Google Cloud Armor – Übersicht

Mit Google Cloud Armor können Sie Ihre Google Cloud-Bereitstellungen vor mehreren Arten von Bedrohungen schützen. Dazu gehören DDoS-Angriffe (Denial of Service) und Anwendungsangriffe wie Cross-Site-Scripting (XSS) und SQL-Injection (SQLi). Google Cloud Armor bietet einige automatische Schutzfunktionen und manche, die Sie manuell konfigurieren müssen. Dieses Dokument bietet einen allgemeinen Überblick über diese Features.

Sicherheitsrichtlinien

Mit den Google Cloud Armor-Sicherheitsrichtlinien können Sie Anwendungen, die hinter einem Load-Balancer ausgeführt werden, vor DDoS-Angriffen (Distributed Denial of Service) und anderen webbasierten Angriffen schützen – unabhängig davon, ob die Anwendungen in Google Cloud, in einer Hybridumgebung oder in einer Multi-Cloud-Architektur bereitgestellt werden. Sicherheitsrichtlinien können manuell konfiguriert werden, inklusive konfigurierbarer Übereinstimmungsbedingungen und Aktionen in einer Sicherheitsrichtlinie. Google Cloud Armor bietet außerdem vorkonfigurierte Sicherheitsrichtlinien, die eine Vielzahl von Anwendungsfällen abdecken. Weitere Informationen finden Sie in der Übersicht über die Google Cloud Armor-Sicherheitsrichtlinien.

Sprache der Regeln

Mit Google Cloud Armor können Sie priorisierte Regeln mit konfigurierbaren Übereinstimmungsbedingungen und Aktionen in einer Sicherheitsrichtlinie definieren. Eine Regel tritt in Kraft, d. h. die konfigurierte Aktion wird angewendet, wenn ihr die höchste Priorität zugewiesen ist und die Attribute mit den Attributen der eingehenden Anfrage übereinstimmen. Weitere Informationen finden Sie in der Referenz zur Sprache der benutzerdefinierten Regeln für Google Cloud Armor.

Vorkonfigurierte WAF-Regeln

Vorkonfigurierte Regeln von Google Cloud Armor schützen Ihre Webanwendungen und Dienste vor gängigen Angriffen aus dem Internet und mindern die OWASP-Top-10-Risiken. Mithilfe der Regeln kann Google Cloud Armor die verschiedenen Traffic-Signaturen auswerten. Dabei bezieht sich Google Cloud Armor auf Regeln, die praktischerweise benannt sind, anstatt dass Sie jede Signatur manuell definieren müssen. Die Regelquelle ist ModSecurity Core Rule Set 3.0.2 (CRS).

Diese vorkonfigurierten Regeln können optimiert werden, um ungenaue oder anderweitig unnötige Signaturen zu deaktivieren. Weitere Informationen finden Sie unter Google Cloud Armor-WAF-Regeln optimieren.

Benannte IP-Listen

Mit benannten IP-Adresslisten in Google Cloud Armor können Sie auf IP-Adresslisten und IP-Bereiche verweisen, die von Drittanbietern verwaltet werden. Sie können benannte IP-Adresslisten innerhalb einer Sicherheitsrichtlinie konfigurieren. Sie müssen nicht jede IP-Adresse oder jeden IP-Bereich einzeln angeben. Weitere Informationen finden Sie unter Benannte IP-Adresslisten.

Google Cloud Armor Managed Protection

Managed Protection ist ein verwalteter Dienst zum Schutz von Anwendungen, der Ihre Webanwendungen und Dienste vor DDoS-Angriffen (Distributed Denial-of-Service) und anderen Bedrohungen aus dem Internet schützt. Managed Protection bietet immer aktivierte Schutzmaßnahmen für Ihren Load-Balancer und ermöglicht Ihnen den Zugriff auf WAF-Regeln.

Der DDoS-Schutz wird unabhängig von der Stufe automatisch für HTTP(S)-Load-Balancing, SSL-Proxy-Load-Balancing und TCP-Proxy-Load-Balancing bereitgestellt. Die Protokolle HTTP, HTTPS, HTTP/2 und QUIC werden alle unterstützt.

Weitere Informationen finden Sie unter Managed Protection – Übersicht.

Google Cloud Armor Adaptive Protection

Mit Adaptive Protection können Sie Anwendungen und Dienste vor L7-Angriffen (Distributed Denial-of-Service) schützen, indem Sie Zugriffsmuster auf Ihre Back-End-Dienste analysieren, mutmaßliche Angriffe erkennen und melden sowie vorgeschlagene WAF-Regeln zur Abwehr solcher Angriffe generieren. Diese Regeln können an Ihre Anforderungen angepasst werden. Adaptive Schutz kann pro Sicherheitsrichtlinie aktiviert werden. Dafür ist jedoch ein aktives Managed Protection Protection-Abo erforderlich.

Weitere Informationen finden Sie unter Google Cloud Armor Adaptive Protection – Übersicht.

So funktioniert Google Cloud Armor

Google Cloud Armor bietet permanenten DDoS-Schutz vor netzwerk- oder protokollbasierten DDoS-Angriffen für Anwendungen oder Dienste hinter externen HTTP(S)-Load-Balancern, SSL-Proxy-Load-Balancern oder TCP-Proxy-Load-Balancern. Der DDoS-Schutz von Google Cloud Armor ist immer aktiv und wird auf die Kapazität des globalen Google-Netzwerks skaliert. Sie ist in der Lage, Netzwerkangriffe sofort zu erkennen und zu mindern, um nur korrekt formatierte Anfragen über Load-Balancing-Proxys zuzulassen. Back-End-Dienste hinter einem externen HTTP(S)-Load-Balancer haben auch Zugriff auf Sicherheitsrichtlinien, um benutzerdefinierte Layer-7-Filterrichtlinien zu erzwingen, einschließlich vorkonfigurierter WAF-Regeln, um die OWASP Top 10-Sicherheitslücken der Webanwendung zu minimieren.

Mit Google Cloud Armor-Sicherheitsrichtlinien können Sie den Zugriff auf Ihren externen HTTP(S)-Load-Balancer am Google Cloud-Rand so nahe wie möglich an der Quelle des eingehenden Traffics zulassen oder sperren. Dies verhindert, dass unerwünschter Traffic Ressourcen verbraucht oder in Ihre VPC-Netzwerke (Virtual Private Cloud) gelangt.

Das folgende Diagramm zeigt den Standort der externen HTTP(S)-Load-Balancer, des Google-Netzwerks und der Google-Rechenzentren.

Google Cloud Armor-Richtlinie am Netzwerkrand
Google Cloud Armor-Richtlinie am Netzwerkrand (zum Vergrößern anklicken)

Sie können einige oder alle dieser Funktionen zum Schutz Ihrer Anwendung verwenden. Sie können Sicherheitsrichtlinien verwenden, um mit bekannten Bedingungen abzugleichen, WAF-Regeln zum Schutz vor häufigen Angriffen wie jenen im ModSecurity Core Rule Set 3.0.2 erstellen und die integrierten Funktionen von Google Cloud Armor Managed Protection zum Schutz vor DDoS-Angriffen verwenden.

Nächste Schritte