Diese Seite wurde von der Cloud Translation API übersetzt.

Produktübersicht

Mit Google Cloud Armor können Sie Ihre Google Cloud-Bereitstellungen vor mehreren Arten von Bedrohungen schützen. Dazu gehören DDoS-Angriffe (Denial of Service) und Anwendungsangriffe wie Cross-Site-Scripting (XSS) und SQL-Injection (SQLi). Google Cloud Armor bietet einige automatische Schutzfunktionen und manche, die Sie manuell konfigurieren müssen. Dieses Dokument bietet einen allgemeinen Überblick über diese Funktionen, von denen einige sind nur für globale externe Application Load Balancer und klassische Application Load Balancer verfügbar.

Sicherheitsrichtlinien

Mit den Google Cloud Armor-Sicherheitsrichtlinien können Sie Anwendungen, die hinter einem Load-Balancer ausgeführt werden, vor DDoS-Angriffen (Distributed Denial of Service) und anderen webbasierten Angriffen schützen – unabhängig davon, ob die Anwendungen in Google Cloud, in einer Hybridumgebung oder in einer Multi-Cloud-Architektur bereitgestellt werden. Sicherheitsrichtlinien können manuell konfiguriert werden, inklusive konfigurierbarer Übereinstimmungsbedingungen und Aktionen in einer Sicherheitsrichtlinie. Google Cloud Armor bietet außerdem vorkonfigurierte Sicherheitsrichtlinien, die eine Vielzahl von Anwendungsfällen abdecken. Weitere Informationen finden Sie in der Übersicht über die Google Cloud Armor-Sicherheitsrichtlinien.

Sprache der Regeln

Mit Google Cloud Armor können Sie priorisierte Regeln mit konfigurierbaren Übereinstimmungsbedingungen und Aktionen in einer Sicherheitsrichtlinie definieren. Eine Regel tritt in Kraft, d. h. die konfigurierte Aktion wird angewendet, wenn ihr die höchste Priorität zugewiesen ist und die Attribute mit den Attributen der eingehenden Anfrage übereinstimmen. Weitere Informationen finden Sie in der Referenz zur Sprache der benutzerdefinierten Regeln für Google Cloud Armor.

Vorkonfigurierte WAF-Regeln

Vorkonfigurierte WAF-Regeln für Google Cloud Armor sind komplexe Web Application Firewall (WAF)-Regeln mit Dutzenden von Signaturen, die aus Open-Source-Branchenstandards kompiliert wurden. Jede Signatur entspricht einer Angriffserkennungsregel im Regelsatz. Google bietet diese Regeln wie besehen an. Die Regeln ermöglichen es Google Cloud Armor, Dutzende von unterschiedlichen Traffic-Signaturen auszuwerten. Dabei bezieht sich Google Cloud Armor auf Regeln, die praktischerweise benannt sind, anstatt dass Sie jede Signatur manuell definieren müssen.

Vorkonfigurierte Regeln von Google Cloud Armor schützen Ihre Webanwendungen und Dienste vor gängigen Angriffen aus dem Internet und mindern die OWASP-Top-10-Risiken. Die Quelle der Regel ist ModSecurity Core Rule Set 3.3.2 (CRS) (in englischer Sprache).

Diese vorkonfigurierten Regeln können optimiert werden, um ungenaue oder anderweitig unnötige Signaturen zu deaktivieren. Weitere Informationen finden Sie unter Google Cloud Armor-WAF-Regeln optimieren.

Google Cloud Armor Enterprise

Cloud Armor Enterprise ist der verwaltete Anwendungsschutzdienst, Webanwendungen und Dienste vor Distributed Denial of Service schützen DDoS-Angriffe und andere Bedrohungen aus dem Internet. Cloud Armor Enterprise bietet immer aktiven Schutz für Ihren Load-Balancer und bietet Ihnen WAF-Regeln.

