Menerapkan Kecerdasan Ancaman

Google Cloud Armor Threat Intelligence memungkinkan pelanggan Google Cloud Armor Enterprise mengamankan traffic mereka dengan mengizinkan atau memblokir traffic ke Load Balancer Aplikasi eksternal mereka berdasarkan beberapa kategori data intelijen ancaman. Data Threat Intelligence dibagi menjadi kategori berikut:

  • Node keluar Tor: Tor adalah software open source yang memungkinkan komunikasi anonim. Untuk mengecualikan pengguna yang menyembunyikan identitasnya, blokir alamat IP node keluar Tor (titik tempat traffic keluar dari jaringan Tor).
  • Alamat IP berbahaya yang diketahui: Alamat IP yang perlu diblokir untuk meningkatkan postur keamanan aplikasi Anda karena serangan terhadap aplikasi web diketahui berasal dari sana.
  • Mesin telusur: Alamat IP yang dapat Anda izinkan untuk mengaktifkan pengindeksan situs.
  • Penyedia VPN: Alamat IP yang digunakan oleh penyedia VPN dengan reputasi rendah. Kategori ini dapat diblokir untuk menolak upaya mengakali aturan berbasis alamat IP.
  • Proxy anonim: Alamat IP yang digunakan oleh proxy anonim yang diketahui.
  • Penambang kripto: Alamat IP yang digunakan oleh situs penambangan mata uang kripto yang dikenal.
  • Rentang alamat IP cloud publik: Kategori ini dapat diblokir untuk menghindari alat otomatis berbahaya menjelajahi aplikasi web atau diizinkan jika layanan Anda menggunakan cloud publik lainnya.

Untuk menggunakan Threat Intelligence, Anda menentukan aturan kebijakan keamanan yang mengizinkan atau memblokir traffic berdasarkan beberapa atau semua kategori ini dengan menggunakan ekspresi pencocokan evaluateThreatIntelligence bersama dengan nama feed yang mewakili salah satu kategori sebelumnya. Selain itu, Anda harus berlangganan Cloud Armor Enterprise. Untuk mengetahui informasi selengkapnya tentang Cloud Armor Enterprise, lihat ringkasan Cloud Armor Enterprise.

Mengonfigurasi Kecerdasan Ancaman

Untuk menggunakan Threat Intelligence, Anda mengonfigurasi aturan kebijakan keamanan menggunakan ekspresi pencocokan evaluateThreatIntelligence('FEED_NAME'), yang memberikan FEED_NAME berdasarkan kategori yang ingin Anda izinkan atau blokir. Informasi dalam setiap feed terus diperbarui, sehingga melindungi layanan dari ancaman baru tanpa langkah konfigurasi tambahan. Argumen yang valid adalah sebagai berikut.

Nama feed Deskripsi
iplist-tor-exit-nodes Mencocokkan alamat IP node keluar Tor
iplist-known-malicious-ips Mencocokkan alamat IP yang diketahui menyerang aplikasi web
iplist-search-engines-crawlers Mencocokkan alamat IP crawler mesin telusur
iplist-vpn-providers Mencocokkan rentang alamat IP yang digunakan oleh penyedia VPN dengan reputasi rendah
iplist-anon-proxies Mencocokkan rentang alamat IP yang termasuk dalam proxy anonim terbuka
iplist-crypto-miners Mencocokkan rentang alamat IP yang termasuk dalam situs penambangan kripto
iplist-cloudflare Mencocokkan rentang alamat IPv4 dan IPv6 dari layanan proxy Cloudflare
iplist-fastly Mencocokkan rentang alamat IP layanan proxy Fastly
iplist-imperva Mencocokkan rentang alamat IP layanan proxy Imperva
iplist-public-clouds
  • iplist-public-clouds-aws
  • iplist-public-clouds-azure
  • iplist-public-clouds-gcp
Mencocokkan alamat IP yang dimiliki oleh cloud publik
  • Mencocokkan rentang alamat IP yang digunakan oleh Amazon Web Services
  • Mencocokkan rentang alamat IP yang digunakan oleh Microsoft Azure
  • Mencocokkan rentang alamat IP yang digunakan oleh Google Cloud

Anda dapat mengonfigurasi aturan kebijakan keamanan baru menggunakan perintah gcloud berikut, dengan FEED_NAME dari tabel sebelumnya dan ACTION seperti allow, deny, atau throttle. Untuk informasi selengkapnya tentang tindakan aturan, lihat jenis kebijakan.

