Google Cloud Armor membantu Anda melindungi deployment Google Cloud dari berbagai jenis ancaman, termasuk serangan distributed denial of service (DDoS) dan serangan aplikasi seperti pembuatan skrip lintas situs (XSS) dan injeksi SQL (SQLi). Google Cloud Armor memiliki beberapa perlindungan otomatis dan beberapa yang perlu dikonfigurasi secara manual. Dokumen ini memberikan ringkasan umum tentang fitur ini, beberapa di antaranya hanya tersedia untuk Load Balancer Aplikasi eksternal global dan Load Balancer Aplikasi klasik.
Kebijakan keamanan
Gunakan kebijakan keamanan Google Cloud Armor untuk melindungi aplikasi yang berjalan di belakang load balancer dari serangan distributed denial of service (DDoS) maupun serangan berbasis web lainnya, baik aplikasi tersebut di-deploy di Google Cloud, dalam deployment hybrid, maupun di arsitektur multi-cloud. Kebijakan keamanan dapat dikonfigurasi secara manual, dengan kondisi dan tindakan pencocokan yang dapat dikonfigurasi dalam kebijakan keamanan. Google Cloud Armor juga memiliki kebijakan keamanan yang telah dikonfigurasi sebelumnya, yang mencakup berbagai kasus penggunaan. Untuk mengetahui informasi selengkapnya, baca artikel Ringkasan kebijakan keamanan Google Cloud Armor.
Bahasa aturan
Google Cloud Armor memungkinkan Anda menetapkan aturan yang diprioritaskan dengan kondisi dan tindakan pencocokan yang dapat dikonfigurasi dalam kebijakan keamanan. Aturan berlaku, yang berarti bahwa tindakan yang dikonfigurasi akan diterapkan, jika aturan tersebut adalah aturan prioritas tertinggi yang atributnya cocok dengan atribut permintaan masuk. Untuk mengetahui informasi lebih lanjut, baca Referensi bahasa aturan kustom Google Cloud Armor.
Aturan WAF yang telah dikonfigurasi sebelumnya
Aturan WAF Google Cloud Armor yang telah dikonfigurasi sebelumnya adalah aturan firewall aplikasi web (WAF) yang kompleks dengan puluhan tanda tangan yang dikumpulkan dari standar industri open source. Setiap tanda tangan sesuai dengan aturan deteksi serangan dalam kumpulan aturan. Google menawarkan aturan ini sebagaimana adanya. Aturan ini memungkinkan Google Cloud Armor mengevaluasi puluhan tanda tangan traffic yang berbeda dengan merujuk pada aturan yang diberi nama secara mudah, bukan mengharuskan Anda menentukan setiap tanda tangan secara manual.
Aturan Google Cloud Armor yang telah dikonfigurasi sebelumnya membantu melindungi layanan dan aplikasi web Anda dari serangan umum internet dan membantu mengurangi 10 risiko teratas versi OWASP. Sumber aturannya adalah ModSecurity Core Rule Set 3.0.2 (CRS).
Aturan yang telah dikonfigurasi ini dapat disesuaikan untuk menonaktifkan tanda tangan yang mengandung noise atau tanda tangan yang tidak perlu. Untuk mengetahui informasi selengkapnya, lihat artikel Menyesuaikan aturan WAF Google Cloud Armor.
Google Cloud Armor Enterprise
Cloud Armor Enterprise adalah layanan perlindungan aplikasi terkelola yang membantu melindungi layanan dan aplikasi web Anda dari serangan distributed denial of service (DDoS) dan ancaman lain dari internet. Cloud Armor Enterprise memiliki perlindungan yang selalu aktif untuk load balancer Anda, dan memberi Anda akses ke aturan WAF.
Perlindungan DDoS otomatis disediakan untuk Load Balancer Aplikasi eksternal global, Load Balancer Aplikasi klasik, dan Load Balancer Jaringan proxy eksternal, apa pun tingkatnya. Protokol HTTP, HTTPS, HTTP/2, dan QUIC semuanya didukung. Selain itu, pelanggan Cloud Armor Enterprise dapat Mengakses telemetri visibilitas serangan DDoS.