Für globale externe Application Load Balancer wird automatisch der DDoS-Schutz bereitgestellt, klassischen Application Load Balancern und externen Proxy-Network Load Balancern, Stufe. Die Protokolle HTTP, HTTPS, HTTP/2 und QUIC werden alle unterstützt. Außerdem Cloud Armor Enterprise-Abonnenten können Auf Telemetriedaten zur DDoS-Angriffssichtbarkeit zugreifen

Weitere Informationen finden Sie unter Cloud Armor Enterprise – Übersicht

Threat Intelligence

Mit Google Cloud Armor Threat Intelligence können Sie Ihre indem Sie Traffic zu Ihren globalen externen Application Load Balancern zulassen oder blockieren. klassischen Application Load Balancern auf Basis verschiedener Kategorien von Threat-Intelligence-Daten. Weitere Informationen zu Threat Intelligence finden Sie unter Threat Intelligence-Features konfigurieren.

Google Cloud Armor Adaptive Protection

Adaptive Protection hilft Ihnen, Ihre Anwendungen und Dienste vor L7 zu schützen DDoS-Angriffe (Distributed Denial of Service) werden durch die Analyse von Traffic-Mustern Ihre Back-End-Dienste, das Erkennen von vermuteten Angriffen und die Benachrichtigung dazu die vorgeschlagenen WAF-Regeln generieren, um solche Angriffe abzumildern. Diese Regeln können an Ihre Anforderungen angepasst werden. Adaptive Protection kann für Sicherheitsrichtlinien zugrunde, erfordert aber eine aktive Cloud Armor Enterprise- Abo im Projekt.

Weitere Informationen finden Sie unter Google Cloud Armor Adaptive Protection – Übersicht.

Erweiterter DDoS-Netzwerkschutz

Der erweiterte DDoS-Schutz für Netzwerke bietet zusätzliche Schutzmaßnahmen für Abonnenten von Managed Protection Plus, die Netzwerk-Load-Balancer verwenden, Protokollweiterleitung oder VMs mit öffentlichen IP-Adressen. Erweiterter DDoS-Schutz für Netzwerke bietet ständig aktive Angriffsüberwachung und -benachrichtigungen, gezielte Abwehrmaßnahmen und Telemetriedaten zur Risikominderung. Weitere Informationen finden Sie unter Konfigurieren Sie den erweiterten DDoS-Schutz für Netzwerke.

So funktioniert Google Cloud Armor

Google Cloud Armor bietet immer aktiven DDoS-Schutz vor netzwerk- oder protokollbasierten volumetrischen DDoS-Angriffen. Dieser Schutz ist für Anwendungen oder Dienste hinter Load-Balancern vorgesehen. Sie ist in der Lage, Netzwerkangriffe erkennen und zu mindern, um nur korrekt formatierte Anfragen über Load-Balancing-Proxys zuzulassen. Die Sicherheitsrichtlinien erzwingen benutzerdefinierte Ebene 7 Filterrichtlinien, einschließlich vorkonfigurierter WAF-Regeln, die die OWASP-Top-10-Risiken von Sicherheitslücken in Webanwendungen minimieren. Sie können Sicherheitsrichtlinien an die Back-End-Dienste der folgenden Load-Balancer anhängen:

Globaler externer Application Load Balancer
Regionaler externer Application Load Balancer
Klassischer Application Load Balancer
Externer Proxy-Network Load Balancer
Externer Passthrough-Network Load Balancer

Mit den Sicherheitsrichtlinien von Google Cloud Armor können Sie den Zugriff auf Ihre Bereitstellung am Google Cloud-Rand so nahe wie möglich an der Quelle des eingehenden Traffics zulassen oder verweigern. Dies verhindert, dass unerwünschter Traffic Ressourcen verbraucht oder in Ihre VPC-Netzwerke (Virtual Private Cloud) gelangt.

Das folgende Diagramm zeigt den Standort der globalen externen Application Load Balancer. klassischen Application Load Balancern, dem Google-Netzwerk und Google-Rechenzentren.

Google Cloud Armor-Richtlinie am Netzwerkrand (zum Vergrößern anklicken)

Sie können einige oder alle dieser Funktionen zum Schutz Ihrer Anwendung verwenden. Sie können Sicherheitsrichtlinien für den Abgleich mit bekannten Bedingungen verwenden, WAF-Regeln erstellen, Schutz vor gängigen Angriffen wie den ModSecurity Core Rule“. Set 3.3.2, und nutzen Sie die integrierten Schutzfunktionen von Google Cloud Armor Enterprise gegen DDoS-Angriffe.