2024年6月17日 【Google Cloud】IPS で不正アクセスを防御してみた Google Cloud 検索する Popular tags 生成AI(Generative AI) Looker Studio BigQuery AlloyDB Google Workspace 事例紹介 Cloud SQL Category Google Cloud Author りなぺん SHARE 目次 Cloud IDSとは? IPS とは? Cloud NGFW とは? IPSの導入 検証結果 まとめ Content こんにちは。りなぺんです。 不正アクセス対策としては、まずファイアウォールや WAF の導入が重要ですね。 しかし、サーバやネットワークの防御において、これだけでは不十分な場合もあります。 Google Cloud には不正アクセスや攻撃を検知・防御するマネージドのサービスが存在します。 1つは Cloud IDS、もう1つは Google Cloud Next '24で GA が発表された Intrusion Prevension(以下、IPS)です! 本記事では、これらの機能を検証し、不正アクセス対策の強力な補完手段としての役割を探っていきます。 Cloud IDSとは? Cloud IDS は Google Cloud のセキュリティ サービスで、ネットワークにおける不正アクセスや攻撃を検知するサービスです。 脅威を検出するためにパケットをミラーリングするため、詳細なログ(トラフィックログ)を生成することも可能です。 ※但し、膨大なログが Logging に送られることが想定されるため、特別な理由がない限りは基本 OFF 推奨です。 説明の通り、Cloud IDS では侵入を検知するだけであり、侵入を防ぐ機能はありません。 Cloud IDS の料金はエンドポイントの存在する時間 + 処理したトラフィックのGB数 の課金です。 製品 エンドポイントの金額 データ処理の金額 Cloud IDS $1.50/hour $0.07/GB IPS とは? IPS は Cloud Next Generation Firewall(以下、Cloud NGFW)で提供されている機能で、ネットワークにおける不正アクセスや攻撃を検知し、ブロックするサービスです。 IDS は攻撃の検知を目的としているのに対し、IPS は攻撃を防御する機能が備わっています。 図にすると以下の通りです。 IPS の料金はエンドポイントの存在する時間 + 処理したトラフィックのGB数 の課金です。 製品 エンドポイントの金額 データ処理の金額 IPS $1.75/hour $0.018/GB Cloud NGFW とは? Google Cloud ワークロードを広範囲かつ高度な機能で保護する完全分散型のファイアウォール サービスです。 マネージド サービスのため、インフラの管理の考慮が不要です。 Cloud NGFW には3つの料金ティアがあり、Essentials は無償、Standard と Enterprise はデータ処理量に応じた従量課金です。 IPS を使用するには Enterprise 階層が必要です。 (2024年5月時点の情報のため、最新情報は公式ドキュメントをご確認ください) 特徴 Essentials Standard Enterprise ファイアウォールポリシー ○ ○ ○ タグの統合 ○ ○ ○ ステートフルインスペクション ○ ○ ○ アドレスグループ ○ ○ ○ Google Cloud Threat Intelligence ○ ○ FQDN オブジェクト ○ ○ 位置情報のフィルタリング ○ ○ 侵入防止システム( IPS ) ○ TLS 復号 ○ IPSの導入 今回構築する環境図です。 本記事では IPS の設定手順を記載するものとし、Google Compute Engineや Load Balancer の手順は割愛いたします。 それでは実際に IPS 機能を設定していきます! ①権限設定 1-1. IPSを設定するために必要な以下組織の権限を付与したユーザーを用意します。 組織閲覧者(roles/resourcemanager.organizationViewer) Compute Network Admin (roles/compute.networkAdmin) ②セキュリティ プロファイルの作成 2-1. セキュリティ プロファイル名を設定し、続行します。 2-2.検知/ブロックする内容を設定します。今回は検証の為、すべて「オーバーライドなし」で設定します。 2-3. セキュリティ プロファイルが作成されていることを確認します。 ③セキュリティ プロファイルグループの作成 3-1. セキュリティ プロファイルグループ名と、①で作成したセキュリティプロファイルを設定します。 3-2. セキュリティプロ ファイル グループが作成されていることを確認します。 ④ファイアウォール エンドポイントの作成 4-1. エンドポイントを作成するリージョンやゾーンなどを設定します。 4-2. 紐づけるプロジェクト名・ネットワークを設定します。 4-3. ファイアウォール エンドポイントが作成されていることを確認します。 (作成完了まで数十分かかることがあります) ⑤ネットワークファイアウォールポリシーの作成 5-1. ポリシーの構成にて、デプロイ スコープ「グローバル」を設定します。 ※デプロイ スコープ「リージョン」では、ファイアウォール エンドポイントと関連付けることができないため、ここは必ず「グローバル」を選択してください。 5-2. ファイアウォール エンドポイントを経由するように設定します。 ※他の設定項目については環境に合わせて設定してください。 設定項目 設定内容 一致したアクション L7 の検査に進む セキュリティ プロファイルグループ ②で作成したグループを選択 5-3. 5-2で設定したルールが1つ新規作成されていることを確認します。 5-4. 紐づけるネットワークを指定します。 5-5. ネットワーク ファイアウォール ポリシーが作成されていることを確認します。 以上で IPS の設定は完了です! 検証結果 手元のコマンド プロンプトで以下を叩いてみます。 curl -H "Host: example.com" -X GET "http://<LBのIPアドレス>/cgi-bin/../../../..//bin/cat%%20/etc/passwd" 結果は… 見事に検知されていることが確認できました! まとめ IDS と IPS の大きな違いは、Cloud IDS は脅威を検出するのみで、IPS は脅威をブロックすることができる点です。 双方 Palo Alto Network のエンジンを使っていることや、料金面においても IPS の方がトータルコストを抑えられるため、サーバーやネットワークの防御を実施したい環境には IPS の導入が検討されると思います。 また、Cloud NGFW の IPS を使用するメリットには以下があります。 導入と運用がオンプレミス IPS 製品より簡単 組織単位やフォルダ単位で設定可能 TLS インスペクションを利用して暗号化された通信も検査可能 既存ネットワーク構成の変更なしに導入することが可能! 2024 年に GA !! 貴重なデータやプライバシーを守る、セキュアな環境が必要な際は IPS をご検討いただければと思います。 最後まで読んでいただき、ありがとうございました。 当社システムサポートは、Google Cloud の導入・移行・運営支援を行っています。 クラウド移行含めた最適なシステム環境構築のご相談は、以下よりお願いいたします! Google Cloud 導入についてのお問い合わせはこちら 関連コンテンツ 頂きましたご意見につきましては、今後のより良い商品開発・サービス改善に活かしていきたいと考えております。 Author りなぺん BI事業部 2023年中途入社。好きな分野はインフラ、ネットワーク。すみっコぐらしに囲まれて生活してます。 Google Cloud 2024年6月17日 【Google Cloud】IPS で不正アクセスを防御してみた Category Google Cloud 前の記事を読む 【Google Cloud】Dataplexデータ品質について検証してみた(2/2) 次の記事を読む 【4コマ漫画】SEひつじは定時退社の夢を見る ~公開処刑~ Recommendation オススメ記事 2023年9月5日 Google Cloud 【Google Cloud】Looker Studio × Looker Studio Pro × Looker を徹底比較!機能・選び方を解説 2023年8月24日 Google Cloud 【Google Cloud】Migrate for Anthos and GKEでVMを移行してみた(1:概要編) 2022年10月10日 Google Cloud 【Google Cloud】AlloyDB と Cloud SQL を徹底比較してみた!!(第1回:AlloyDB の概要、性能検証編) BigQuery ML ワークショップ開催のお知らせ 生成AI導入支援パッケージ Discovery AI導入支援パッケージ Google Cloud ホワイトペーパー 新着記事 2024年10月9日 イベント・セミナー 【参加無料】typeエンジニア転職フェア 出展のお知らせ(2024/10/12) 2024年10月4日 イベント・セミナー 【11/20開催】データ分析&活用ウェビナー(事例紹介付き) 2024年9月30日 Google Cloud 【Google Cloud】サーバレスでマネージドなサービス「Cloud Run」でアプリケーションを走らせよう! HOME Google Cloud 【Google Cloud】IPS で不正アクセスを防御してみた ご意見・ご相談・料金のお見積もりなど、お気軽にお問い合わせください。 お問い合わせはこちら HOME Categories お知らせ イベント・セミナー Google Cloud Google Workspace モバイル インフラ 技術開発 ブログ 4koma Tags 生成AI(Generative AI) Looker Studio BigQuery AlloyDB Google Workspace 事例紹介 Cloud SQL STSエンジニアリングマガジン 「サイタル」 当サイトではクッキー(Cookie)、Googleアナリティクスを利用します。 「同意する」をクリックいただくことで、サイト上での最高のエクスペリエンスをご提供いたします。 ※詳細は以下をご覧ください。 外部送信ポリシー プライバシーポリシー同意する同意しない