Google Cloud Armor ti aiuta a proteggere le implementazioni di Google Cloud da diversi tipi di minacce, inclusi attacchi denial of service (DDoS) distribuiti e attacchi alle applicazioni come cross-site scripting (XSS) e SQL injection (SQLi). Google Cloud Armor offre alcune protezioni automatiche e altre che devi configurare manualmente. Questo documento fornisce una panoramica generale di queste funzionalità, molte delle quali sono disponibili solo per i bilanciatori del carico delle applicazioni esterni globali e per i bilanciatori del carico delle applicazioni classici.
Criteri di sicurezza
Utilizza i criteri di sicurezza di Google Cloud Armor per proteggere le applicazioni in esecuzione dietro un bilanciatore del carico dagli attacchi DDoS (Distributed Denial of Service) e da altri attacchi basati sul web, indipendentemente dal fatto che le applicazioni siano implementate su Google Cloud, in un deployment ibrido o in un'architettura multi-cloud. I criteri di sicurezza possono essere configurati manualmente, con condizioni di corrispondenza e azioni configurabili in un criterio di sicurezza. Google Cloud Armor offre anche criteri di sicurezza preconfigurati, che coprono una serie di casi d'uso. Per ulteriori informazioni, consulta la panoramica dei criteri di sicurezza di Google Cloud Armor.
Linguaggio delle regole
Google Cloud Armor ti consente di definire regole con priorità e condizioni di corrispondenza e azioni configurabili in un criterio di sicurezza. Una regola viene applicata, il che significa che viene applicata l'azione configurata, se la regola è quella con la priorità più alta i cui attributi corrispondono agli attributi della richiesta in arrivo. Per ulteriori informazioni, consulta il riferimento per il linguaggio delle regole personalizzate di Google Cloud Armor.
Regole WAF preconfigurate
Le regole WAF preconfigurate di Google Cloud Armor sono regole WAF (Web Application Firewall) complesse con decine di firme compilate a partire da standard di settore open source. Ogni firma corrisponde a una regola di rilevamento degli attacchi nel set di regole. Google offre queste regole così come sono. Le regole consentono a Google Cloud Armor di valutare dozzine di firme di traffico distinte facendo riferimento a regole denominate in modo pratico, anziché richiedere la definizione manuale di ogni firma.
Le regole predefinite di Google Cloud Armor contribuiscono a proteggere le tue applicazioni e i tuoi servizi web dagli attacchi comuni provenienti da internet e a mitigare i rischi delle prime 10 minacce OWASP. L'origine della regola è ModSecurity Core Rule Set 3.3.2 (CRS).
Queste regole preconfigurate possono essere ottimizzate per disattivare le firme rumorose o altrimenti non necessarie. Per ulteriori informazioni, consulta Ottimizzazione delle regole WAF di Google Cloud Armor.
Google Cloud Armor Enterprise
Cloud Armor Enterprise è il servizio di protezione gestita delle applicazioni che contribuisce a proteggere le tue applicazioni e i tuoi servizi web da attacchi DDoS (Distributed Denial of Service) e altre minacce su internet. Cloud Armor Enterprise offre protezioni sempre attive per il bilanciatore del carico e ti consente di accedere alle regole WAF.
La protezione DDoS viene fornita automaticamente per i bilanciatori del carico delle applicazioni esterni globali, per i bilanciatori del carico delle applicazioni classici e per i bilanciatori del carico di rete con proxy esterno, indipendentemente dal livello. Sono supportati i protocolli HTTP, HTTPS, HTTP/2 e QUIC. Inoltre, gli abbonati a Cloud Armor Enterprise possono accedere alla telemetria per la visibilità degli attacchi DDoS.
Per ulteriori informazioni, consulta la panoramica di Cloud Armor Enterprise.
Threat Intelligence
Google Cloud Armor Threat Intelligence ti consente di proteggere il tuo traffico consentendo o bloccando il traffico verso i tuoi bilanciatori del carico delle applicazioni esterni globali e i bilanciatori del carico delle applicazioni classici in base a diverse categorie di dati di threat intelligence. Per ulteriori informazioni su Threat Intelligence, consulta Configurare le funzionalità di Threat Intelligence.
Protezione adattiva di Google Cloud Armor
Adaptive Protection ti aiuta a proteggere le tue applicazioni e i tuoi servizi dagli attacchi DDoS (Distributed Denial-of-Service) di livello 7 analizzando i pattern di traffico verso i tuoi servizi di backend, rilevando e inviando avvisi su attacchi sospetti e generando regole WAF suggerite per attenuare questi attacchi. Queste regole possono essere personalizzate in base alle tue esigenze. Adaptive Protection può essere attivata in base a ciascun criterio di sicurezza, ma richiede un abbonamento Cloud Armor Enterprise attivo nel progetto.
Per ulteriori informazioni, consulta la panoramica di Cloud Armor Adaptive Protection.
Protezione DDoS di rete avanzata
La protezione DDoS di rete avanzata offre protezioni aggiuntive per gli abbonati a Managed Protection Plus che utilizzano bilanciatori del carico di rete, forwarding del protocollo o VM con indirizzi IP pubblici. La protezione DDoS di rete avanzata offre monitoraggio e avvisi sempre attivi sugli attacchi, mitigazioni degli attacchi mirati e telemetria della mitigazione. Per ulteriori informazioni, consulta Configurare la protezione DDoS di rete avanzata.
Come funziona Google Cloud Armor
Google Cloud Armor offre protezione DDoS sempre attiva contro attacchi DDoS volumetrici basati su protocollo o sulla rete. Questa protezione è per le applicazioni o i servizi dietro i bilanciatori del carico. È in grado di rilevare e mitigare gli attacchi di rete per consentire solo richieste ben formattate tramite i proxy di bilanciamento del carico. I criteri di sicurezza applicano criteri di filtro personalizzati di livello 7, incluse regole WAF predefinite che mitigano i 10 principali rischi di vulnerabilità delle applicazioni web OWASP. Puoi collegare i criteri di sicurezza ai servizi di backend dei seguenti bilanciatori del carico:
- Bilanciatore del carico delle applicazioni esterno globale
- Bilanciatore del carico delle applicazioni esterno regionale
- Bilanciatore del carico delle applicazioni classico
- Bilanciatore del carico di rete proxy esterno
- Bilanciatore del carico di rete passthrough esterno
I criteri di sicurezza di Google Cloud Armor ti consentono di consentire o negare l'accesso al tuo deployment sul perimetro di Google Cloud, il più vicino possibile alla sorgente del traffico in entrata. In questo modo si impedisce che il traffico indesiderato consumi risorse o entri nelle reti VPC (Virtual Private Cloud).
Il seguente diagramma mostra la posizione dei bilanciatori del carico delle applicazioni esterni globali, dei bilanciatori del carico delle applicazioni classici, della rete di Google e dei data center di Google.
Puoi utilizzare alcune o tutte queste funzionalità per proteggere la tua applicazione. Puoi utilizzare i criteri di sicurezza per eseguire la corrispondenza con condizioni note, creare regole WAF per difenderti dagli attacchi comuni come quelli presenti nel ModSecurity Core Rule Set 3.3.2 e utilizzare le protezioni integrate di Google Cloud Armor Enterprise contro gli attacchi DDoS.
Passaggi successivi
- Esaminare i casi d'uso comuni di Google Cloud Armor
- Scopri di più su Google Cloud Armor Enterprise
- Scopri di più su Cloud Armor Adaptive Protection