Google Cloud Armor membantu Anda melindungi deployment Google Cloud dari berbagai jenis ancaman, termasuk serangan distributed denial-of-service (DDoS) dan serangan aplikasi seperti pembuatan skrip lintas situs (XSS) dan injeksi SQL (SQLi). Google Cloud Armor memiliki beberapa perlindungan otomatis dan beberapa perlindungan yang perlu Anda konfigurasi secara manual. Dokumen ini memberikan ringkasan umum tentang fitur ini, beberapa di antaranya hanya tersedia untuk Load Balancer Aplikasi eksternal global dan Load Balancer Aplikasi klasik.
Kebijakan keamanan
Gunakan kebijakan keamanan Google Cloud Armor untuk melindungi aplikasi yang berjalan di belakang load balancer dari serangan distributed denial of service (DDoS) dan serangan berbasis web lainnya, baik aplikasi di-deploy di Google Cloud, dalam deployment hybrid, maupun dalam arsitektur multi-cloud. Kebijakan keamanan dapat dikonfigurasi secara manual, dengan kondisi dan tindakan pencocokan yang dapat dikonfigurasi dalam kebijakan keamanan. Google Cloud Armor juga memiliki kebijakan keamanan yang telah dikonfigurasi sebelumnya, yang mencakup berbagai kasus penggunaan. Untuk mengetahui informasi selengkapnya, lihat ringkasan kebijakan keamanan Google Cloud Armor.
Bahasa aturan
Google Cloud Armor memungkinkan Anda menentukan aturan prioritas dengan kondisi dan tindakan cocok yang dapat dikonfigurasi dalam kebijakan keamanan. Aturan akan diterapkan, yang berarti tindakan yang dikonfigurasi akan diterapkan, jika aturan tersebut adalah aturan prioritas tertinggi yang atributnya cocok dengan atribut permintaan yang masuk. Untuk informasi selengkapnya, lihat Referensi bahasa aturan kustom Google Cloud Armor.
Aturan WAF yang telah dikonfigurasi sebelumnya
Aturan WAF yang telah dikonfigurasi sebelumnya di Google Cloud Armor adalah aturan firewall aplikasi web (WAF) yang kompleks dengan puluhan tanda tangan yang dikompilasi dari standar industri open source. Setiap tanda tangan sesuai dengan aturan deteksi serangan dalam kumpulan aturan. Google menawarkan aturan ini apa adanya. Aturan ini memungkinkan Google Cloud Armor mengevaluasi puluhan tanda tangan traffic yang berbeda dengan merujuk ke aturan yang diberi nama dengan mudah, bukan mengharuskan Anda menentukan setiap tanda tangan secara manual.
Aturan yang telah dikonfigurasi sebelumnya di Google Cloud Armor membantu melindungi aplikasi dan layanan web Anda dari serangan umum dari internet serta membantu memitigasi 10 risiko teratas OWASP. Sumber aturan adalah Kumpulan Aturan Inti ModSecurity 3.3.2 (CRS).
Aturan yang telah dikonfigurasi sebelumnya ini dapat disesuaikan untuk menonaktifkan tanda tangan yang berisi derau atau tidak diperlukan. Untuk mengetahui informasi selengkapnya, lihat Menyesuaikan aturan WAF Google Cloud Armor.
Google Cloud Armor Enterprise
Cloud Armor Enterprise adalah layanan perlindungan aplikasi terkelola yang membantu melindungi aplikasi dan layanan web Anda dari serangan distributed denial of service (DDoS) dan ancaman lainnya dari internet. Cloud Armor Enterprise menampilkan perlindungan yang selalu aktif untuk load balancer, dan memberi Anda akses ke aturan WAF.
Perlindungan DDoS secara otomatis disediakan untuk Load Balancer Aplikasi eksternal global, Load Balancer Aplikasi klasik, dan Load Balancer Jaringan proxy eksternal, terlepas dari tingkatnya. Protokol HTTP, HTTPS, HTTP/2, dan QUIC semuanya didukung. Selain itu, pelanggan Cloud Armor Enterprise dapat Mengakses telemetri visibilitas serangan DDoS.