Untuk mengetahui informasi selengkapnya, lihat Ringkasan Cloud Armor Enterprise.
Kecerdasan Ancaman
Dengan Google Cloud Armor Threat Intelligence, Anda dapat mengamankan traffic dengan mengizinkan atau memblokir traffic ke Load Balancer Aplikasi eksternal global dan Load Balancer Aplikasi klasik berdasarkan beberapa kategori data kecerdasan ancaman. Untuk mengetahui informasi selengkapnya tentang Kecerdasan Ancaman, lihat artikel Mengonfigurasi fitur Kecerdasan Ancaman.
Daftar alamat IP yang diberi nama
Daftar alamat IP bernama Google Cloud Armor dapat Anda gunakan untuk mereferensikan daftar alamat IP dan rentang IP. Anda dapat mengonfigurasi aturan kebijakan keamanan dengan daftar alamat IP yang telah diberi nama. Anda tidak perlu menentukan setiap alamat IP atau rentang IP satu per satu secara manual. Untuk mengetahui informasi selengkapnya, lihat Daftar alamat IP yang dinamai.
Perlindungan Adaptif Google Cloud Armor
Adaptive Protection membantu Anda melindungi aplikasi dan layanan dari serangan distributed denial-of-service (DDoS) L7 dengan menganalisis pola traffic ke layanan backend, mendeteksi dan memberi peringatan terkait serangan yang dicurigai, dan membuat aturan WAF yang disarankan untuk memitigasi serangan tersebut. Aturan-aturan ini dapat disesuaikan untuk memenuhi kebutuhan Anda. Perlindungan Adaptif dapat diaktifkan per kebijakan keamanan, tetapi memerlukan langganan Cloud Armor Enterprise yang aktif dalam project.
Untuk mengetahui informasi selengkapnya, lihat ringkasan Perlindungan Adaptif Google Cloud Armor.
Cara kerja Google Cloud Armor
Google Cloud Armor memberikan perlindungan DDoS yang selalu aktif terhadap serangan DDoS volumetrik jaringan atau berbasis protokol. Perlindungan ini ditujukan untuk aplikasi atau layanan di belakang load balancer. API ini dapat mendeteksi dan memitigasi serangan jaringan agar hanya mengizinkan permintaan yang tersusun dengan baik melalui proxy load balancing. Kebijakan keamanan ini menerapkan kebijakan pemfilteran Lapisan 7 kustom, termasuk aturan WAF yang telah dikonfigurasi sebelumnya yang memitigasi 10 risiko kerentanan aplikasi web teratas versi OWASP. Anda dapat memasang kebijakan keamanan ke layanan backend load balancer berikut:
- Load Balancer Aplikasi eksternal global
- Load Balancer Aplikasi Klasik
- Load Balancer Jaringan proxy eksternal
Dengan kebijakan keamanan Google Cloud Armor, Anda dapat mengizinkan atau menolak akses ke deployment di edge Google Cloud, sedekat mungkin dengan sumber traffic masuk. Tindakan ini mencegah traffic yang tidak diinginkan agar tidak memakai resource atau memasuki jaringan Virtual Private Cloud (VPC) Anda.
Diagram berikut mengilustrasikan lokasi Load Balancer Aplikasi eksternal global, Load Balancer Aplikasi klasik, jaringan Google, dan pusat data Google.
Anda dapat menggunakan beberapa atau semua fitur ini untuk melindungi aplikasi Anda. Anda dapat menggunakan kebijakan keamanan untuk mencocokkan dengan kondisi yang diketahui, membuat aturan WAF untuk melindungi dari serangan umum seperti yang ada dalam ModSecurity Core Rule Set 3.0.2, dan menggunakan perlindungan bawaan Google Cloud Armor Enterprise terhadap serangan DDoS.
Langkah selanjutnya
- Mempelajari kasus penggunaan umum untuk Google Cloud Armor
- Pelajari Google Cloud Armor Enterprise
- Pelajari Perlindungan Adaptif Google Cloud Armor