Utilizza queste istruzioni per creare criteri di sicurezza di Google Cloud Armor per filtrare il traffico in entrata verso le seguenti destinazioni:
- Bilanciatore del carico delle applicazioni esterno globale
- Bilanciatore del carico delle applicazioni classico
- Bilanciatore del carico delle applicazioni esterno regionale
- Bilanciatore del carico delle applicazioni interno regionale
- Bilanciatore del carico di rete proxy esterno
- Bilanciatore del carico di rete proxy classico
- Bilanciatore del carico di rete passthrough esterno
- Forwarding del protocollo
- VM con indirizzi IP pubblici
Per informazioni concettuali sui criteri di sicurezza, consulta la panoramica dei criteri di sicurezza di Google Cloud Armor.
Prima di iniziare
Prima di configurare i criteri di sicurezza, segui questi passaggi:
Assicurati di conoscere i concetti del bilanciatore del carico delle applicazioni esterno.
Esamina i servizi di backend esistenti per determinare a quali non è già collegato un criterio di sicurezza. Questi servizi di backend e i backend associati non sono protetti da Google Cloud Armor. Per aggiungere la protezione fornita da Google Cloud Armor, utilizza le istruzioni in questo documento per collegare un criterio di sicurezza appena creato o esistente al servizio di backend.
Configura le autorizzazioni IAM per i criteri di sicurezza di Google Cloud Armor
Per le operazioni seguenti è necessario il ruolo Identity and Access Management (IAM)
Amministratore sicurezza Compute (roles/compute.securityAdmin
):
- Configurare, modificare, aggiornare ed eliminare un criterio di sicurezza di Google Cloud Armor
- Se utilizzi i seguenti metodi dell'API:
SecurityPolicies insert
SecurityPolicies delete
SecurityPolicies patch
SecurityPolicies addRule
SecurityPolicies patchRule
SecurityPolicies removeRule
Un utente con il ruolo Amministratore rete Compute (roles/compute.networkAdmin
)
può eseguire le seguenti operazioni:
- Impostazione di un criterio di sicurezza di Google Cloud Armor per un servizio di backend
- Se utilizzi i seguenti metodi dell'API:
BackendServices setSecurityPolicy
BackendServices list
(sologcloud
)
Gli utenti con il ruolo Amministratore sicurezza (roles/iam.securityAdmin
)
e il ruolo Amministratore rete Compute possono visualizzare i criteri di sicurezza di Google Cloud Armor
utilizzando i metodi dell'API SecurityPolicies
get
, list
e
getRule
.
Configura le autorizzazioni IAM per i ruoli personalizzati
La tabella seguente elenca le autorizzazioni di base dei ruoli IAM e i relativi metodi API associati.
Autorizzazioni IAM | Metodi dell'API |
---|---|
compute.securityPolicies.create |
SecurityPolicies insert |
compute.securityPolicies.delete |
SecurityPolicies delete |
compute.securityPolicies.get |
SecurityPolicies get SecurityPolicies getRule |
compute.securityPolicies.list |
SecurityPolicies list |
compute.securityPolicies.use |
BackendServices setSecurityPolicy |
compute.securityPolicies.update |
SecurityPolicies patch SecurityPolicies addRule SecurityPolicies patchRule SecurityPolicies removeRule |
compute.backendServices.setSecurityPolicy |
BackendServices setSecurityPolicy |
Crea criteri di sicurezza
Puoi configurare criteri, regole ed espressioni di sicurezza di Google Cloud Armor utilizzando la console Google Cloud, Google Cloud CLI o l'API REST. Quando utilizzi gcloud CLI per creare criteri di sicurezza, usa il flag --type
per specificare se il criterio di sicurezza è un criterio di sicurezza del backend o un criterio di sicurezza perimetrale.
Se non hai dimestichezza con la configurazione dei criteri di sicurezza, ti consigliamo di visualizzare esempi di criteri di sicurezza.
Espressioni di esempio
Di seguito sono riportate espressioni di esempio. Per ulteriori informazioni sulle espressioni, consulta la documentazione di riferimento sul linguaggio delle regole personalizzate di Google Cloud Armor.
Se stai configurando una regola o un'espressione che utilizza i codici paese o regione ISO 3166-1 alpha 2, Google Cloud Armor tratta ogni codice in modo indipendente. Le regole e le espressioni di Google Cloud Armor usano i codici regione in modo esplicito per consentire o negare le richieste.