gcloud compute security-policies rules create 1000 \
    --security-policy=NAME \
    --expression="evaluateThreatIntelligence('FEED_NAME')" \
    --action="ACTION"

Jika ingin mengecualikan alamat IP atau rentang alamat IP yang mungkin diblokir oleh Threat Intelligence dari evaluasi, Anda dapat menambahkan alamat ke daftar pengecualian menggunakan ekspresi berikut, dengan mengganti ADDRESS dengan alamat atau rentang alamat yang ingin Anda kecualikan.

evaluateThreatIntelligence('iplist-known-malicious-ips', ['ADDRESS'])

Menggunakan daftar alamat IP yang telah diberi nama

Daftar alamat IP bernama Google Cloud Armor memungkinkan Anda mereferensikan daftar alamat IP dan rentang IP yang dikelola oleh penyedia pihak ketiga. Anda dapat mengonfigurasi daftar alamat IP bernama dalam kebijakan keamanan. Anda tidak perlu menentukan setiap alamat IP atau rentang IP secara manual.

Dalam dokumen ini, istilah alamat IP dan daftar alamat IP mencakup rentang alamat IP.

Daftar alamat IP bernama adalah daftar alamat IP yang dikelompokkan berdasarkan nama yang berbeda. Nama biasanya mengacu pada penyedia. Daftar alamat IP yang dinamai tidak tunduk pada batas kuota jumlah alamat IP per aturan.

Daftar alamat IP bernama bukan kebijakan keamanan. Anda menggabungkannya ke dalam kebijakan keamanan dengan mereferensikannya sebagai ekspresi dengan cara yang sama seperti mereferensikan aturan yang telah dikonfigurasi sebelumnya.

Misalnya, jika penyedia pihak ketiga memiliki daftar alamat IP {ip1, ip2, ip3....ip_N_} dengan nama provider-a, Anda dapat membuat aturan keamanan yang mengizinkan semua alamat IP yang ada dalam daftar provider-a dan mengecualikan alamat IP yang tidak ada dalam daftar tersebut:

gcloud beta compute security-policies rules create 1000 \
    --security-policy POLICY_NAME \
    --expression "evaluatePreconfiguredExpr('provider-a')" \
    --action "allow"

Anda tidak dapat membuat daftar alamat IP bernama kustom Anda sendiri. Fitur ini hanya tersedia sehubungan dengan daftar alamat IP bernama yang dikelola oleh penyedia pihak ketiga yang berpartner dengan Google. Jika daftar alamat IP bernama tersebut tidak memenuhi kebutuhan Anda, Anda dapat membuat kebijakan keamanan dengan aturan yang mengizinkan atau menolak akses ke resource berdasarkan alamat IP tempat permintaan berasal. Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi kebijakan keamanan Google Cloud Armor.

Untuk menggunakan daftar alamat IP yang dinamai, Anda harus berlangganan Google Cloud Armor Enterprise dan mendaftarkan project di Cloud Armor Enterprise. Untuk mengetahui informasi selengkapnya, lihat Ketersediaan daftar alamat IP bernama.

Mengizinkan traffic hanya dari penyedia pihak ketiga yang diizinkan

Kasus penggunaan yang umum adalah membuat daftar yang diizinkan yang berisi alamat IP partner pihak ketiga yang diizinkan untuk memastikan bahwa hanya traffic yang berasal dari partner ini yang dapat mengakses load balancer dan backend.

Misalnya, penyedia CDN perlu mengambil konten dari server origin secara berkala untuk mendistribusikannya ke cache mereka sendiri. Kemitraan dengan Google menyediakan koneksi langsung antara penyedia CDN dan edge jaringan Google. Pengguna CDN di Google Cloud dapat menggunakan koneksi langsung ini selama pengambilan origin. Dalam hal ini, pengguna CDN mungkin ingin membuat kebijakan keamanan yang hanya mengizinkan traffic yang berasal dari penyedia CDN tertentu tersebut.

Dalam contoh ini, penyedia CDN memublikasikan daftar alamat IP-nya 23.235.32.0/20, 43.249.72.0/22, ⋯,. Pengguna CDN mengonfigurasi aturan keamanan yang hanya mengizinkan traffic yang berasal dari alamat IP ini. Akibatnya, dua titik akses penyedia CDN diizinkan (23.235.32.10 dan 43.249.72.10) sehingga traffic-nya diizinkan. Traffic dari titik akses tidak sah 198.51.100.1 diblokir.

Alamat IP bernama Google Cloud Armor.
Alamat IP bernama Google Cloud Armor (klik untuk memperbesar).

