor のセキュリティポリシーでは、エッジセキュリティを提供し、Google Front End（GFE）へのクライアントトラフィックを処理します。
VPC ファイアウォールルールは、バックエンドとの間のトラフィックを許可または拒否します。上り（内向き）許可ファイアウォールルールを作成する必要があります。そのターゲットはロードバランスされたバックエンド VM で、ソースがグローバル外部アプリケーションロードバランサまたは従来のアプリケーションロードバランサで使用される IP 範囲です。これらのルールにより、GFE とヘルスチェックシステムがバックエンド VM と通信できるようになります。

たとえば、CIDR 範囲 100.1.1.0/24 と CIDR 範囲 100.1.2.0/24 からのトラフィックのみがグローバル外部アプリケーションロードバランサまたは従来のアプリケーションロードバランサにアクセスできるようにするシナリオを考えてみましょう。目標は、トラフィックがバックエンドのロードバランシングインスタンスに直接到達できないようにすることです。つまり、グローバル外部アプリケーションロードバランサやセキュリティポリシーが関連付けられている従来のアプリケーションロードバランサ経由でプロキシされた外部トラフィックのみがインスタンスに到達する必要があります。

Google Cloud Armor のセキュリティポリシーと上り（内向き）ファイアウォールを使用してアクセスを制限する。 — Google Cloud Armor のセキュリティポリシーと上り（内向き）ファイアウォールを使用してアクセスを制限する（クリックして拡大）

上の図では、 Google Cloud デプロイを次のように構成することでセキュリティ目標を達成しています。

2 つのインスタンスグループを作成します。1 つは us-west1 リージョンに、もう 1 つは europe-west1 リージョンに作成します。
バックエンドアプリケーションインスタンスをインスタンスグループの VM にデプロイします。
グローバル外部アプリケーションロードバランサまたは従来のアプリケーションロードバランサをプレミアムティアで作成します。URL マップと、前の手順で作成した 2 つのインスタンスグループをバックエンドとする単一のバックエンドサービスを構成します。ロードバランサの転送ルールが外部 IP アドレス 120.1.1.1 を使用していることを確認してください。
100.1.1.0/24 および 100.1.2.0/24 からのトラフィックを許可し、他のすべてのトラフィックを拒否する Google Cloud Armor セキュリティポリシーを構成します。
このポリシーをロードバランサのバックエンドサービスに関連付けます。手順については、セキュリティポリシーの構成をご覧ください。より複雑な URL マップを持つ外部 HTTP(S) ロードバランサは、複数のバックエンドサービスを参照できます。必要に応じて、セキュリティポリシーを 1 つ以上のバックエンドサービスに関連付けることができます。
グローバル外部アプリケーションロードバランサまたは従来のアプリケーションロードバランサからのトラフィックを許可するように、上り（内向き）許可ファイアウォールルールを構成します。詳細については、ファイアウォールルールをご覧ください。

Google Cloud Armor とハイブリッドデプロイ

ハイブリッドデプロイでは、グローバル外部アプリケーションロードバランサまたは従来のアプリケーションロードバランサは、別のクラウドプロバイダのインフラストラクチャなど、 Google Cloudの外部で実行されるアプリケーションやコンテンツソースにアクセスする必要があります。Google Cloud Armor を使用すると、このようなデプロイを保護できます。

次の図では、ロードバランサに 2 つのバックエンドサービスがあります。1 つは、バックエンドとしてインスタンスグループを持っています。もう 1 つのバックエンドサービスには、バックエンドとしてインターネット NEG があり、インターネット NEG は、サードパーティプロバイダのデータセンターで実行されているアプリケーションに関連付けられています。

ハイブリッドデプロイ用の Google Cloud Armor。 — ハイブリッドデプロイ用の Google Cloud Armor（クリックして拡大）

インターネット NEG をバックエンドとして持つバックエンドサービスに Google Cloud Armor のセキュリティポリシーを接続すると、グローバル外部アプリケーションロードバランサまたは従来のアプリケーションロードバランサに到着する、そのバックエンドサービス宛てのすべての L7 リクエストが検査されます。

Google Cloud Armor でハイブリッドデプロイに対して提供される保護には、インターネット NEG に適用されるものと同じ制限が適用されます。

Google Cloud Armor と Google Kubernetes Engine（GKE）Ingress

Google Cloud Armor セキュリティポリシーを構成したら、Kubernetes Ingress を使用して GKE でこれを有効にできます。

セキュリティポリシーの名前を BackendConfig リソースに追加することで、セキュリティポリシーを BackendConfig で参照できます。次の BackendConfig マニフェストでは、example-security-policy という名前のセキュリティポリシーを指定しています。

apiVersion: cloud.google.com/v1
kind: BackendConfig
metadata:
  namespace: cloud-armor-how-to
  name: my-backendconfig
spec:
  securityPolicy:
    name: "example-security-policy"