La seguente espressione trova corrispondenze con le richieste dall'indirizzo IP
1.2.3.4
e contiene la stringaexample
nell'intestazione user-agent:inIpRange(origin.ip, '1.2.3.4/32') && has(request.headers['user-agent']) && request.headers['user-agent'].contains('example')
In alternativa, puoi trovare una corrispondenza nell'intervallo di indirizzi IP dell'intestazione dell'indirizzo IP di un client personalizzato utilizzando l'attributo
origin.user_ip
:inIpRange(origin.user_ip, '1.2.3.4/32') && has(request.headers['user-agent']) && request.headers['user-agent'].contains('example')
La seguente espressione trova corrispondenze con le richieste che hanno un cookie con un valore specifico:
has(request.headers['cookie']) && request.headers['cookie'].contains('cookie_name=cookie_value')
La seguente espressione trova corrispondenze con le richieste della regione
AU
:origin.region_code == 'AU'
La seguente espressione trova corrispondenze con le richieste della regione
AU
che non rientrano nell'intervallo IP specificato:origin.region_code == "AU" && !inIpRange(origin.ip, '1.2.3.0/24')
La seguente espressione trova corrispondenze con le richieste con un percorso di variabile numerato a un file specifico se l'URI corrisponde a un'espressione regolare:
request.path.matches('/path/[0-9]+/target_file.html')
La seguente espressione trova corrispondenze con le richieste se il valore decodificato Base64 dell'intestazione
user-id
contiene un valore specifico:has(request.headers['user-id']) && request.headers['user-id'].base64Decode().contains('myValue')
La seguente espressione utilizza un set di espressioni preconfigurato contro gli attacchi SQLi:
evaluatePreconfiguredExpr('sqli-stable')
Gestisci criteri di sicurezza
Utilizza le seguenti sezioni per elencare i criteri di sicurezza nel progetto, aggiornare i criteri di sicurezza, eliminarli o testare i criteri di sicurezza.
Elenca criteri di sicurezza
Utilizza queste istruzioni per elencare tutti i criteri di sicurezza di Google Cloud Armor nel progetto attuale o in un progetto da te specificato.
Console
Nella console Google Cloud, vai alla pagina dei criteri di Google Cloud Armor.
Per visualizzare un criterio specifico, fai clic sul nome nell'elenco dei criteri della pagina Criteri di sicurezza.
gcloud
gcloud compute security-policies list
Ad esempio:
gcloud compute security-policies list
NAME my-policy
Per maggiori informazioni, vedi
gcloud compute security-policies list
.
Aggiornamento dei criteri di sicurezza
Utilizza queste istruzioni per aggiornare un criterio di sicurezza di Google Cloud Armor. Ad esempio, puoi modificare la descrizione del criterio, modificare il comportamento della regola predefinita, cambiare il servizio di backend di destinazione o aggiungere nuove regole.
Console
Nella console Google Cloud, vai alla pagina dei criteri di Google Cloud Armor.
Per aggiornare un criterio specifico, nella pagina Criteri di sicurezza, nell'elenco dei criteri, fai clic su
Menu per il criterio da aggiornare.- Per aggiornare la descrizione del criterio dell'azione della regola predefinita, seleziona Modifica, apporta le modifiche e poi fai clic su Aggiorna.
- Per aggiungere una regola, seleziona Aggiungi regola e segui le istruzioni riportate in Aggiungere regole a un criterio di sicurezza.
- Per modificare il servizio di backend di destinazione per il criterio, seleziona Applica criterio alla destinazione, fai clic su Aggiungi target, seleziona una destinazione e fai clic su Aggiungi.
gcloud
Per aggiornare un criterio di sicurezza, utilizza le seguenti istruzioni per Google Cloud CLI:
- Per aggiornare una regola in un criterio di sicurezza, vedi Aggiornare una singola regola in un criterio di sicurezza.
- Per aggiungere una regola a un criterio di sicurezza, consulta Aggiungere regole a un criterio di sicurezza.
- Per eliminare una regola da un criterio di sicurezza, consulta Eliminare le regole da un criterio di sicurezza.
- Per aggiornare più regole con un singolo aggiornamento (aggiornamento atomico), consulta Aggiornamento atomico di più regole in un criterio di sicurezza.
- Per aggiornare i campi non regolati in un criterio di sicurezza (ad esempio il campo Descrizione), consulta Esportazione dei criteri di sicurezza e Importazione dei criteri di sicurezza.