Untuk informasi selengkapnya, lihat Ringkasan Cloud Armor Enterprise.
Kecerdasan Ancaman
Intelijen Ancaman Google Cloud Armor memungkinkan Anda mengamankan traffic dengan mengizinkan atau memblokir traffic ke Load Balancer Aplikasi eksternal global dan Load Balancer Aplikasi klasik berdasarkan beberapa kategori data intelijen ancaman. Untuk informasi selengkapnya tentang Threat Intelligence, lihat Mengonfigurasi fitur Threat Intelligence.
Google Cloud Armor Adaptive Protection
Adaptive Protection membantu Anda melindungi aplikasi dan layanan dari serangan denial of service (DDoS) lapisan 7 dengan menganalisis pola traffic ke layanan backend, mendeteksi dan memberikan pemberitahuan tentang serangan yang dicurigai, serta membuat aturan WAF yang disarankan untuk memitigasi serangan tersebut. Aturan ini dapat disesuaikan untuk memenuhi kebutuhan Anda. Adaptive Protection dapat diaktifkan berdasarkan kebijakan keamanan, tetapi memerlukan langganan Cloud Armor Enterprise yang aktif di project.
Untuk mengetahui informasi selengkapnya, lihat ringkasan Perlindungan Adaptif Google Cloud Armor.
Perlindungan DDoS jaringan tingkat lanjut
Perlindungan DDoS jaringan lanjutan memberikan perlindungan tambahan bagi pelanggan Managed Protection Plus yang menggunakan load balancer jaringan, penerusan protokol, atau VM dengan alamat IP publik. Perlindungan DDoS jaringan tingkat lanjut menyediakan pemantauan dan pemberitahuan serangan yang selalu aktif, mitigasi serangan yang ditargetkan, dan telemetri mitigasi. Untuk informasi selengkapnya, lihat Mengonfigurasi perlindungan DDoS jaringan lanjutan.
Cara kerja Google Cloud Armor
Google Cloud Armor memberikan perlindungan DDoS yang selalu aktif terhadap serangan DDoS volumetrik berbasis jaringan atau protokol. Perlindungan ini ditujukan untuk aplikasi atau layanan di belakang load balancer. Fitur ini dapat mendeteksi dan mengurangi serangan jaringan untuk hanya mengizinkan permintaan yang dibuat dengan baik melalui proxy load balancing. Kebijakan keamanan menerapkan kebijakan pemfilteran Lapisan 7 kustom, termasuk aturan WAF yang telah dikonfigurasi sebelumnya yang mengurangi 10 risiko kerentanan aplikasi web teratas OWASP. Anda dapat melampirkan kebijakan keamanan ke layanan backend load balancer berikut:
- Load Balancer Aplikasi eksternal global
- Load Balancer Aplikasi eksternal regional
- Load Balancer Aplikasi Klasik
- Load Balancer Jaringan proxy eksternal
- Load Balancer Jaringan passthrough eksternal
Kebijakan keamanan Google Cloud Armor memungkinkan Anda mengizinkan atau menolak akses ke deployment di edge Google Cloud, sedekat mungkin dengan sumber traffic masuk. Hal ini mencegah traffic yang tidak diinginkan menggunakan resource atau memasuki jaringan Virtual Private Cloud (VPC) Anda.
Diagram berikut menggambarkan lokasi Load Balancer Aplikasi eksternal global, Load Balancer Aplikasi klasik, jaringan Google, dan pusat data Google.
Anda dapat menggunakan beberapa atau semua fitur ini untuk melindungi aplikasi Anda. Anda dapat menggunakan kebijakan keamanan untuk mencocokkan dengan kondisi yang diketahui, membuat aturan WAF untuk melindungi dari serangan umum seperti yang ditemukan di Kumpulan Aturan Inti ModSecurity 3.3.2, dan menggunakan perlindungan bawaan Google Cloud Armor Enterprise terhadap serangan DDoS.
Langkah selanjutnya
- Memeriksa kasus penggunaan umum untuk Google Cloud Armor
- Pelajari Google Cloud Armor Enterprise
- Pelajari Perlindungan Adaptif Google Cloud Armor