Présentation de Google Cloud Armor

Google Cloud Armor vous aide à protéger vos déploiements Google Cloud contre différents types de menaces, y compris les attaques par déni de service distribué (DDoS) et les attaques d'applications telles que les scripts intersites (XSS) et l'injection SQL. (SQLi). Google Cloud Armor est doté de certaines protections automatiques et d'autres que vous devez configurer manuellement. Ce document offre une vue d'ensemble de ces sujets.

Règles de sécurité

Utilisez les stratégies de sécurité Google Cloud Armor pour protéger les applications s'exécutant derrière un équilibreur de charge contre les attaques par déni de service distribué (DDoS) et d'autres attaques sur le Web, qu'elles soient déployées sur Google Cloud, dans un déploiement hybride ou dans une architecture multicloud. Les stratégies de sécurité peuvent être configurées manuellement, avec des conditions de correspondance configurables et des actions dans une stratégie de sécurité. Google Cloud Armor inclut également des stratégies de sécurité préconfigurées qui couvrent divers cas d'utilisation. Pour en savoir plus, consultez la Présentation des stratégies de sécurité Google Cloud Armor.

Langage de règles

Google Cloud Armor vous permet de définir des règles priorisées avec des conditions de correspondance et des actions configurables dans une stratégie de sécurité. Une règle prend effet, ce qui signifie que l'action configurée est appliquée si la règle est la règle de priorité la plus élevée dont les attributs correspondent aux attributs de la requête entrante. Pour en savoir plus, consultez la documentation de référence sur le langage des règles personnalisées Google Cloud Armor.

Règles WAF préconfigurées

Les règles préconfigurées de Google Cloud Armor permettent de protéger vos services et applications Web contre les attaques courantes provenant d'Internet. Elles contribuent également à réduire les dix risques OWASP les plus importants. Les règles permettent à Google Cloud Armor d'évaluer des signatures de trafic distinctes en vous référant à des règles nommées facilement, sans avoir à définir manuellement chaque signature. La source des règles est l'ensemble de règles de base ModSecurity 3.0.2.

Ces règles préconfigurées peuvent être ajustées pour désactiver les signatures denses ou inutiles. Pour en savoir plus, consultez la section Régler les règles WAF dans Google Cloud Armor.

Listes d'adresses IP nommées

Les listes d'adresses IP nommées Google Cloud Armor vous permettent de référencer des listes d'adresses IP et de plages d'adresses IP gérées par des fournisseurs tiers. Vous pouvez configurer des listes d'adresses IP nommées dans une stratégie de sécurité. Vous n'avez pas besoin de spécifier manuellement chaque adresse IP ou plage d'adresses IP. Pour plus d'informations, consultez la section Listes d'adresses IP nommées.

Google Cloud Armor Managed Protection

Google Cloud Armor Managed Protection est le service de protection des applications gérées qui contribue à protéger vos applications et services Web contre les attaques par déni de service distribué (DDoS) et d'autres menaces provenant d'Internet. Managed Protection offre une protection permanente pour votre équilibreur de charge et vous donne accès aux règles WAF.

La protection contre les attaques DDoS est automatiquement fournie pour l'équilibrage de charge HTTP(S), l'équilibrage de charge proxy SSL et l'équilibrage de charge proxy TCP, quel que soit le niveau de votre version. Les protocoles HTTP, HTTPS, HTTP/2 et QUIC sont tous compatibles.

Pour en savoir plus, consultez la page Présentation de Managed Protection.

Google Cloud Armor Adaptive Protection

Adaptive Protection vous aide à protéger vos applications et vos services contre les attaques par déni de service distribué (DDoS) de couche 7 en analysant des modèles de trafic vers vos services de backend, en détectant les attaques suspectes et en créant des alertes, et en générant des suggestions de règles WAF pour limiter ces attaques. Ces règles peuvent être ajustées pour répondre à vos besoins. Adaptive Protection peut être activé pour chaque stratégie de sécurité, mais nécessite un abonnement Managed Protection actif dans le projet.

Pour en savoir plus, consultez la page Présentation de Google Cloud Armor Adaptive Protection.

Fonctionnement de Google Cloud Armor

Google Cloud Armor offre une protection permanente contre les attaques DDoS volumétriques basées sur le réseau ou le protocole pour les applications ou les services situés derrière des équilibreurs de charge HTTP(S) externes, des équilibreurs de charge proxy SSL ou des équilibreurs de charge proxy TCP. La protection DDoS de Google Cloud Armor est toujours activée en ligne et s'adapte à la capacité du réseau mondial de Google. Elle est capable de détecter instantanément et de limiter les attaques réseau afin de n'autoriser que les requêtes bien formées via les proxys d'équilibrage de charge. Les services de backend situés derrière un équilibreur de charge HTTP(S) externe ont également accès aux règles de sécurité pour appliquer des règles de filtrage de couche 7 personnalisées, y compris des règles WAF préconfigurées pour limiter les 10 principaux risques de vulnérabilité des applications Web selon l'OWASP.

Les stratégies de sécurité Google Cloud Armor vous permettent d'autoriser ou de bloquer l'accès à votre équilibreur de charge HTTP(S) externe à la périphérie de Google Cloud, aussi près que possible de la source du trafic entrant. Cela empêche le trafic indésirable de consommer des ressources ou d'entrer dans vos réseaux de cloud privé virtuel (VPC, Virtual Private Cloud).

Le schéma suivant illustre l'emplacement des équilibreurs de charge HTTP(S) externes, du réseau Google et des centres de données Google.

Stratégie Google Cloud Armor à la périphérie du réseau.
Stratégie Google Cloud Armor à la périphérie du réseau (cliquez pour agrandir)

Vous pouvez utiliser tout ou partie de ces fonctionnalités pour protéger votre application. Vous pouvez utiliser des stratégies de sécurité pour qu'elles correspondent à des conditions connues, créer des règles WAF pour vous protéger contre les attaques courantes telles que celles consignées dans l'ensemble de règles de base ModSecurity 3.0.2, et utiliser les protections intégrées de Google Cloud Armor Managed Protection contre les attaques DDoS.

Étape suivante