Panoramica di Google Cloud Armor

Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

Google Cloud Armor consente di proteggere i deployment di Google Cloud da diversi tipi di minacce, tra cui attacchi denial of service (DDoS) distribuiti e attacchi di applicazioni come il cross-site scripting (XSS) e SQL injection (SQLi). Google Cloud Armor include alcune protezioni automatiche e altre da configurare manualmente. Questo documento offre una panoramica generale di queste funzionalità, molte delle quali sono disponibili solo per bilanciatori del carico HTTP(S) esterni globali e bilanciatori del carico HTTP(S) esterni globali (classici).

Criteri di sicurezza

Utilizza i criteri di sicurezza di Google Cloud Armor per proteggere le applicazioni eseguite dietro un bilanciatore del carico da denial of service (DDoS) distribuiti e altri attacchi basati sul Web, indipendentemente dal fatto che le applicazioni vengano sottoposte a deployment in Google Cloud, in un deployment ibrido o in un'architettura multi-cloud. I criteri di sicurezza possono essere configurati manualmente, con condizioni di corrispondenza e azioni configurabili in un criterio di sicurezza. Google Cloud Armor include inoltre criteri di sicurezza preconfigurati, che coprono una varietà di casi d'uso. Per ulteriori informazioni, consulta la Panoramica dei criteri di sicurezza di Google Cloud Armor.

Lingua delle regole

Google Cloud Armor consente di definire regole prioritarie con condizioni e azioni configurabili in un criterio di sicurezza. Una regola ha effetto, ovvero viene applicata l'azione configurata, se è la regola con la priorità più alta i cui attributi corrispondono agli attributi della richiesta in arrivo. Per ulteriori informazioni, consulta la documentazione di riferimento per il linguaggio delle regole personalizzate di Google Cloud Armor.

Regole WAF preconfigurate

Le regole WAF preconfigurate di Google Cloud Armor sono regole web application firewall (WAF) complesse con decine di firme compilate a partire dagli standard di settore open source. Ogni firma corrisponde a una regola di rilevamento degli attacchi nella serie di regole. Google offre queste regole così come sono. Le regole consentono a Google Cloud Armor di valutare decine di firme di traffico distinte facendo riferimento a regole denominate in modo pratico, anziché richiedere la definizione manuale di ciascuna firma.

Le regole preconfigurate di Google Cloud Armor aiutano a proteggere le tue applicazioni web e i tuoi servizi da attacchi comuni da Internet e contribuiscono a mitigare i primi 10 rischi di OWASP. L'origine della regola è ModSecurity Core Rule Set 3.0.2 (CRS).

Queste regole preconfigurate possono essere ottimizzate per disattivare firme rumorose o non necessarie. Per ulteriori informazioni, consulta la sezione sulla ottimizzazione delle regole WAF di Google Cloud Armor.

Protezione gestita di Google Cloud Armor

Managed Protection è il servizio gestito di protezione delle applicazioni che aiuta a proteggere le tue applicazioni web e i tuoi servizi da attacchi denial of service (DDoS) distribuiti e altre minacce da Internet. Managed Protection include protezioni sempre attive per il bilanciatore del carico e ti consente di accedere alle regole Waf.

La protezione dagli attacchi DDoS viene fornita automaticamente per i bilanciatori del carico HTTP(S) esterni globali, i bilanciatori del carico HTTP(S) esterni globali (classici), i bilanciatori del carico proxy SSL esterni e i bilanciatori del carico proxy TCP esterni, indipendentemente dal livello. Sono supportati tutti i protocolli HTTP, HTTPS, HTTP/2 e QUIC.

Per maggiori informazioni, consulta la panoramica della protezione gestita.

Threat intelligence

Google Cloud Armor Threat Intelligence ti consente di proteggere il traffico permettendo o bloccando il traffico verso i bilanciatori del carico HTTP(S) esterni globali e il bilanciatore del carico HTTP(S) esterno globale (classico) in base a diverse categorie di dati di intelligence sulle minacce. Per ulteriori informazioni su Threat Intelligence, consulta la pagina Configurare le funzionalità di Threat Intelligence.

Elenchi di indirizzi IP denominati

Gli elenchi di indirizzi IP denominati Google Cloud Armor ti consentono di fare riferimento a elenchi di indirizzi IP e intervalli IP. Puoi configurare una regola del criterio di sicurezza con elenchi di indirizzi IP denominati. Non è necessario specificare manualmente ogni indirizzo IP o intervallo di IP. Per ulteriori informazioni, consulta Elenchi di indirizzi IP denominati.

Protezione adattiva di Google Cloud Armor

Adaptive Protection ti aiuta a proteggere le tue applicazioni e i tuoi servizi dagli attacchi denial of service (DDoS) distribuiti L7 analizzando i pattern di traffico verso i tuoi servizi di backend, rilevando e notificando possibili attacchi sospetti e generando regole WAF suggerite per mitigare tali attacchi. Queste regole possono essere modificate per soddisfare le tue esigenze. Adaptive Protection può essere abilitato in base ai criteri di sicurezza, ma richiede un abbonamento Managed Protection attivo nel progetto.

Per ulteriori informazioni, consulta la panoramica di Google Cloud Armor Adaptive Protection.

Come funziona Google Cloud Armor

Google Cloud Armor fornisce protezione DDoS sempre attiva contro gli attacchi DDoS volumetrici di rete o basati su protocollo. Questa protezione è per applicazioni o servizi dietro bilanciatori del carico. È in grado di rilevare e mitigare gli attacchi di rete in modo da consentire solo richieste in formato corretto tramite i proxy di bilanciamento del carico. Puoi collegare i criteri di sicurezza ai servizi di backend dei seguenti bilanciatori del carico. I criteri di sicurezza applicano criteri di filtro personalizzati di livello 7, incluse regole WAF preconfigurate che mitigano i principali rischi della vulnerabilità delle applicazioni web OWASP:

  • Bilanciatore del carico HTTP(S) esterno globale
  • Bilanciatore del carico HTTP(S) esterno globale (versione classica)
  • Bilanciatore del carico proxy TCP esterno
  • Bilanciatore del carico del proxy SSL esterno

I criteri di sicurezza di Google Cloud Armor consentono di consentire o negare l'accesso al deployment a livello perimetrale di Google Cloud, il più vicino possibile alla sorgente del traffico in entrata. In questo modo si impedisce che il traffico indesiderato consumi risorse o entri nelle tue reti Virtual Private Cloud (VPC).

Il seguente diagramma illustra la posizione dei bilanciatori del carico HTTP(S) esterni globali, del bilanciatore del carico HTTP(S) esterno globale (classico), la rete Google e i data center di Google.

Criterio Google Cloud Armor sul perimetro della rete.
Criterio Google Cloud Armor sul perimetro della rete (fai clic per ingrandire)

Per proteggere la tua applicazione, puoi utilizzare alcune o tutte queste funzionalità. Puoi utilizzare i criteri di sicurezza per eseguire la corrispondenza con le condizioni note, creare regole WAF per proteggerti dagli attacchi comuni, come quelli descritti nel ModSecurity Core Rule Set 3.0.2, e utilizzare le protezioni integrate di Google Cloud Armor Managed Protection contro gli attacchi DDoS.

Passaggi successivi