Google Cloud Armor consente di proteggere i deployment Google Cloud da vari tipi di minacce, tra cui attacchi DDoS (Distributed Denial-of-Service) e attacchi alle applicazioni come il cross-site scripting (XSS) e SQL injection (SQLi). Google Cloud Armor offre alcune protezioni automatiche e altre da configurare manualmente. Questo documento fornisce una panoramica generale di queste funzionalità, molte delle quali sono disponibili solo per gli Application Load Balancer esterni globali e gli Application Load Balancer classici.
Criteri di sicurezza
Utilizza i criteri di sicurezza di Google Cloud Armor per proteggere le applicazioni in esecuzione dietro un bilanciatore del carico da attacchi DDoS (Distributed Denial-of-Service) e altri attacchi basati sul web, che sia il deployment delle applicazioni su Google Cloud, in un deployment ibrido o in un'architettura multi-cloud. I criteri di sicurezza possono essere configurati manualmente, con condizioni di corrispondenza e azioni configurabili in un criterio di sicurezza. Google Cloud Armor offre inoltre criteri di sicurezza preconfigurati, che coprono un'ampia gamma di casi d'uso. Per maggiori informazioni, consulta la panoramica dei criteri di sicurezza di Google Cloud Armor.
Linguaggio regole
Google Cloud Armor consente di definire regole prioritarie con condizioni di corrispondenza e azioni configurabili in un criterio di sicurezza. Una regola diventa effettiva, ovvero viene applicata l'azione configurata se si tratta della regola con priorità più alta i cui attributi corrispondono a quelli della richiesta in arrivo. Per maggiori informazioni, consulta Riferimento al linguaggio delle regole personalizzate di Google Cloud Armor.
Regole WAF preconfigurate
Le regole WAF preconfigurate di Google Cloud Armor sono regole WAF (Web Application Firewall) complesse con decine di firme compilate a partire da standard di settore open source. Ogni firma corrisponde a una regola di rilevamento degli attacchi nel set di regole. Google offre queste regole così come sono. Le regole consentono a Google Cloud Armor di valutare decine di firme di traffico distinte facendo riferimento a regole denominate in modo pratico, anziché richiedere la definizione manuale di ciascuna firma.
Le regole preconfigurate di Google Cloud Armor aiutano a proteggere le applicazioni e i servizi web dagli attacchi comuni da internet e a mitigare i 10 principali rischi di OWASP. L'origine della regola è ModSecurity Core Rules Set 3.3.2 (CRS).
Queste regole preconfigurate possono essere ottimizzate per disattivare firme rumoroso o comunque non necessarie. Per maggiori informazioni, consulta Ottimizzazione delle regole WAF di Google Cloud Armor.
Google Cloud Armor Enterprise
Cloud Armor Enterprise è il servizio gestito di protezione delle applicazioni che contribuisce a proteggere le tue applicazioni e i tuoi servizi web da attacchi DDoS (Distributed Denial-of-Service) e altre minacce Internet. Cloud Armor Enterprise dispone di protezioni sempre attive per il bilanciatore del carico e ti dà accesso alle regole WAF.
La protezione DDoS viene fornita automaticamente per i bilanciatori del carico delle applicazioni esterni globali, gli Application Load Balancer classici e i bilanciatori del carico di rete proxy esterni, indipendentemente dal livello. Sono supportati i protocolli HTTP, HTTPS, HTTP/2 e QUIC. Inoltre, gli abbonati a Cloud Armor Enterprise possono accedere ai dati di telemetria sulla visibilità degli attacchi DDoS.
Per ulteriori informazioni, consulta la panoramica di Cloud Armor Enterprise.
Threat Intelligence
Google Cloud Armor Threat Intelligence consente di proteggere il traffico consentendo o bloccando il traffico verso i bilanciatori del carico delle applicazioni esterni globali e i bilanciatori del carico delle applicazioni classici in base a diverse categorie di dati di threat intelligence. Per ulteriori informazioni su Threat Intelligence, consulta la pagina relativa alla configurazione delle funzionalità di Threat Intelligence.
Adaptive Protection di Google Cloud Armor
Adaptive Protection ti aiuta a proteggere le applicazioni e i servizi dagli attacchi DDoS (Distributed Denial-of-Service) L7 analizzando i pattern di traffico verso i tuoi servizi di backend, rilevando e notificando gli attacchi sospetti e generando regole WAF suggerite per mitigare tali attacchi. Queste regole possono essere ottimizzate per soddisfare le tue esigenze. Adaptive Protection può essere abilitato in base ai criteri di sicurezza, ma richiede un abbonamento a Cloud Armor Enterprise attivo nel progetto.
Per maggiori informazioni, consulta la panoramica di Google Cloud Armor Adaptive Protection.
Protezione DDoS di rete avanzata
La protezione DDoS di rete avanzata offre protezioni aggiuntive per gli abbonati a Managed Protection Plus che utilizzano bilanciatori del carico di rete, forwarding del protocollo o VM con indirizzi IP pubblici. La protezione DDoS di rete avanzata offre monitoraggio e avviso sempre attivi degli attacchi, mitigazioni degli attacchi mirati e telemetria di mitigazione. Per ulteriori informazioni, consulta Configurare la protezione DDoS di rete avanzata.
Come funziona Google Cloud Armor
Google Cloud Armor offre protezione DDoS sempre attiva contro attacchi DDoS volumetrici sulla rete o basati su protocolli. Questa protezione riguarda applicazioni o servizi dietro bilanciatori del carico. È in grado di rilevare e mitigare gli attacchi di rete per consentire solo le richieste ben strutturate tramite i proxy di bilanciamento del carico. I criteri di sicurezza applicano criteri di filtro personalizzati di livello 7, tra cui regole WAF preconfigurate che mitigano i primi 10 rischi di vulnerabilità delle applicazioni web OWASP. Puoi collegare i criteri di sicurezza ai servizi di backend dei seguenti bilanciatori del carico:
- Bilanciatore del carico delle applicazioni esterno globale
- Bilanciatore del carico delle applicazioni esterno regionale
- Bilanciatore del carico delle applicazioni classico
- Bilanciatore del carico di rete proxy esterno
- Bilanciatore del carico di rete passthrough esterno
I criteri di sicurezza di Google Cloud Armor ti consentono di consentire o negare l'accesso al tuo deployment a livello perimetrale di Google Cloud, il più vicino possibile all'origine del traffico in entrata. In questo modo si impedisce che il traffico indesiderato consuma risorse o entri nelle reti Virtual Private Cloud (VPC).
Il seguente diagramma illustra la località dei bilanciatori del carico delle applicazioni esterni globali, degli Application Load Balancer classici, della rete Google e dei data center di Google.
Puoi utilizzare alcune di queste funzionalità o tutte per proteggere la tua applicazione. Puoi utilizzare i criteri di sicurezza per trovare corrispondenze con condizioni note, creare regole WAF per proteggerti da attacchi comuni come quelli presenti nel ModSecurity Core Rules Set 3.3.2 e utilizzare le protezioni integrate di Google Cloud Armor Enterprise contro gli attacchi DDoS.
Passaggi successivi
- Esamina i casi d'uso comuni di Google Cloud Armor
- Scopri di più su Google Cloud Armor Enterprise
- Scopri di più su Google Cloud Armor Adaptive Protection