ロードバランサーにDDoS防御システムやIPアドレスでのアクセス制御を組み込む「Cloud Armor」がGoogle Cloud Platformで提供開始

Googleはクラウドサービス「Google Cloud Platform(GCP)」の顧客向けに、GmailやYouTubeなど自社のサービスで使用しているDDoSの防衛技術を新サービス「Cloud Armor」として公開しました。

Cloud Armor - Denial of Service Defense | Google Cloud
https://cloud.google.com/armor/

Cloud ArmorはGoogleのグローバルなインフラとセキュリティシステムを利用し、インフラやアプリに対するDDoS攻撃を防御するサービス。

Cloud ArmorはGCPのロードバランサーを使用して防御機能を提供します。

また、地理データやIPアドレスに基づいてユーザーのアクセスを制御する機能もベータ版として提供されます。ベータ版のため、アクセスを制御する対象はCDNを除くロードバランサーのみとなっています。

他にもクロスサイトスクリプティングやSQLインジェクションを防御するための設定を標準設定にする予定とのこと。この機能は記事作成時点でアルファ版のため、特定の選ばれた顧客のみの提供。

Cloud ArmorはGCPメニューの「ネットワーキング」項目にある「ネットワークセキュリティ」で設定できます。

Cloud Armorのルール作成画面はこんな感じ。ベータ版のため、タイプは「IPアドレス」しか選択できません。その下にIPアドレスの範囲を入力し、さらに下の「アクション」で入力したIPアドレスからのアクセスを許可するか拒否するかを選択します。「拒否ステータス」では拒否時に相手に通知するステータスを「403(アクセス拒否)」「404(ファイル未検出)」「502(不正なゲートウェイ)」から選択できます。「プレビューのみ」にチェックを入れるとルールを適用せずにログだけ残すようになります。ルールが競合した場合は「優先度」が小さい方が優先されます。

Cloud Armorはベータ版での提供となるため、互換性のない変更が起きる可能性があり、またサービスの品質は保障されません。ベータ版で料金は発生しませんが、将来的にルール1つあたり月額1ドル(約100円)、ルールをまとめて適用するロードバランサーを決める「ポリシー」1つあたり月額5ドル(約520円)、そして100万アクセスごとに0.75ドル(約80円)となるとアナウンスされていました。