Google Cloud Armor vous aide à protéger vos déploiements Google Cloud contre différents types de menaces, y compris les attaques par déni de service distribué (DDoS) et les attaques d'applications telles que les scripts intersites (XSS) et l'injection SQL. (SQLi). Google Cloud Armor est doté de certaines protections automatiques et d'autres que vous devez configurer manuellement. Ce document offre un aperçu général de ces fonctionnalités, dont certaines ne sont disponibles que pour les équilibreurs de charge d'application externes globaux et les équilibreurs de charge d'application classiques.
Règles de sécurité
Utilisez les stratégies de sécurité Google Cloud Armor pour protéger les applications s'exécutant derrière un équilibreur de charge contre les attaques par déni de service distribué (DDoS) et d'autres attaques sur le Web, qu'elles soient déployées sur Google Cloud, dans un déploiement hybride ou dans une architecture multicloud. Les stratégies de sécurité peuvent être configurées manuellement, avec des conditions de correspondance configurables et des actions dans une stratégie de sécurité. Google Cloud Armor inclut également des stratégies de sécurité préconfigurées qui couvrent divers cas d'utilisation. Pour en savoir plus, consultez la Présentation des stratégies de sécurité Google Cloud Armor.
Langage de règles
Google Cloud Armor vous permet de définir des règles priorisées avec des conditions de correspondance et des actions configurables dans une stratégie de sécurité. Une règle prend effet, ce qui signifie que l'action configurée est appliquée si la règle est la règle de priorité la plus élevée dont les attributs correspondent aux attributs de la requête entrante. Pour en savoir plus, consultez la documentation de référence sur le langage des règles personnalisées Google Cloud Armor.
Règles WAF préconfigurées
Les règles WAF préconfigurées Google Cloud Armor sont des règles complexes de pare-feu d'application Web (WAF, web application firewall) composées de dizaines de signatures, qui sont compilées à partir des normes Open Source. Chaque signature correspond à une règle de détection d'attaques dans l'ensemble de règles. Google propose ces règles en l'état. Elles permettent à Google Cloud Armor d'évaluer des dizaines de signatures de trafic distinctes en se référant à des règles bien nommées, plutôt que de vous obliger à définir chaque signature manuellement.
Les règles préconfigurées de Google Cloud Armor permettent de protéger vos services et applications Web contre les attaques courantes provenant d'Internet. Elles contribuent également à réduire les dix risques OWASP les plus importants. La source de la règle est Ensemble de règles de base ModSecurity 3.3.2 (CRS).
Ces règles préconfigurées peuvent être ajustées pour désactiver les signatures denses ou inutiles. Pour en savoir plus, consultez la section Régler les règles WAF dans Google Cloud Armor.
Google Cloud Armor Enterprise
Cloud Armor Enterprise est le service de protection des applications gérées qui contribue à protéger vos applications et services Web contre les attaques par déni de service distribué (DDoS) et d'autres menaces provenant d'Internet. Cloud Armor Enterprise offre des protections permanentes pour votre équilibreur de charge et vous donne accès règles WAF.
La protection DDoS est automatiquement fournie pour les équilibreurs de charge d'application externes globaux, les équilibreurs de charge d'application classiques et les équilibreurs de charge réseau proxy externes, quels que soient à un niveau supérieur. Les protocoles HTTP, HTTPS, HTTP/2 et QUIC sont tous compatibles. De plus, Les abonnés Cloud Armor Enterprise peuvent : Accéder à la télémétrie de visibilité des attaques DDoS
Pour en savoir plus, consultez la Présentation de Cloud Armor Enterprise.
Threat Intelligence
Google Cloud Armor Threat Intelligence vous permet de sécuriser en autorisant ou en bloquant le trafic vers vos équilibreurs de charge d'application externes globaux et les équilibreurs de charge d'application classiques, basés sur plusieurs catégories de données Threat Intelligence. Pour en savoir plus sur Threat Intelligence, consultez la page Configurer les fonctionnalités de Threat Intelligence.
Google Cloud Armor Adaptive Protection
Adaptive Protection vous aide à protéger vos applications et vos services contre les attaques par déni de service distribué (DDoS) de couche 7 en analysant des modèles de trafic vers vos services de backend, en détectant les attaques suspectes et en créant des alertes, et en générant des suggestions de règles WAF pour limiter ces attaques. Ces règles peuvent être ajustées pour répondre à vos besoins. Vous pouvez activer Adaptive Protection au niveau une stratégie de sécurité. Toutefois, elle nécessite un environnement Cloud Armor Enterprise actif dans le projet.
Pour en savoir plus, consultez la page Présentation de Google Cloud Armor Adaptive Protection.
Protection DDoS avancée du réseau
La protection DDoS avancée du réseau offre des protections supplémentaires pour Les abonnés Managed Protection Plus utilisant des équilibreurs de charge réseau transfert de protocole ou VM avec des adresses IP publiques. La protection DDoS avancée du réseau offre une surveillance et des alertes permanentes des attaques, une atténuation ciblée des attaques et une télémétrie d'atténuation. Pour en savoir plus, consultez la page Configurer la protection DDoS avancée du réseau.
Fonctionnement de Google Cloud Armor
Google Cloud Armor offre une protection permanente contre les attaques DDoS volumétriques basées sur le réseau ou le protocole. Cette protection concerne les applications ou les services situés derrière des équilibreurs de charge. Elle est capable de détecter et de limiter les attaques réseau afin de n'autoriser que les requêtes bien formées via les proxys d'équilibrage de charge. Les stratégies de sécurité appliquent des stratégies de filtrage personnalisées de couche 7, y compris des règles WAF préconfigurées qui limitent les 10 principaux risques de vulnérabilité des applications Web selon l'OWASP. Vous pouvez associer des règles de sécurité aux services de backend des équilibreurs de charge suivants:
- Équilibreur de charge d'application externe mondial
- Équilibreur de charge d'application externe régional
- Équilibreur de charge d'application classique
- Équilibreur de charge réseau proxy externe
- Équilibreur de charge réseau passthrough externe
Les stratégies de sécurité Google Cloud Armor vous permettent d'autoriser ou de refuser l'accès à votre déploiement à la périphérie de Google Cloud, aussi près que possible de la source du trafic entrant. Cela empêche le trafic indésirable de consommer des ressources ou d'entrer dans vos réseaux de cloud privé virtuel (VPC, Virtual Private Cloud).
Le schéma suivant illustre l'emplacement des équilibreurs de charge d'application externes globaux, les équilibreurs de charge d'application classiques, le réseau Google et les centres de données Google.
Vous pouvez utiliser tout ou partie de ces fonctionnalités pour protéger votre application. Vous pouvez utiliser des stratégies de sécurité pour établir une correspondance avec des conditions connues, créer des règles WAF pour vous prémunir contre les attaques courantes, telles que celles de la règle de base ModSecurity Set 3.3.2, et utiliser les protections intégrées de Google Cloud Armor Enterprise contre les attaques DDoS.
Étape suivante
- Examiner les cas d'utilisation courants de Google Cloud Armor
- En savoir plus sur Google Cloud Armor Enterprise
- En savoir plus sur Google Cloud Armor Adaptive Protection