オルタナティブ・ブログ > Mostly Harmless >

IT技術についてのトレンドや、ベンダーの戦略についての考察などを書いていきます。

Google Cloud Armorでセキュリティはインフラ化する

»

GoogleがGCP用のセキュリティオプション「Cloud Armor」を発表しました。DDoS攻撃などに対抗できるとのことです。

ロードバランサーにDDoS防御システムやIPアドレスでのアクセス制御を組み込む「Cloud Armor」がGoogle Cloud Platformで提供開始

ただ、ベータ版のためか、どのようにしてDDoSに対抗するのかについて、Googleのサイトを見てみても、あまり詳しい情報はありません。それによると、主な特徴として以下の点が上げられています。

  • Global HTTP(S) Load Balancerと協働して、インフラを狙うDDoS攻撃に対抗
  • ホワイトリスト/ブラックリストを使ってトラフィックを制限
  • XSSやSQLインジェクションを防ぐことができる柔軟なルール言語(アルファ版)
  • パートナーとのエコシステム

ロードバランサーのサービスは以前からあるようですから、今回新しいのは、ロードバランサーにホワイトリスト/ブラックリストを組み合わせた点にあるということでしょうか。ルール言語はもう少し高度な感じがします(WAFみたいな機能でしょうか)が、アルファ版のため、限られたユーザーにしか提供されないようです。

computer_antivirus2.png

さらに高度なセキュリティ対策も

もうひとつの注目が、XSS(クロスサイトスクリプティング)やSQLインジェクションを防ぐことができるという点です。これらの攻撃はOSIモデルの上位層を使った攻撃で、通常のファイアウォールでは防御できないためWAF(Web Application Firewall)が必要になりますが、その機能を統合した、ということでしょう。

広がるCDNでのセキュリティ対策

最近、Googleに限らず、CDNサービスでDDoS対抗やWAF機能を提供するなどの動きが広がっています。

Kona Site Defender

Limelight Cloud Security Services

Googleの今回のサービスもCloud CDNをベースにしているようですから、このカテゴリに入るのではないかと思いますが、CDNというのは大量のキャッシュサーバーから構成されており、DDoS攻撃を受けた場合でも負荷を分散できるため、本質的にDDoSに対して強い、という特徴があるのだそうです。ロードバランサが絡んでいるのも、それが理由なのでしょう。

それに加えて、ホワイトリスト/ブラックリストによってアクセスしてくる地域やIPアドレスを制限することでさらにトラフィックを削減すれば、DDoS攻撃によってサーバーがダウンすることを回避できるというわけです。AkamaiやLimelightなどのCDN専業ベンダーでは、CDN内にスクラブ(洗浄)センターを配置したり、トラフィックの振る舞いを解析して遮断するなど、さらに高度な仕組みが組込まれているようです。この辺がCloud Armorにも組込まれているのかどうかは今のところわかりませんが、似たようなことはやっているのかも知れませんし、今後サポートされるのかも知れません。

セキュリティはCDNで、という時代がくるかも知れない

CDNは元々Webコンテンツをキャッシュしてエンドユーザーがコンテンツに迅速にアクセスできるようにするものでしたが、今後はこういったインフラ的な部分にセキュリティを組み込んでいくのが主流になっていくのでしょう。DDoSなどはわかりやすい例ですが、他のセキュリティソリューションもCDNに組み込むことで管理の手間が省け、セキュリティ強度も上げられることが期待できます。

セキュリティ業界ではだいぶ前からWAFやサンドボックスをクラウド型で提供していますが、IPS/IDSやWAFのルールやシグネチャはクラウドに向いていると考えられます。どこかで何かが起きた場合に瞬時に情報を共有できますし、ルールやシグネチャのアップデート・適用もリアルタイムに行え、エンドユーザー側の管理の手間もかかりません。

クラウドでできることはCDNに組み込むことができるわけですから、今後CDNを契約すれば基本的なセキュリティ機能は全てついてくる、という状況になるかも知れません。CDNという通信インフラにセキュリティ機能が含まれるようになれば、ユーザー側がセキュリティに頭を悩ますことは少なくなるでしょう。(無くなりはしないのでしょうが)

Comment(0)