Loading...
Back

WAF Configの設定方法 (GCP)

Google CloudOld PlanNew PlanLegacyUsage

概要

Google Cloud Platform (GCP) 向けのWAF Configの設定方法を説明します。

WAF Configでは、WafCharmを利用するSecurity Policyとポリシーログの情報を登録します。

WAF Configを設定すると、WafCharmルールをSecurity Policyに投入できるようになり、かつポリシーログを取得できるようになります。

以降の手順では、WafCharmからお客様のGoogle Cloud上のリソースにアクセスできるよう、Service Account Keyなどの値を入力する箇所と、アクセスログを取得するための設定を行う必要があります。

Google Cloudにて事前に必要な権限を付与したロールの作成と、アクセスログが取得できるような設定を行っておくと、とスムーズに進行できます。

  • 必要な権限 (GCP)
  • ログルーターシンクの設定方法

注意事項

  • バックエンドポリシーが紐づいていない場合、エラーとなり設定に失敗します。
  • WAF Config設定後、WafCharmルールを投入します。ルールはプレビューモードで投入されますので、遮断モードに切り替えたい場合はGoogle Cloud Platformの画面からプレビューモードを無効化してください。

    参考:ルールアクションの変更方法 (GCP)

設定手順

  1. WafCharmコンソールを開く
  2. 左メニューの [WAF] をクリックする
  3. [WAF Config] 枠の右上にある「新規登録」をクリックする
  4. [Security Policy Name] を入力する

    対象の Security Policy 名を入力してください。

  5. [Service Account Key] を入力する

    サービスアカウントで発行したキーを JSON 形式で入力してください。詳細は 必要な権限 (GCP) をご確認ください。

  6. 次のステップに進み、ルール設定にて適宜各種ルールの設定を行う

    後から設定を変更することも可能です。

    • Allowlist:登録したIPアドレスからのリクエストを許可します。
    • Denylist:登録したIPアドレスからのリクエストを遮断します。
    • Deny例外リスト:Denylistに登録したくないIPアドレスを指定します。
      • WafCharmには、お客様から提供されるアクセスログに対して再マッチングをし、動的にIPアドレスをDenylistに追加する機能を提供しています。リクエストがシグネチャにマッチした際にIPアドレスがDenylistに登録される仕組みとなりますので、もしお客様管理のIPアドレスなどで、他のWafCharmルールでは検査したいが、Denylistには登録したくないものがある場合には、あらかじめ例外設定を行うことで、そのIPアドレスがDenylistに登録されてしまうことを回避できます。
    • Denylist Option:DenylistのモードとON/OFFを切り替えます。

      BLOCK: ブラックリストのルールアクションがブロックになります。

      PREVIEW: ブラックリストのルールアクションがプレビューになります。

      DISABLE: ブラックリストが無効になります。

      ※ブラックリストルール以外のアクションには影響しません。

  7. 次のステップに進み、[Log Routing Sink Name] を入力する

    WafCharmとポリシーログを共有するための設定です。詳細は ログルーターシンクの設定方法 をご確認ください。

  8. 次のステップに進み、 [登録] ボタンをクリックする

ログルーターシンクの設定方法

※Google Cloudの更新により画面や項目に違いがある場合には、Google Cloudの公式ドキュメントをご参考ください。

  1. Google Cloudを開く
  2. WafCharmを利用するセキュリティポリシーを開く
  3. [ログ] をクリックする
  4. [ポリシーログを表示] をクリックする
  5. 左のメニューから [ログルーター] をクリックする
  6. [シンクの作成] をクリックする
  7. [シンク名] を入力する

    この手順で登録したシンク名は、Security Policy Configにて使用します。

  8. シンクサービスに [Loggingバケット] を選択する
  9. [新しいログバケットを作成] をクリックする
  10. バケットの名前を入力し、リージョンに [global] を選択する
  11. [シンクに含めるログの選択] にて以下の内容を入力する

    resource.type = http_load_balancer AND resource.labels.backend_service_name = "バックエンドサービス名"

    ※[バックエンドサービス名] にはWafCharm に登録する Google Cloud Armor に紐づく対象を入力してください

    [ポリシーの詳細] の画面にある、[ターゲット] の箇所をクリックするとバックエンドサービスのターゲット名が記載されています。

  12. [シンクを作成] をクリックする

編集方法

登録済みのWAF Configを編集する場合は、以下の手順で行ってください。

  1. 左メニューから [WAF] をクリック
  2. 編集したいWAF Configの行をクリック
  3. 右上の [編集] ボタンをクリック
  4. 変更したい項目を調整し、[登録] ボタンをクリック

    編集を行う際、左側に表示される以下3つの項目をクリックして、変更したい設定画面へ遷移できます。

    • 基本設定
    • ルール設定
    • ログ設定

削除方法

WAF Configを削除する場合は、以下の順序で行ってください。

  1. WAF Configを削除
    1. 左メニューから [WAF] をクリック
    2. 削除したいWAF Configの行をクリック
    3. 右下の [削除] ボタンをクリック
    4. [本当に削除しますか?] というポップアップが表示されるので、 [削除] をクリックする
  2. Google Cloud上のリソースを削除