目次
- 1.はじめに
- 2.Google Cloud Armor の特徴
- 3.WafCharm の特徴と価値
- 4.WafCharm for Google Cloud の制限事項
- 5.おわりに
1. はじめに
2021 年 11 月 25 日 WafCharm が Google Cloud Armor に対応しました。WafCharm にとっては AWS , Azure に続き3つ目のプラットフォームとなります。それぞれの純正 WAF においてユーザーの運用課題を解決していきます。本記事では Google Cloud Armor の特徴、 WafCharm の特徴、WafCharm を利用するにあたっての要件を簡単にまとめました。
2.Google Cloud Armor の特徴
ModSecurity Core Rule Set 3.0.2 (CRS)を利用して始めから多数のルールが用意された状態から必要なルールを選択し、適用することができます。ルールを初めから作ることはセキュリティエンジニア等のセキュリティのスペシャリストがいない場合、大変難しいものです。ユーザーはルールの中から必要なものを設定するだけで導入可能です。
Google Cloud Load Balancing と紐づけて使うこのとのできるサービスであり、元から Google Cloud Load Balancing を利用していたのであれば GUI で簡単に紐付けでき、利用開始することができるのも大きな特徴です。Google Cloud Load Balancing の CDN 機能を有効にしたからといって WAF 側で特別な設定は必要がないというのはエンジニアにとっても魅力的に感じられるのではないでしょうか。
3. WafCharm の特徴と価値
WafCharm はプロジェクト毎に適用可能な 20 個のルール枠を利用して、CRS のルールとWafCharm 独自のルールを組み合わせ、自動で運用していきます。WafCharm をお使いの場合、特定のパス( URI )をルールから除外するなどお客様環境に合わせたカスタマイズでセキュリティの低下を最小限に抑えた対応等を受けることが可能です。
またブラックリスト IP アドレスを自動で更新する機能も存在します。アクセスログを利用した再チェック処理を行うことにより、再チェックにマッチしたIPアドレスがブラックリストに登録され、よりセキュリティを強固なものにします。さらに弊社のお客様から集めた情報から統計的に判断した、悪意のある通信を行う IP アドレスを利用することもできます。重要度の高いルールを前面に配備し、細かい脆弱性やディレクトリトラバーサルなどを裏側でキャッチしてサイバー攻撃の標的となる前に危険な IP を遮断します。沢山の IP アドレスを設定可能であるという Google Cloud Armor のケイパビリティを手放しで有効活用できます。
WafCharm for Google Cloud は AWS 版と比較すると、メールでの通知機能や月次レポート機能はございませんが、Google Cloud Logging を利用してリアルタイムに攻撃状況を閲覧できます。
4.WafCharm for Google Cloud の制限事項
・適用できるルール数の制限がプロジェクト毎に設定されるという Google Cloud の仕様があるため、1つのプロジェクト内に複数のセキュリティポリシーがある環境への導入は推奨しません。
・レポート機能/通知機能は提供しておりません。ご自身で Cloud Logging を活用してアクセス状況を監視していただく必要がございます。
5.おわりに
WafCharm for Google Cloud、AWS 版、Azure 版ともにトライアルから有償までご利用可能ですので、是非ご検討ください。