Google Cloud Armor ti aiuta a proteggere i deployment Google Cloud da diversi tipi di minacce, tra cui gli attacchi DDoS (Distributed Denial of Service) e gli attacchi alle applicazioni come cross-site scripting (XSS) e SQL injection (SQLi). Google Cloud Armor dispone di alcune protezioni automatiche e di altre che devono essere configurate manualmente. Questo documento fornisce una panoramica generale di queste funzionalità, molte delle quali sono disponibili solo per gli Application Load Balancer esterni globali e per gli Application Load Balancer classici.
Criteri di sicurezza
Utilizza i criteri di sicurezza di Google Cloud Armor per proteggere le applicazioni eseguite su un bilanciatore del carico da attacchi DDoS (Distributed Denial of Service) e altri attacchi basati sul web, indipendentemente dal fatto che il deployment delle applicazioni venga eseguito su Google Cloud, in un deployment ibrido o in un'architettura multi-cloud. I criteri di sicurezza possono essere configurati manualmente, con condizioni di corrispondenza e azioni configurabili in un criterio di sicurezza. Google Cloud Armor dispone inoltre di criteri di sicurezza preconfigurati, che coprono una vasta gamma di casi d'uso. Per maggiori informazioni, consulta la panoramica dei criteri di sicurezza di Google Cloud Armor.
Linguaggio delle regole
Google Cloud Armor consente di definire regole prioritarie con condizioni di corrispondenza e azioni configurabili in un criterio di sicurezza. Viene applicata una regola, ovvero l'azione configurata viene applicata se si tratta della regola con priorità più elevata i cui attributi corrispondono agli attributi della richiesta in entrata. Per maggiori informazioni, consulta Riferimento al linguaggio delle regole personalizzate di Google Cloud Armor.
Regole WAF preconfigurate
Le regole WAF preconfigurate di Google Cloud Armor sono regole WAF complesse con decine di firme compilate da standard di settore open source. Ogni firma corrisponde a una regola di rilevamento degli attacchi nel set di regole. Google offre queste regole così come sono. Le regole consentono a Google Cloud Armor di valutare decine di firme di traffico distinte facendo riferimento a regole con nomi appropriati, anziché richiedere la definizione manuale di ogni firma.
Le regole preconfigurate di Google Cloud Armor ti aiutano a proteggere le tue applicazioni web e i tuoi servizi web dagli attacchi più comuni provenienti da internet e a mitigare i 10 rischi principali OWASP. L'origine della regola è ModSecurity Core Rules Set 3.0.2 (CRS).
Queste regole preconfigurate possono essere ottimizzate per disattivare le firme rumorose o comunque non necessarie. Per maggiori informazioni, consulta Ottimizzazione delle regole WAF di Google Cloud Armor.
Google Cloud Armor Enterprise
Cloud Armor Enterprise è il servizio di protezione gestita delle applicazioni che aiuta a proteggere le applicazioni e i servizi web da attacchi DDoS (Distributed Denial-of-Service) e altre minacce da internet. Cloud Armor Enterprise offre protezioni sempre attive per il bilanciatore del carico e ti dà accesso alle regole WAF.
La protezione DDoS viene fornita automaticamente per gli Application Load Balancer esterni globali, per gli Application Load Balancer classici e per i bilanciatori del carico di rete proxy esterni, indipendentemente dal livello. Sono supportati tutti i protocolli HTTP, HTTPS, HTTP/2 e QUIC. Inoltre, gli abbonati a Cloud Armor Enterprise possono accedere alla telemetria sulla visibilità degli attacchi DDoS.
Per ulteriori informazioni, consulta la panoramica di Cloud Armor Enterprise.
Threat Intelligence
Google Cloud Armor Threat Intelligence consente di proteggere il traffico consentendo o bloccando il traffico verso gli Application Load Balancer esterni globali e i classici bilanciatori del carico delle applicazioni basati su diverse categorie di dati di intelligence sulle minacce. Per ulteriori informazioni su Threat Intelligence, consulta Configurazione delle funzionalità di Threat Intelligence.
Elenchi di indirizzi IP denominati
Gli elenchi di indirizzi IP denominati di Google Cloud Armor consentono di fare riferimento a elenchi di indirizzi IP e intervalli IP. Puoi configurare una regola del criterio di sicurezza con elenchi di indirizzi IP denominati. Non è necessario specificare manualmente ogni singolo indirizzo IP o intervallo IP. Per maggiori informazioni, consulta Elenchi di indirizzi IP denominati.
Adaptive Protection Google Cloud Armor
Adaptive Protection ti aiuta a proteggere applicazioni e servizi dagli attacchi DDoS (Distributed Denial-of-Service) L7 analizzando pattern di traffico verso i tuoi servizi di backend, rilevando e notificando attacchi sospetti e generando regole WAF suggerite per mitigare questi attacchi. Queste regole possono essere regolate in base alle tue esigenze. Adaptive Protection può essere abilitato in base al criterio di sicurezza, ma richiede un abbonamento a Cloud Armor Enterprise attivo nel progetto.
Per maggiori informazioni, consulta la panoramica di Google Cloud Armor Adaptive Protection.
Come funziona Google Cloud Armor
Google Cloud Armor fornisce protezione DDoS sempre attiva contro gli attacchi DDoS volumetrici basati su protocolli o di rete. Questa protezione è per le applicazioni o i servizi dietro i bilanciatori del carico. È in grado di rilevare e mitigare gli attacchi di rete per consentire solo richieste ben formattate tramite i proxy di bilanciamento del carico. I criteri di sicurezza applicano criteri di filtro di Livello 7 personalizzati, incluse regole WAF preconfigurate che mitigano i 10 principali rischi di vulnerabilità delle applicazioni web OWASP. Puoi collegare i criteri di sicurezza ai servizi di backend dei seguenti bilanciatori del carico:
- Bilanciatore del carico delle applicazioni esterno globale
- Bilanciatore del carico delle applicazioni classico
- Bilanciatore del carico di rete proxy esterno
I criteri di sicurezza di Google Cloud Armor consentono di consentire o negare l'accesso al deployment a livello perimetrale di Google Cloud, il più vicino possibile alla sorgente del traffico in entrata. In questo modo, il traffico indesiderato non consuma risorse o entra nelle reti Virtual Private Cloud (VPC).
Il seguente diagramma illustra la posizione dei bilanciatori del carico delle applicazioni esterni globali, degli Application Load Balancer classici, della rete Google e dei data center di Google.
Puoi utilizzare alcune di queste funzionalità o tutte per proteggere la tua applicazione. Puoi utilizzare i criteri di sicurezza per creare corrispondenze in base a condizioni note, creare regole WAF per proteggerti dagli attacchi comuni come quelli presenti nel ModSecurity Core Rules Set 3.0.2 e utilizzare le protezioni integrate di Google Cloud Armor Enterprise contro gli attacchi DDoS.
Passaggi successivi
- Esaminare i casi d'uso comuni relativi a Google Cloud Armor
- Scopri di più su Google Cloud Armor Enterprise
- Scopri di più su Google Cloud Armor Adaptive Protection