Menyederhanakan konfigurasi dan pengelolaan menggunakan aturan yang telah dikonfigurasi sebelumnya

Penyedia CDN sering menggunakan alamat IP yang terkenal dan harus digunakan oleh banyak pengguna CDN. Daftar ini berubah dari waktu ke waktu, seiring dengan penyedia menambahkan, menghapus, dan memperbarui alamat IP.

Menggunakan daftar alamat IP bernama dalam aturan kebijakan keamanan menyederhanakan proses konfigurasi dan pengelolaan alamat IP karena Google Cloud Armor secara otomatis menyinkronkan informasi dari penyedia CDN setiap hari. Hal ini menghilangkan proses pemeliharaan daftar alamat IP yang besar secara manual yang memakan waktu dan rentan error.

Berikut adalah contoh aturan yang telah dikonfigurasi sebelumnya yang mengizinkan semua traffic dari penyedia:

evaluatePreconfiguredExpr('provider-a') => allow traffic

Penyedia daftar alamat IP

Penyedia daftar alamat IP dalam tabel berikut didukung untuk Google Cloud Armor. Ini adalah penyedia CDN yang telah berpartner dengan Google. Daftar alamat IP mereka dipublikasikan melalui URL publik masing-masing.

Partner ini menyediakan daftar alamat IPv4 dan alamat IPv6 yang terpisah. Google Cloud Armor menggunakan URL yang disediakan untuk mengambil daftar, lalu mengonversi daftar tersebut menjadi daftar alamat IP bernama. Anda merujuk daftar berdasarkan nama dalam tabel.

Misalnya, kode berikut membuat aturan dalam kebijakan keamanan POLICY_NAME dengan prioritas 750, yang menggabungkan daftar alamat IP bernama dari Cloudflare dan mengizinkan akses dari alamat IP tersebut:

gcloud beta compute security-policies rules create 750 \
    --security-policy POLICY_NAME \
    --expression "evaluatePreconfiguredExpr('sourceiplist-cloudflare')" \
    --action "allow"
Penyedia URL Nama daftar alamat IP
Fastly https://api.fastly.com/public-ip-list sourceiplist-fastly
Cloudflare

https://www.cloudflare.com/ips-v4

https://www.cloudflare.com/ips-v6

sourceiplist-cloudflare
Imperva

https://my.imperva.com/api/integration/v1/ips

Akses ke daftar Imperva memerlukan permintaan POST. Anda juga dapat menggunakan perintah berikut:

curl -d "" https://my.imperva.com/api/integration/v1/ips

sourceiplist-imperva

Untuk mencantumkan daftar alamat IP bernama yang telah dikonfigurasi sebelumnya, gunakan perintah gcloud CLI ini:

gcloud compute security-policies list-preconfigured-expression-sets \
    --filter="id:sourceiplist"

Tindakan ini akan menampilkan:

EXPRESSION_SET
sourceiplist-fastly
sourceiplist-cloudflare
sourceiplist-imperva

Menyinkronkan daftar alamat IP

Google Cloud Armor menyinkronkan daftar alamat IP dengan setiap penyedia hanya saat mendeteksi perubahan dalam format yang valid. Google Cloud Armor melakukan validasi sintaksis dasar pada alamat IP di semua daftar.

Ketersediaan daftar alamat IP yang telah diberi nama

Google Cloud Armor Enterprise tersedia secara umum. Ketersediaan daftar alamat IP bernama dari pihak ketiga adalah sebagai berikut:

  1. Jika berlangganan paket Google Cloud Armor Enterprise, Anda memiliki lisensi untuk menggunakan daftar alamat IP bernama dalam project yang terdaftar. Anda dapat membuat, memperbarui, dan menghapus aturan dengan daftar alamat IP yang diberi nama.
  2. Jika langganan tingkat Google Cloud Armor Enterprise Anda berakhir, atau Anda kembali ke tingkat Standard, Anda tidak dapat menambahkan atau mengubah aturan dengan daftar alamat IP bernama, tetapi Anda dapat menghapus aturan yang ada dan memperbarui aturan untuk menghapus daftar IP bernama.
  3. Untuk project yang sudah menyertakan aturan dengan daftar alamat IP bernama dan yang tidak Anda daftarkan ke Google Cloud Armor Enterprise, Anda dapat terus menggunakan, memperbarui, dan menghapus aturan yang ada dengan daftar alamat IP bernama. Dalam project tersebut, Anda dapat membuat aturan baru yang menggabungkan daftar alamat IP yang dinamai.

Langkah selanjutnya