Visão geral do produto

O Google Cloud Armor ajuda a proteger as implantações do Google Cloud contra vários tipos de ameaças, incluindo ataques distribuídos de negação de serviço (DDoS) e ataques a aplicativos, como scripting em vários locais (XSS) e injeção de SQL. (SQLi, na sigla em inglês). O Google Cloud Armor apresenta algumas proteções automáticas e algumas que você precisa configurar manualmente. Neste documento, fornecemos uma visão geral de alto nível desses recursos, vários dos quais estão disponíveis apenas para balanceadores de carga de aplicativos externos globais e balanceadores de carga de aplicativos clássicos.

Políticas de segurança

Use as políticas de segurança do Google Cloud Armor para proteger os aplicativos executados por trás de um balanceador de carga contra ataques distribuídos de negação de serviço (DDoS, na sigla em inglês) e outros ataques baseados na Web, sejam eles implantados no Google Cloud, em um ambiente híbrido de implantação ou em uma arquitetura de várias nuvens. As políticas de segurança podem ser configuradas manualmente, com ações e condições de correspondência configuráveis em uma política de segurança. O Google Cloud Armor também apresenta políticas de segurança pré-configuradas, que abrangem vários casos de uso. Para mais informações, consulte a visão geral da política de segurança do Google Cloud Armor.

Linguagem de regras

O Google Cloud Armor permite definir regras priorizadas com ações e condições de correspondência configuráveis em uma política de segurança. Para que uma regra entre em vigor (a ação configurada é aplicada), ela deve ser a regra de prioridade mais alta, ou seja, os atributos dela devem corresponder aos atributos da solicitação recebida. Para mais informações, consulte Referência de linguagem das regras personalizadas do Google Cloud Armor.

Regras pré-configuradas do WAF

As regras WAF pré-configuradas do Google Cloud Armor são regras complexas do firewall de aplicativos da Web (WAF, na sigla em inglês) com dezenas de assinaturas compiladas a partir dos padrões do setor de código aberto. Cada assinatura corresponde a uma regra de detecção de ataque no conjunto de regras. O Google oferece essas regras como estão. Elas permitem que o Google Cloud Armor avalie dezenas de assinaturas de tráfego distintas consultando regras com nomes convenientes, em vez de exigir que você defina cada assinatura manualmente.

As regras pré-configuradas do Google Cloud Armor ajudam a proteger aplicativos e serviços da Web contra ataques comuns da Internet, além de ajudar a reduzir os dez principais riscos do OWASP (em inglês). A origem da regra é Conjunto de regras principais do ModSecurity 3.3.2 (CRS).

Essas regras pré-configuradas podem ser ajustadas para desativar assinaturas com ruído ou desnecessárias. Para mais informações, consulte Como ajustar as regras da WAF do Google Cloud Armor.

Google Cloud Armor Enterprise

O Cloud Armor Enterprise é o serviço de proteção de aplicativos gerenciados que ajuda a proteger seus aplicativos e serviços da Web contra ataques distribuídos de negação de serviço (DDoS) e outras ameaças da Internet. O Cloud Armor Enterprise oferece proteção sempre ativa para seu balanceador de carga e fornece acesso às regras do WAF.

A proteção contra DDoS é fornecida automaticamente para balanceadores de carga de aplicativos externos globais, aplicativos de carga clássicos de aplicativos e balanceadores de carga de rede de proxy externo, independentemente do nível. Os protocolos HTTP, HTTPS, HTTP/2 e QUIC são compatíveis. Além disso, os assinantes do Cloud Armor Enterprise podem acessar a telemetria de visibilidade de ataques DDoS.

Para mais informações, consulte a Visão geral do Cloud Armor Enterprise.

Inteligência contra ameaças

O Google Cloud Armor Threat Intelligence permite que você proteja seu tráfego, permitindo ou bloqueando o tráfego para seus balanceadores de carga de aplicativo globais externos e balanceadores de carga de aplicativo clássicos com base em várias categorias de dados de inteligência de ameaças. Para ver mais informações sobre o Threat Intelligence, consulte Como configurar recursos do Threat Intelligence.

Proteção adaptativa do Google Cloud Armor

A Proteção adaptativa ajuda você a proteger aplicativos e serviços contra ataques distribuídos de negação de serviço (DDoS, na sigla em inglês) L7 analisando padrões de tráfego para seus serviços de back-end, detectando e alertando ataques suspeitos e gerando sugestões Regras WAF para atenuar esses ataques. Essas regras podem ser ajustadas para atender às suas necessidades. A Proteção adaptativa pode ser ativada por política de segurança, mas exige uma assinatura ativa do Cloud Armor Enterprise no projeto.

Para mais informações, consulte a visão geral da Proteção adaptativa do Google Cloud Armor.

Proteção avançada contra DDoS de rede

A proteção avançada contra DDoS de rede oferece proteções adicionais para assinantes do nível Plus da proteção gerenciada que usam balanceadores de carga de rede, encaminhamento de protocolo ou VMs com endereços IP públicos. A proteção avançada contra DDoS de rede oferece monitoramento e alertas de ataque sempre ativados, mitigações de ataques direcionados e telemetria de mitigação. Para mais informações, consulte Configurar a proteção avançada contra DDoS da rede.

Funcionamento do Google Cloud Armor

O Google Cloud Armor fornece proteção DDoS sempre ativa contra ataques volumétricos de DDoS por rede ou por protocolo. Essa proteção é para aplicativos ou serviços por trás de balanceadores de carga. Ela é capaz de detectar e mitigar ataques de rede para permitir apenas solicitações bem-sucedidas por meio dos proxies de balanceamento de carga. As políticas de segurança aplicam políticas de filtragem personalizadas de Camada 7, incluindo regras WAF predefinidas que reduzem os dez principais riscos de vulnerabilidade de aplicativos da Web OWASP. É possível anexar políticas de segurança aos serviços de back-end dos seguintes balanceadores de carga:

  • Balanceador de carga de aplicativo externo global
  • Balanceador de carga de aplicativo externo regional
  • Balanceador de carga de aplicativo clássico
  • Balanceador de carga de rede de proxy externo
  • Balanceador de carga de rede de passagem externa

As políticas de segurança do Cloud Armor permitem que você permita ou negue o acesso à implantação na borda do Google Cloud, o mais próximo possível da origem do tráfego de entrada. Isso evita que o tráfego indesejável consuma recursos ou entre nas redes da nuvem privada virtual (VPC, na sigla em inglês).

O diagrama a seguir ilustra o local dos balanceadores de carga externos do aplicativo, da versão clássica da rede e dos data centers do Google.

Política do Google Cloud Armor na borda da rede
Política do Google Cloud Armor na borda da rede (clique para ampliar)

É possível usar alguns ou todos esses recursos para proteger seu aplicativo. Use políticas de segurança para corresponder a condições conhecidas e criar regras de WAF para se proteger contra ataques comuns, como os encontrados em ModSecurity Core Rule Set 3.3.2. Use também as proteções integradas do Google Cloud Armor Enterprise contra ataques DDoS.

A seguir