Descripción general de Google Cloud Armor

Google Cloud Armor te ayuda a proteger tus implementaciones de Google Cloud contra varios tipos de amenazas, incluidos los ataques de denegación de servicio distribuido (DSD) y los ataques de aplicaciones, como las secuencias de comandos entre sitios (XSS) y la inserción de SQL (SQLi). Google Cloud Armor cuenta con algunas protecciones automáticas y otras que necesitas configurar manualmente. En este documento, se proporciona una descripción general de alto nivel sobre estos temas.

Políticas de seguridad

Usa las políticas de seguridad de Google Cloud Armor para proteger las aplicaciones que se ejecutan detrás de un balanceador de cargas de ataques de denegación de servicio distribuido (DSD) y otros ataques basados en la Web, ya sea que las aplicaciones se implementen en Google Cloud, en una implementación híbrida o en una arquitectura de múltiples nubes. Las políticas de seguridad se pueden configurar de forma manual, con acciones y condiciones de coincidencia configurables en una política de seguridad. Google Cloud Armor también cuenta con políticas de seguridad preconfiguradas que abarcan una gran variedad de casos de uso. Para obtener más información, consulta la descripción general de la política de seguridad de Google Cloud Armor.

Lenguaje de las reglas

Google Cloud Armor te permite definir reglas prioritarias con condiciones y acciones de coincidencia que se pueden configurar en una política de seguridad. Una regla entra en vigor, lo que significa que se aplica la acción configurada, si la regla es la regla de mayor prioridad cuyos atributos coinciden con los atributos de la solicitud entrante. Para obtener más información, consulta la referencia del lenguaje de las reglas personalizadas de Google Cloud Armor.

Reglas de WAF preconfiguradas

Las reglas preconfiguradas de Google Cloud Armor ayudan a proteger tus aplicaciones y servicios web de ataques comunes de Internet y ayudan a mitigar los 10 riesgos principales de OWASP. Las reglas permiten a Google Cloud Armor evaluar diferentes firmas de tráfico, mediante la referencia a reglas con nombres convenientes, en lugar de requerir que definas cada firma de forma manual. La fuente de las reglas es el conjunto de reglas principales de ModSecurity 3.0.2 (CRS).

Estas reglas preconfiguradas se pueden ajustar para inhabilitar firmas innecesarias y innecesarias. Para obtener más información, consulta Ajusta las reglas de WAF de Google Cloud Armor.

Listas de IP con nombre

Las listas de direcciones IP con nombre de Google Cloud Armor te permiten hacer referencia a las listas de direcciones IP y los rangos de IP que mantienen los proveedores externos Puedes configurar listas de direcciones IP con nombre en una política de seguridad. No es necesario que especifiques de forma manual cada dirección IP o rango de IP por separado. Para obtener más información, consulta Listas de IP con nombre.

Protección administrada de Google Cloud Armor

La protección administrada de Google Cloud Armor es el servicio administrado de protección de aplicaciones que ayuda a proteger tus aplicaciones y servicios web de ataques de denegación de servicio distribuido (DSD) y otras amenazas de Internet. Las funciones de protección administrada siempre están activadas para el balanceador de cargas y te brindan acceso a las reglas de WAF.

La protección contra DSD se proporciona de forma automática para el balanceo de cargas HTTP(S), el balanceo de cargas del proxy de SSL y el balanceo de cargas del proxy de TCP, sin importar el nivel. Se admiten los protocolos HTTP, HTTPS, HTTP/2 y QUIC.

Para obtener más información, consulta Descripción general de la protección administrada.

Protección adaptable de Google Cloud Armor

La Protección adaptable te ayuda a proteger tus aplicaciones y servicios de ataques de denegación de servicio (DSD) L7 integrados mediante el análisis de patrones de tráfico a tus servicios de backend, la detección y alerta de posibles ataques y la generación de sugerencias Reglas de WAF para mitigar esos ataques. Estas reglas se pueden adaptar para satisfacer tus necesidades. La Protección adaptable se puede habilitar por cada política de seguridad, pero requiere una suscripción administrada activa en el proyecto.

Para obtener más información, consulta la descripción general de la Protección adaptable de Google Cloud Armor.

Cómo funciona Google Cloud Armor

Google Cloud Armor proporciona protección contra DSD siempre activa en función de ataques de DSD de volumen basados en protocolos o en aplicaciones y servicios detrás de balanceadores de cargas HTTP(S) externos, balanceadores de cargas de proxy SSL o balanceadores de cargas de proxy TCP. La protección contra DSD de Google Cloud Armor está siempre encendida, y se escala a la capacidad de la red global de Google. Puede detectar y mitigar de forma instantánea los ataques de red para permitir solo solicitudes formadas a través de los proxies de balanceo de cargas. Los servicios de backend detrás de un balanceador de cargas HTTP(S) externo también tienen acceso a las políticas de seguridad para aplicar políticas de filtrado de capa 7 personalizadas, incluidas las reglas WAF preconfiguradas para mitigar los riesgos de vulnerabilidad de la aplicación web OWASP Top 10.

Las políticas de seguridad de Google Cloud Armor te permiten denegar o permitir el acceso al balanceador de cargas de HTTP(S) externo en el perímetro de Google Cloud, lo más cerca posible de la fuente del tráfico entrante. Esto evita que el tráfico no deseado consuma recursos o ingrese a tus redes de la nube privada virtual (VPC).

En el siguiente diagrama, se ilustra la ubicación de los balanceadores de cargas de HTTP(S) externos, la red de Google y los centros de datos de Google.

Política de Google Cloud Armor en el perímetro de la red
Política de Google Cloud Armor en el perímetro de la red (haz clic para ampliar)

Puedes usar algunas de estas funciones o todas ellas para proteger tu aplicación. Puedes usar las políticas de seguridad para detectar coincidencias con condiciones conocidas, crear reglas de WAF para protegerte contra ataques comunes como los que se encuentran en el conjunto de reglas principales de ModSecurity 3.0.2 y usar las protecciones integradas de la protección administrada de Google Cloud Armor contra los ataques de DSD.

¿Qué sigue?