Elimina criteri di sicurezza
Utilizza queste istruzioni per eliminare un criterio di sicurezza di Google Cloud Armor. Devi rimuovere tutti i servizi di backend dal criterio prima di poterlo eliminare.
Console
Nella console Google Cloud, vai alla pagina dei criteri di Google Cloud Armor.
Nella pagina Criteri di sicurezza, seleziona la casella di controllo accanto al nome del criterio di sicurezza che vuoi eliminare.
Nell'angolo in alto a destra della pagina, fai clic su
Elimina.
gcloud
Usa gcloud compute security-policies delete NAME
.
Sostituisci NAME
con il nome del criterio di sicurezza:
gcloud compute security-policies delete NAME
Testa i criteri di sicurezza
Ti consigliamo di eseguire il deployment di tutte le nuove regole in modalità di anteprima e poi di esaminare i log delle richieste per verificare che i criteri e le regole funzionino come previsto.
Gestisci le regole dei criteri di sicurezza
Utilizza le sezioni seguenti per elencare le regole del criterio di sicurezza, aggiungere regole, aggiornare le regole o eliminarle.
Elenca le regole in un criterio di sicurezza
Utilizza queste istruzioni per elencare le regole in un criterio di sicurezza di Google Cloud Armor.
Console
Nella console Google Cloud, vai alla pagina dei criteri di Google Cloud Armor.
Nella pagina Criteri di sicurezza, fai clic sul nome del criterio di sicurezza. Viene visualizzata la pagina Dettagli criterio e le regole del criterio sono elencate nella scheda Regole al centro della pagina.
gcloud
Utilizza il seguente comando gcloud
per elencare tutte le regole in un singolo criterio di sicurezza insieme a una descrizione del criterio:
gcloud compute security-policies describe NAME \
Utilizza il seguente comando gcloud
per descrivere una regola con la priorità specificata nel criterio di sicurezza specificato:
gcloud compute security-policies rules describe PRIORITY \ --security-policy POLICY_NAME
Ad esempio, il seguente comando descrive la regola con priorità 1000 nel criterio di sicurezza my-policy
:
gcloud compute security-policies rules describe 1000 \ --security-policy my-policy
Output:
action: deny(403) description: block traffic from 192.0.2.0/24 and 198.51.100.0/24 kind: compute#securityPolicyRule match: srcIpRanges: - '192.0.2.0/24' - '198.51.100.0/24' preview: false priority: 1000
Aggiungi regole a un criterio di sicurezza
Utilizza queste istruzioni per aggiungere regole a un criterio di sicurezza di Google Cloud Armor.
Console
Nella console Google Cloud, vai alla pagina dei criteri di Google Cloud Armor.
Nella pagina Criteri di sicurezza, fai clic sul nome del criterio di sicurezza. Viene visualizzata la pagina Dettagli norme.
Al centro della pagina, fai clic sulla scheda Regole.
Fai clic su Aggiungi regola.
(Facoltativo) Inserisci una descrizione della regola.
Seleziona la modalità:
- Modalità base: consenti o nega il traffico in base agli indirizzi IP o agli intervalli IP.
- Modalità avanzata: consenti o nega il traffico in base alle espressioni delle regole.
Nel campo Corrispondenza, specifica le condizioni in cui si applica la regola:
- Modalità di base: inserisci da uno (1) a cinque (5) intervalli di indirizzi IP da abbinare nella regola.
Modalità avanzata: inserisci una o più sottoespressioni per valutare in base alle richieste in arrivo. Per informazioni su come scrivere le espressioni e leggere i seguenti esempi, consulta la documentazione di riferimento al linguaggio delle regole personalizzate.
