Google Cloud Armor 概览

Google Cloud Armor 可帮助您保护 Google Cloud 部署免受多种类型的威胁,包括分布式拒绝服务 (DDoS) 攻击以及跨站脚本攻击 (XSS) 和 SQL 注入 (SQLi) 等应用攻击。Google Cloud Armor 具有一些自动保护功能,还有一些您需要手动配置。本文档简要介绍了这些功能。

安全政策

使用 Google Cloud Armor 安全政策来保护在负载平衡器后面运行的应用,以免它们受到分布式拒绝服务 (DDoS) 攻击和其他基于网络的攻击,无论这些应用是部署在 Google Cloud、混合环境还是多云端架构中。 您可以在安全政策中使用可配置的匹配条件和操作来配置安全政策。Google Cloud Armor 还提供了预配置的安全政策,其中涵盖各种用例。如需了解详情,请参阅 Google Cloud Armor 安全政策概览

规则语言

利用 Google Cloud Armor,您可以在安全政策中使用可配置的匹配条件和操作来定义优先规则。规则生效,这意味着如果规则是最高优先级规则,且其特性与传入请求的特性匹配,则系统会应用配置的操作。如需了解详情,请参阅 Google Cloud Armor 自定义规则语言参考文档

预配置的 WAF 规则

Google Cloud Armor 预配置规则有助于保护您的 Web 应用和服务免受来自互联网的常见的攻击,并且有助于缓解 OWASP 十大风险。这些规则使 Google Cloud Armor 可以通过引用方便命名的规则来评估数不同的流量签名,而无需您手动定义每个签名。规则来源为 ModSecurity 核心规则集 3.0.2 (CRS)。

您可以调整这些预配置的规则,以停用嘈杂或不必要的签名。如需了解详情,请参阅调整 Google Cloud Armor WAF 规则

专属 IP 列表

利用 Google Cloud Armor 专属 IP 地址列表,您可以引用由第三方提供商维护的 IP 地址和 IP 地址范围列表。您可以在安全政策中配置已命名的 IP 地址列表。您不必手动指定每个 IP 地址或 IP 地址范围。 如需了解详情,请参阅专属 IP 列表

Google Cloud Armor Managed Protection

Managed Protection 是一项代管式应用保护服务,可帮助保护您的 Web 应用和服务免受分布式拒绝服务 (DDoS) 攻击和来自互联网的其他威胁。Managed Protection 会为负载平衡器始终提供保护,并可让您访问 WAF 规则。

无论层级如何,系统都会自动为 HTTP(S) 负载平衡、SSL 代理负载平衡和 TCP 代理负载平衡提供 DDoS 攻击保护。HTTP、HTTPS、HTTP/2、QUIC 协议均受支持。

如需了解详情,请参阅 Managed Protection 概览

Google Cloud Armor 自动调节式保护

自动调节式保护可以分析发送到后端服务的流量的模式,检测可疑的攻击并发出提醒,并生成建议的 WAF 规则来缓解此类攻击,从而保护您的应用和服务免受 L7 分布式拒绝服务 (DDoS) 攻击。您可以调整这些规则来满足您的需求。您可以基于安全政策启用自动调节式保护,但自动调节式保护要求在项目中订阅有效的 Managed Protection。

如需了解详情,请参阅 Google Cloud Armor 自动调节式保护概览

Google Cloud Armor 的工作原理

利用 Google Cloud Armor 安全政策,您可以允许或拒绝对 Google Cloud 边缘尽可能靠近传入流量来源的外部 HTTP(S) 负载平衡器的访问。这样可以防止不受欢迎的流量占用资源或进入您的 Virtual Private Cloud (VPC) 网络。

下图展示了外部 HTTP(S) 负载平衡器、Google 网络和 Google 数据中心的位置。

网络边缘的 Google Cloud Armor 政策。
网络边缘的 Google Cloud Armor 政策(点击可放大)

除了使用手动配置的安全政策外,具有外部 HTTP(S) 负载平衡器、SSL 代理负载平衡或 TCP 代理负载平衡的部署也会始终受到保护,免受 DDoS 攻击。外部 HTTP(S) 负载平衡器后面的后端服务也可以访问 Web 应用防火墙 (WAF) 规则。

您可以使用上述部分或全部功能来保护您的应用。您可以使用安全政策针对已知情况进行匹配,创建 WAF 规则来防范常见的攻击(例如 ModSecurity Core 规则集 3.3.0 中找到的规则),并使用 Google Cloud Armor Managed Protection 的内置防护功能来防范 DDoS 攻击。

后续步骤