Ingress 機能の詳細については、Ingress 機能の構成をご覧ください。

Google Cloud Armor と Cloud CDN

Cloud CDN と Google Cloud Armor を併用して、CDN 配信元サーバーを保護できます。Google Cloud Armor は、CDN 配信元サーバーがアプリケーション攻撃から確実に保護されるようにし、OWASP トップ 10 リスクを軽減して、レイヤ 7 フィルタリングポリシーを適用します。Google Cloud Armor と Cloud CDN の連携に影響するセキュリティポリシーには、エッジセキュリティポリシーとバックエンドセキュリティポリシーの 2 種類があります。

エッジセキュリティポリシー

グローバル外部アプリケーションロードバランサまたは従来のアプリケーションロードバランサの背後にある Cloud CDN 対応バックエンドサービスと Cloud Storage バックエンドバケットには、エッジセキュリティポリシーを使用できます。エッジセキュリティポリシーを使用すると、コンテンツがキャッシュから提供される前にリクエストをフィルタリングできます。

バックエンドセキュリティポリシー

Cloud CDN が有効になっているバックエンドサービスに Google Cloud Armor バックエンドセキュリティポリシーを適用すると、これらのポリシーは、バックエンドサービスにルーティングされるリクエストにのみ適用されます。これには、動的コンテンツリクエストとキャッシュミス（Cloud CDN キャッシュに入らなかったリクエストや、キャッシュをバイパスしたリクエスト）が含まれます。

エッジセキュリティポリシーとバックエンドセキュリティポリシーが同じバックエンドサービスに接続されている場合、バックエンドセキュリティポリシーは、エッジセキュリティポリシーを通過したキャッシュミスリクエストに対してのみ適用されます。

次の図は、エッジセキュリティポリシーでリクエストが許可された後にバックエンドセキュリティポリシーが Cloud CDN 送信元に対して機能する仕組みを示しています。

Cloud CDN での Google Cloud Armor バックエンドセキュリティポリシーの使用。 — Cloud CDN での Google Cloud Armor のバックエンドセキュリティポリシーの使用（クリックして拡大）。

Cloud CDN の詳細については、Cloud CDN のドキュメントをご覧ください。

Google Cloud Armor と Cloud Run、App Engine、または Cloud Run functions

Google Cloud Armor のセキュリティポリシーは、Cloud Run、App Engine、Cloud Run functions サービスを参照するサーバーレス NEG バックエンドで使用できます。

ただし、サーバーレス NEG、Cloud Run、または Cloud Run functions とともに Google Cloud Armor を使用する場合は、サーバーレスエンドポイントに対するすべてのアクセスが Google Cloud Armor セキュリティポリシーによってフィルタリングされるように特別な手順を行う必要があります。

サーバーレスアプリケーションのデフォルト URL が割り当てられているユーザーは、ロードバランサをバイパスしてサービス URL に直接アクセスできます。このとき、Google Cloud Armor のセキュリティポリシーはバイパスされます。この問題に対処するには、 Google Cloud Cloud Run サービスまたは Cloud Run functions（第 2 世代）の関数に自動的に割り当てられるデフォルトの URL を無効にします。App Engine アプリケーションを保護するには、上り（内向き）制御を使用します。

上り（内向き）制御を使用してすべての受信トラフィックにアクセス制御が適用するには、Cloud Run functions または Cloud Run を構成する際に internal-and-gclb を使用します。これにより、内部トラフィックと、グローバル外部アプリケーションロードバランサまたは従来のアプリケーションロードバランサによって公開された外部 IP アドレスに送信されるトラフィックのみが許可されます。プライベートネットワークの外部からこれらのデフォルトの URL に送信されたトラフィックはブロックされるため、ユーザーはグローバル外部アプリケーションロードバランサまたは従来のアプリケーションロードバランサによって設定されたアクセス制御（Google Cloud Armor のセキュリティポリシーなど）を回避できなくなります。

サーバーレス NEG の詳細については、サーバーレスネットワークエンドポイントグループの概要とサーバーレス NEG の設定をご覧ください。

Google Cloud Armor と他の Google プロダクトの統合 コレクションでコンテンツを整理 必要に応じて、コンテンツの保存と分類を行います。

Google Cloud Armor と VPC ファイアウォール ルール

Google Cloud Armor とハイブリッド デプロイ