O Google Cloud Armor ajuda a proteger as implantações do Google Cloud contra vários tipos de ameaças, incluindo ataques distribuídos de negação de serviço (DDoS) e ataques a aplicativos, como scripting em vários locais (XSS) e injeção de SQL. (SQLi, na sigla em inglês). O Google Cloud Armor apresenta algumas proteções automáticas e algumas que você precisa configurar manualmente. Este documento fornece uma visão geral de alto nível desses recursos, vários deles disponíveis apenas para balanceadores de carga HTTP(S) externos globais e balanceadores de carga HTTP(S) externos globais (clássicos).
Políticas de segurança
Use as políticas de segurança do Google Cloud Armor para proteger os aplicativos executados por trás de um balanceador de carga contra ataques distribuídos de negação de serviço (DDoS, na sigla em inglês) e outros ataques baseados na Web, sejam eles implantados no Google Cloud, em um ambiente híbrido{ 101}implantação ou em uma arquitetura de várias nuvens. As políticas de segurança podem ser configuradas manualmente, com ações e condições de correspondência configuráveis em uma política de segurança. O Google Cloud Armor também apresenta políticas de segurança pré-configuradas, que abrangem vários casos de uso. Para mais informações, consulte a visão geral da política de segurança do Google Cloud Armor.
Linguagem de regras
O Google Cloud Armor permite definir regras priorizadas com ações e condições de correspondência configuráveis em uma política de segurança. Para que uma regra entre em vigor (a ação configurada é aplicada), ela deve ser a regra de prioridade mais alta, ou seja, os atributos dela devem corresponder aos atributos da solicitação recebida. Para mais informações, consulte Referência de linguagem das regras personalizadas do Google Cloud Armor.
Regras pré-configuradas do WAF
As regras WAF pré-configuradas do Google Cloud Armor são regras complexas do firewall de aplicativos da Web (WAF, na sigla em inglês) com dezenas de assinaturas compiladas a partir dos padrões do setor de código aberto. Cada assinatura corresponde a uma regra de detecção de ataque no conjunto de regras. O Google oferece essas regras como estão. Elas permitem que o Google Cloud Armor avalie dezenas de assinaturas de tráfego distintas consultando regras com nomes convenientes, em vez de exigir que você defina cada assinatura manualmente.
As regras pré-configuradas do Google Cloud Armor ajudam a proteger aplicativos e serviços da Web contra ataques comuns da Internet, além de ajudar a reduzir os principais riscos do OWASP (em inglês). A fonte da regra é Conjunto de regras principais do ModSecurity 3.0.2 (CRS).
Essas regras pré-configuradas podem ser ajustadas para desativar assinaturas com ruído ou desnecessárias. Para mais informações, consulte Como ajustar as regras da WAF do Google Cloud Armor.
Proteção gerenciada do Google Cloud Armor
A proteção gerenciada do Google Cloud Armor é o serviço de proteção de aplicativos gerenciados que ajuda a proteger seus aplicativos e serviços da Web contra ataques distribuídos de negação de serviço (DDoS) e outras ameaças da Internet. Esses recursos oferecem proteções sempre ativadas para o balanceador de carga e fornecem acesso às regras da WAF.
A proteção contra DDoS é fornecida automaticamente para balanceadores de carga HTTP(S) externos globais, balanceadores de carga HTTP(S) externos globais (clássicos) e balanceadores de carga de proxy SSL e de proxy TCP externos, independentemente do nível. Os protocolos HTTP, HTTPS, HTTP/2 e QUIC são compatíveis.
Para mais informações, consulte Visão geral da proteção gerenciada.
Inteligência contra ameaças
O Threat Intelligence do Google Cloud Armor permite que você proteja seu tráfego permitindo ou bloqueando o tráfego para seus balanceadores de carga HTTP(S) externos globais e balanceadores de carga HTTP(S) externos globais (clássicos) baseados em várias categorias de ameaças dados de inteligência. Para ver mais informações sobre o Threat Intelligence, consulte Como configurar recursos do Threat Intelligence.
Listas de endereços IP nomeados
As listas de endereços IP do Google Cloud Armor permitem que você faça referência a listas de endereços IP e intervalos de IP. É possível configurar uma regra de política de segurança com listas de endereços IP nomeadas. Não é necessário especificar cada endereço IP ou intervalo de IP manualmente. Para mais informações, consulte Listas de endereços IP nomeadas.
Proteção adaptativa do Google Cloud Armor
A Proteção adaptativa ajuda você a proteger aplicativos e serviços contra ataques distribuídos de negação de serviço (DDoS, na sigla em inglês) L7 analisando padrões de tráfego para seus serviços de back-end, detectando e alertando ataques suspeitos e gerando sugestões Regras WAF para atenuar esses ataques. Essas regras podem ser ajustadas para atender às suas necessidades. A Proteção adaptativa pode ser ativada por política de segurança, mas exige uma assinatura ativa do Proteção Avançada no projeto.
Para mais informações, consulte a visão geral da Proteção adaptativa do Google Cloud Armor.
Funcionamento do Google Cloud Armor
O Google Cloud Armor fornece proteção DDoS sempre ativa contra ataques volumétricos de DDoS por rede ou por protocolo. Essa proteção é para aplicativos ou serviços por trás de balanceadores de carga. Ela é capaz de detectar e mitigar ataques de rede para permitir apenas solicitações bem-sucedidas por meio dos proxies de balanceamento de carga. É possível anexar políticas de segurança aos serviços de back-end dos seguintes balanceadores de carga. As políticas de segurança aplicam políticas de filtragem personalizadas da Camada 7, incluindo regras WAF pré-configuradas que reduzem os 10 principais riscos de vulnerabilidade de aplicativos da Web OWASP:
- Balanceador de carga HTTP(S) externo global
- Balanceador de carga HTTP(S) externo global (clássico)
- Balanceador de carga de proxy TCP externo
- Balanceador de carga de proxy SSL externo
As políticas de segurança do Cloud Armor permitem que você permita ou negue o acesso à implantação na borda do Google Cloud, o mais próximo possível da origem do tráfego de entrada. Isso evita que o tráfego indesejável consuma recursos ou entre nas redes da nuvem privada virtual (VPC, na sigla em inglês).
O diagrama a seguir ilustra a localização dos balanceadores de carga HTTP(S) externos globais, dos balanceadores de carga HTTP(S) externos globais (clássicos), da rede do Google e dos data centers do Google.
É possível usar alguns ou todos esses recursos para proteger seu aplicativo. Use políticas de segurança para corresponder a condições conhecidas e criar regras de WAF para se proteger contra ataques comuns, como os encontrados em ModSecurity Core Rule Set 3.0.2. Use também as proteções integradas do Google Cloud Armor Managed Protection contra ataques DDoS.
A seguir
- Análise de casos de uso comuns do Google Cloud Armor
- Saiba mais sobre a proteção gerenciada do Google Cloud Armor
- Saiba mais sobre a proteção adaptativa do Google Cloud Armor