【GoogleCloud入門】ALB に 送信元IPアドレス制限を適用する
概要
- Google Cloud入門の記事 5つ目になります。今回は、ALB (アプリケーション ロードバランサ) に送信元IPアドレス制限を適用する方法を記載します。
- Google Cloudでは、VPC ファイアウォール ルールを使用することで、外部からGoogle Compute Engine (GCE) のVM インスタンスに対する受信トラフィックを制限することが出来ます。しかし、VPC ファイアウォール ルールは、ロードバランサには適用されません(AWSの場合、セキュリティグループをEC2 インスタンス、ロードバランサのどちらにも割り当て可であるため、異なる)。
- ALB (アプリケーション ロードバランサ) の受信トラフィックに、送信元IPアドレス制限を行うには、WAF のサービスである Google Cloud Armor を使用します。
- こちらのドキュメントには、以下の記載があります。
ファイアウォール ルールは GFE プロキシではなく、VM インスタンス レベルで実装されます。Google Cloud ファイアウォール ルールを使用して、トラフィックがロードバランサに到達しないようにすることはできません。グローバル外部アプリケーション ロードバランサと従来のアプリケーション ロードバランサの場合、Google Cloud Armor を使用してこれを実現できます。
ALB に 送信元IPアドレス制限を適用する手順
- ナビゲーション メニューから、「ネットワーク セキュリティ」→「Cloud Armor ポリシー」を選択します。
- 以下の画面が表示されます。「ポリシーの作成」を選択します。
- 以下の画面が表示されます。(デフォルトのルールの状態)
- セキュリティ ポリシーの名前を指定します。
- 名前は、先頭が小文字で、その後に最大 62 文字の小文字、数字、ハイフンで構成します。末尾をハイフンにすることはできません。
- ポリシータイプに、「バックエンド セキュリティ ポリシー」を選択します。
- 範囲を選択します。ロードバランサに合わせて、リージョンを選択しています。
- デフォルトのルール(拒否) は変更しません。
- 「次のステップ」を選択します。続いて、「ルールの追加」を選択します。
- 新しいルールを設定します。条件のモードは、「基本モード」を選択します。
- 基本モードを使用すると、許可リストまたは拒否リスト用に IP アドレスまたは IP 範囲のみが含まれているルールを作成できます。
- 一致に、送信元のIPアドレスあるいはアドレス範囲を記載します。
- アクションに、「許可」を設定します。
- 優先度を 「0」に設定します。
- 「完了」を選択します。
- 右側のパネルに、ルールの概要が表示されます。内容を確認します。
- セキュリティ ポリシーが正しければ、「ポリシーの作成」を選択します。
- セキュリティ ポリシーが作成されました。
- ポリシーを選択し、「ターゲットにポリシーを適用」を選択します。
- 以下の画面が表示されます。
- ターゲットに、ロードバランサのバックエンドを選択します。
- 以下の警告が表示されます。今回はデフォルトのポリシーを置き換えるため、「置き換える」を選択します。
- ターゲットに、セキュリティ ポリシーが適用されました。
- 今回はテスト用に、送信元がオープン(0.0.0.0/0) のファイアウォール ルールがありましたので、テストに不要となり削除しました。
- 許可された送信元のIPアドレスからアクセスを行います。正常にアクセスできました。
- 許可されていない送信元のIPアドレスからアクセスを行います。403 になりました。
https://cloud.google.com/armor/docs/security-policy-overview...