2024年6月17日
【Google Cloud】IPS で不正アクセスを防御してみた
-
- Category Google Cloud
-
- Author りなぺん
不正アクセス対策としては、まずファイアウォールや WAF の導入が重要ですね。
しかし、サーバやネットワークの防御において、これだけでは不十分な場合もあります。
Google Cloud には不正アクセスや攻撃を検知・防御するマネージドのサービスが存在します。
1つは Cloud IDS、もう1つは Google Cloud Next '24で GA が発表された Intrusion Prevension(以下、IPS)です!
本記事では、これらの機能を検証し、不正アクセス対策の強力な補完手段としての役割を探っていきます。
Cloud IDSとは?
Cloud IDS は Google Cloud のセキュリティ サービスで、ネットワークにおける不正アクセスや攻撃を検知するサービスです。
脅威を検出するためにパケットをミラーリングするため、詳細なログ(トラフィックログ)を生成することも可能です。
※但し、膨大なログが Logging に送られることが想定されるため、特別な理由がない限りは基本 OFF 推奨です。
説明の通り、Cloud IDS では侵入を検知するだけであり、侵入を防ぐ機能はありません。
Cloud IDS の料金はエンドポイントの存在する時間 + 処理したトラフィックのGB数 の課金です。
| 製品 | エンドポイントの金額 | データ処理の金額 |
|---|---|---|
| Cloud IDS | $1.50/hour | $0.07/GB |
IPS とは?
IPS は Cloud Next Generation Firewall(以下、Cloud NGFW)で提供されている機能で、ネットワークにおける不正アクセスや攻撃を検知し、ブロックするサービスです。
IDS は攻撃の検知を目的としているのに対し、IPS は攻撃を防御する機能が備わっています。
図にすると以下の通りです。
IPS の料金はエンドポイントの存在する時間 + 処理したトラフィックのGB数 の課金です。
| 製品 | エンドポイントの金額 | データ処理の金額 |
|---|---|---|
| IPS | $1.75/hour | $0.018/GB |
Cloud NGFW とは?
Google Cloud ワークロードを広範囲かつ高度な機能で保護する完全分散型のファイアウォール サービスです。
マネージド サービスのため、インフラの管理の考慮が不要です。
Cloud NGFW には3つの料金ティアがあり、Essentials は無償、Standard と Enterprise はデータ処理量に応じた従量課金です。
IPS を使用するには Enterprise 階層が必要です。
(2024年5月時点の情報のため、最新情報は公式ドキュメントをご確認ください)
| 特徴 | Essentials | Standard | Enterprise |
|---|---|---|---|
| ファイアウォールポリシー | ○ | ○ | ○ |
| タグの統合 | ○ | ○ | ○ |
| ステートフルインスペクション | ○ | ○ | ○ |
| アドレスグループ | ○ | ○ | ○ |
| Google Cloud Threat Intelligence | ○ | ○ | |
| FQDN オブジェクト | ○ | ○ | |
| 位置情報のフィルタリング | ○ | ○ | |
| 侵入防止システム( IPS ) | ○ | ||
| TLS 復号 | ○ |
IPSの導入
今回構築する環境図です。
本記事では IPS の設定手順を記載するものとし、Google Compute Engineや Load Balancer の手順は割愛いたします。
それでは実際に IPS 機能を設定していきます!
①権限設定
1-1. IPSを設定するために必要な以下組織の権限を付与したユーザーを用意します。
- 組織閲覧者(roles/resourcemanager.organizationViewer)
- Compute Network Admin (roles/compute.networkAdmin)
②セキュリティ プロファイルの作成
2-1. セキュリティ プロファイル名を設定し、続行します。
2-2.検知/ブロックする内容を設定します。今回は検証の為、すべて「オーバーライドなし」で設定します。
2-3. セキュリティ プロファイルが作成されていることを確認します。
③セキュリティ プロファイルグループの作成
3-1. セキュリティ プロファイルグループ名と、①で作成したセキュリティプロファイルを設定します。
3-2. セキュリティプロ ファイル グループが作成されていることを確認します。
④ファイアウォール エンドポイントの作成
4-1. エンドポイントを作成するリージョンやゾーンなどを設定します。
4-2. 紐づけるプロジェクト名・ネットワークを設定します。
4-3. ファイアウォール エンドポイントが作成されていることを確認します。
(作成完了まで数十分かかることがあります)
⑤ネットワークファイアウォールポリシーの作成
5-1. ポリシーの構成にて、デプロイ スコープ「グローバル」を設定します。
※デプロイ スコープ「リージョン」では、ファイアウォール エンドポイントと関連付けることができないため、ここは必ず「グローバル」を選択してください。
5-2. ファイアウォール エンドポイントを経由するように設定します。
※他の設定項目については環境に合わせて設定してください。
| 設定項目 | 設定内容 |
|---|---|
| 一致したアクション | L7 の検査に進む |
| セキュリティ プロファイルグループ | ②で作成したグループを選択 |
5-3. 5-2で設定したルールが1つ新規作成されていることを確認します。
5-4. 紐づけるネットワークを指定します。
5-5. ネットワーク ファイアウォール ポリシーが作成されていることを確認します。
以上で IPS の設定は完了です!
検証結果
手元のコマンド プロンプトで以下を叩いてみます。
curl -H "Host: example.com" -X GET "http://<LBのIPアドレス>/cgi-bin/../../../..//bin/cat%%20/etc/passwd"結果は…
見事に検知されていることが確認できました!
まとめ
IDS と IPS の大きな違いは、Cloud IDS は脅威を検出するのみで、IPS は脅威をブロックすることができる点です。
双方 Palo Alto Network のエンジンを使っていることや、料金面においても IPS の方がトータルコストを抑えられるため、サーバーやネットワークの防御を実施したい環境には IPS の導入が検討されると思います。
また、Cloud NGFW の IPS を使用するメリットには以下があります。
- 導入と運用がオンプレミス IPS 製品より簡単
- 組織単位やフォルダ単位で設定可能
- TLS インスペクションを利用して暗号化された通信も検査可能
- 既存ネットワーク構成の変更なしに導入することが可能!
- 2024 年に GA !!
貴重なデータやプライバシーを守る、セキュアな環境が必要な際は IPS をご検討いただければと思います。
最後まで読んでいただき、ありがとうございました。
当社システムサポートは、Google Cloud の導入・移行・運営支援を行っています。
クラウド移行含めた最適なシステム環境構築のご相談は、以下よりお願いいたします!
頂きましたご意見につきましては、
今後のより良い商品開発・サービス改善に活かしていきたいと考えております。
-
-
Author
りなぺん
BI事業部 2023年中途入社。好きな分野はインフラ、ネットワーク。すみっコぐらしに囲まれて生活してます。
