CyberNEO
WAF Automator for Google Cloud
Google Cloud Armor 専用のマネージド・セキュリティ・プラットフォーム
Google Cloud利用ユーザーにGoogle Cloud Armorが選ばれる理由
Google Cloud ArmorはGoogle Cloudの各機能と容易に連携でき、多くのメリット享受できます。
Google Cloud ArmorはGoogleにおける一機能
「Google Cloud Armor」はGoogleによる機能として組み込まれているため、手間をかけて契約手続きを進めたり、ソフトウェアをGoogle Cloud内に実装したりする必要がありません。そのため、外部サービスに経由したり、別システムを新たにGoogle Cloud内に組み込む必要もないため、セキュリティをGoogle Cloud内で一元管理が可能となります。
Google Cloudとの連携・相性が抜群
そもそもGoogle Cloudの機能として出しているため、その他Google Cloudサービスとの連携が容易に行えるため非常に相性が良い構築方法となります。一連のプロセスがGoogle Cloud内で完結するため、外部経由による遅延なども発生せず、また、外部サーバーの環境依存による影響も受けにくくなります。
Google Cloud Armor活用における課題
設計や運用は通常のWAF構築と同様で検討が必要となります。
設計時の課題
課題1
セキュリティルール設計の課題
導入自体は比較的容易なGoogle Cloud Armorですが、攻撃を防御するためにはセキュリティルールの作成が必要です。パフォーマンスを最大限に発揮するためには、アプリケーション稼働の妨げにならないルール設計が必要となるため、セキュリティに関する知識やアプリケーション攻撃への理解など、一定の専門性が求められることになります。
課題2
運用体制の構築
Google Cloud Armorではリアルタイムでログ解析を行うことができますが、それらの監視・分析を行う環境構築も導入時に考える必要があります。Google Cloud Armor導入におけるこれらの体制構築はユーザー側で進めていく必要があり、通常時の管理や監視体制、不正アクセスや通信障害時など、イレギュラー時の対応スキームなど、体制作りが必要となります。
運用時の課題
課題1
セキュリティルール・ポリシーの更新
新規の脆弱性や攻撃方法が発生した場合には、詳細を把握した上でルールを再定義する必要があります。webアプリケーションに対する攻撃は日々進化しており、脆弱性に関する定常的な情報収集や、不正検知の際のログ調査、ルールの検証、再定義を行う必要があるため、運用には専門的な知見を持ったメンバーが必要不可欠になります。
課題2
運用負荷・コストの課題
Google Cloud Armorではシステム側の運用は必要ありませんが、セキュリティ管理やログの監視、不正検知時の対応などを自社で行う必要があります。専門的な知見が必要であることに加えて、日々の解析や管理を行うための人的なリソースも必要となるため、高いセキュリティを保つためには運用負荷や人件費がかかります。
Google Cloud Armorのマネージドルールの落とし穴
カスタマイズ性の低さ
汎用的に定められたルールなので、個別のサービス・状況に細かな部分が対応していない
セキュリティとして不十分なリスクがある
イレギュラー時の対応設計
あくまでルール単体の提供のため、イレギュラー時の対応設計などができない
イレギュラー発生時に適切な対処ができないリスクがある
カスタマイズ性の低さ
コンプライアンスの観点からログ分析・ログ監視は必須であり、いずれにせよ専門性が求められるタスクが発生
マネージドルールに頼りきりでは対処できない
セキュリティ維持のため、別の手段で設計・運用の課題を解消する必要がある
SERVICE
Google Cloud Armor導入から運用まで提供
WAF Automator for Google CloudはGoogle Cloud Armor (セキュリティポリシー)を簡単なステップで導入でき、AIでセキュリティ運用を自動化します。 Google Cloud Load Balancingを利用しており、Google Cloud Armorの導入を検討しているお客様に最適なソリューションです。
簡単な導入ステップ
WAF Automator for Google Cloudは4つの手順で展開できるコンセプトで開発しております。
STEP1
CyberNEOアカウントを発行し、CyberNEOポータルにログイン。
STEP2
GoogleポータルからCyberNEOで作成するサービスアカウントを作成
STEP3
CyberNEOポータルにセットアップ情報を入力。(ログ出力環境のセットアップ、セキュリティポリシーが自動展開されます。)
STEP4
自動作成されたセキュリティポリシーをCloud Load Balancingに関連付けます。