Google Cloud Armor ti aiuta a proteggere i tuoi deployment Google Cloud da diversi tipi di minacce, tra cui DDoS (Distributed Denial-of-Service) e attacchi alle applicazioni come il cross-site scripting (XSS) e SQL iniezione di codice (SQLi). Funzionalità di Google Cloud Armor alcune protezioni automatiche e altre ancora da configurare manualmente. Il presente documento fornisce una panoramica di alto livello di queste funzionalità, molte delle quali sono disponibili solo per i bilanciatori del carico delle applicazioni esterni globali e gli Application Load Balancer classici.
Criteri di sicurezza
Utilizza i criteri di sicurezza di Google Cloud Armor per proteggere le applicazioni in esecuzione un bilanciatore del carico da DDoS (Distributed Denial-of-Service) e altre soluzioni basate degli attacchi, indipendentemente dal fatto che il deployment delle applicazioni venga eseguito su Google Cloud deployment o in un'architettura multi-cloud. I criteri di sicurezza possono essere configurati manualmente, con condizioni di corrispondenza e azioni configurabili in un criterio di sicurezza. Google Cloud Armor offre anche criteri di sicurezza preconfigurati, che coprono per diversi casi d'uso. Per ulteriori informazioni, vedi Panoramica dei criteri di sicurezza di Google Cloud Armor.
Linguaggio regole
Google Cloud Armor consente di definire regole prioritarie con opzioni condizioni e azioni di corrispondenza in un criterio di sicurezza. Una regola ha effetto, nel senso che che l'azione configurata venga applicata, se la regola è quella con priorità più alta. i cui attributi corrispondono a quelli della richiesta in entrata. Per ulteriori informazioni, vedi Riferimento al linguaggio delle regole personalizzate di Google Cloud Armor.
Regole WAF preconfigurate
Le regole WAF preconfigurate di Google Cloud Armor sono WAF (Web Application Firewall) complesse regole con decine di firme compilate da settori open source standard. Ogni firma corrisponde a un rilevamento di attacco in una serie di regole. Google offre queste regole così come sono. Le regole consentono Google Cloud Armor per valutare decine di firme di traffico distinte fare riferimento a regole con nome pratico, invece di dover definire manualmente ciascuna firma.
Le regole preconfigurate di Google Cloud Armor aiutano a proteggere le tue applicazioni web e servizi dagli attacchi più comuni provenienti da internet e contribuire a mitigare I 10 principali rischi OWASP. L'origine della regola è ModSecurity Core Rules Set 3.3.2 (CRS).
Queste regole preconfigurate possono essere ottimizzate per disattivare contenuti rumorosi o altrimenti non necessari firme. Per ulteriori informazioni, vedi Ottimizzazione delle regole WAF di Google Cloud Armor.
Google Cloud Armor Enterprise
Cloud Armor Enterprise è il servizio gestito di protezione delle applicazioni proteggere le applicazioni e i servizi web dagli attacchi Distributed Denial of Service (DDoS) e altre minacce provenienti da internet. Cloud Armor Enterprise offre protezioni sempre attive per il bilanciatore del carico e consente di accedere Regole WAF.
La protezione DDoS viene fornita automaticamente per i bilanciatori del carico delle applicazioni esterni globali, i bilanciatori del carico delle applicazioni classici e i bilanciatori del carico di rete proxy esterni, indipendentemente livello. Sono supportati i protocolli HTTP, HTTPS, HTTP/2 e QUIC. Inoltre, Gli abbonati a Cloud Armor Enterprise possono Accedi ai dati di telemetria sulla visibilità degli attacchi DDoS.
Per ulteriori informazioni, vedi Panoramica di Cloud Armor Enterprise.
Threat Intelligence
Google Cloud Armor Threat Intelligence consente di proteggere autorizzando o bloccando il traffico verso i bilanciatori del carico delle applicazioni esterni globali i bilanciatori del carico delle applicazioni classici basati su diverse categorie di dati di threat intelligence. Per ulteriori informazioni su Threat Intelligence, vedi Configurazione delle funzionalità di Threat Intelligence.
Adaptive Protection di Google Cloud Armor
Adaptive Protection ti aiuta a proteggere applicazioni e servizi da L7 attacchi DDoS (Distributed Denial-of-Service) analizzando i pattern di traffico verso i tuoi servizi di backend, rilevando e notificando gli attacchi sospetti e generare regole WAF suggerite per mitigare tali attacchi. Queste regole possono essere ottimizzati per soddisfare le tue esigenze. Adaptive Protection può essere abilitato dei criteri di sicurezza, ma richiede un'istanza Cloud Armor Enterprise attiva abbonamento nel progetto.
Per ulteriori informazioni, vedi Panoramica di Google Cloud Armor Adaptive Protection.
Protezione DDoS di rete avanzata
La protezione DDoS di rete avanzata offre protezioni aggiuntive Gli abbonati a Managed Protection Plus che usano bilanciatori del carico di rete o VM con indirizzi IP pubblici. Protezione DDoS di rete avanzata fornisce monitoraggio e avviso degli attacchi sempre attivi, mitigazioni di attacchi mirati, e la telemetria di mitigazione. Per ulteriori informazioni, vedi Configurare la protezione DDoS di rete avanzata.
Come funziona Google Cloud Armor
Google Cloud Armor offre protezione DDoS sempre attiva contro la rete attacchi DDoS volumetrici basati su protocollo. Questa protezione riguarda le applicazioni e servizi dietro i bilanciatori del carico. È in grado di rilevare e mitigare attacchi di rete in modo da consentire attraverso il carico solo richieste dei proxy di bilanciamento. I criteri di sicurezza applicano il livello personalizzato 7 criteri di filtraggio, incluse regole WAF preconfigurate che mitigano i 10 principali rischi di vulnerabilità delle applicazioni web OWASP. Puoi collegare i criteri di sicurezza ai servizi di backend dei seguenti bilanciatori del carico:
- Bilanciatore del carico delle applicazioni esterno globale
- Bilanciatore del carico delle applicazioni esterno regionale
- Bilanciatore del carico delle applicazioni classico
- Bilanciatore del carico di rete proxy esterno
- Bilanciatore del carico di rete passthrough esterno
I criteri di sicurezza di Google Cloud Armor ti consentono di consentire o negare l'accesso a il deployment a livello perimetrale di Google Cloud, il più vicino possibile la sorgente del traffico in entrata. In questo modo si impedisce che il traffico indesiderato risorse o l'ingresso nelle reti Virtual Private Cloud (VPC).
Il seguente diagramma illustra la località dei bilanciatori del carico delle applicazioni esterni globali. i bilanciatori del carico delle applicazioni classici, la rete Google e i data center Google.
Puoi utilizzare alcune di queste funzionalità o tutte per proteggere la tua applicazione. Puoi utilizzare criteri di sicurezza per la corrispondenza con condizioni note, creare regole WAF per protegge contro gli attacchi più comuni, come quelli della ModSecurity Core Rules Set 3.3.2, e utilizzare le protezioni integrate di Google Cloud Armor Enterprise contro gli attacchi DDoS.
Passaggi successivi
- Esamina i casi d'uso comuni di Google Cloud Armor
- Scopri di più su Google Cloud Armor Enterprise
- Scopri di più su Google Cloud Armor Adaptive Protection