La seguente espressione trova corrispondenze con le richieste dall'indirizzo IP
1.2.3.4
e contiene la stringaexample
nell'intestazione user-agent:inIpRange(origin.ip, '1.2.3.4/32') && has(request.headers['user-agent']) && request.headers['user-agent'].contains('example')
La seguente espressione trova corrispondenze con le richieste che hanno un cookie con un valore specifico:
has(request.headers['cookie']) && request.headers['cookie'].contains('cookie_name=cookie_value')
La seguente espressione trova corrispondenze con le richieste della regione
AU
:origin.region_code == 'AU'
La seguente espressione trova corrispondenze con le richieste della regione
AU
che non rientrano nell'intervallo IP specificato:origin.region_code == "AU" && !inIpRange(origin.ip, '1.2.3.0/24')
La seguente espressione corrisponde alle richieste se l'URI corrisponde a un'espressione regolare:
request.path.matches('/bad_path/')
La seguente espressione trova corrispondenze con le richieste se il valore decodificato Base64 dell'intestazione
user-id
contiene un valore specifico:has(request.headers['user-id']) && request.headers['user-id'].base64Decode().contains('myValue')
La seguente espressione utilizza un set di espressioni preconfigurate per trovare la corrispondenza contro gli attacchi SQLi:
evaluatePreconfiguredExpr('sqli-stable')
Per Azione, seleziona Consenti o Rifiuta.
Se stai configurando una regola di negazione, seleziona un messaggio relativo allo stato di negazione.
Se vuoi attivare la modalità di anteprima per la regola, seleziona la casella di controllo Abilita.
Nel campo Priority (Priorità), inserisci un numero intero positivo.
Fai clic su Aggiungi.
gcloud
Utilizza il comando
gcloud compute security-policies rules create PRIORITY
.
Sostituisci PRIORITY
con la priorità della regola nel criterio:
gcloud compute security-policies rules create PRIORITY \ --security-policy POLICY_NAME \ --description DESCRIPTION \ --src-ip-ranges IP_RANGES | --expression EXPRESSION \ --action=[ allow | deny-403 | deny-404 | deny-502 ] \ --preview
Ad esempio, il seguente comando aggiunge una regola per bloccare il traffico dagli intervalli di indirizzi IP 192.0.2.0/24 e 198.51.100.0/24. La regola ha priorità 1000 ed è una regola in un criterio chiamato my-policy
:
gcloud compute security-policies rules create 1000 \ --security-policy my-policy \ --description "block traffic from 192.0.2.0/24 and 198.51.100.0/24" \ --src-ip-ranges "192.0.2.0/24","198.51.100.0/24" \ --action "deny-403"
Utilizza il flag --expression
per specificare una condizione nel riferimento al linguaggio delle regole personalizzate.
Il seguente comando aggiunge una regola per consentire il traffico dall'indirizzo IP 1.2.3.4
e contiene la stringa example
nell'intestazione dello user agent:
gcloud compute security-policies rules create 1000 \ --security-policy my-policy \ --expression "inIpRange(origin.ip, '1.2.3.4/32') && has(request.headers['user-agent']) && request.headers['user-agent'].contains('example')" \ --action allow \ --description "Block User-Agent 'example'"
Il seguente comando aggiunge una regola per bloccare le richieste se il cookie della richiesta contiene un valore specifico:
gcloud compute security-policies rules create 1000 \ --security-policy my-policy \ --expression "has(request.headers['cookie']) && request.headers['cookie'].contains('80=BLAH')" \ --action deny-403 \ --description "Cookie Block"
Il seguente comando aggiunge una regola per bloccare le richieste dalla regione AU
:
gcloud compute security-policies rules create 1000 \ --security-policy my-policy \ --expression "origin.region_code == 'AU'" \ --action deny-403 \ --description "AU block"
Il seguente comando aggiunge una regola per bloccare le richieste dalla regione AU
che non si trovano nell'intervallo IP specificato:
gcloud compute security-policies rules create 1000 \ --security-policy my-policy \ --expression "origin.region_code == "AU" && !inIpRange(origin.ip, '1.2.3.0/24')" \ --action deny-403 \ --description "country and IP block"
Il seguente comando aggiunge una regola per bloccare le richieste con un URI che corrisponde a un'espressione regolare:
gcloud compute security-policies rules create 1000 \ --security-policy my-policy \ --expression "request.path.matches('/bad_path/')" \ --action deny-502 \ --description "regex block"
Il seguente comando aggiunge una regola per bloccare le richieste se il valore decodificato in Base64 dell'intestazione user-id
contiene un valore specifico:
gcloud compute security-policies rules create 1000 \ --security-policy my-policy \ --expression "has(request.headers['user-id']) && request.headers['user-id'].base64Decode().contains('myValue')" \ --action deny-403 \ --description "country and IP block"
Il seguente comando aggiunge una regola che utilizza un set di espressioni preconfigurate per mitigare gli attacchi SQLi:
gcloud compute security-policies rules create 1000 \ --security-policy my-policy \ --expression "evaluatePreconfiguredExpr('sqli-stable')" \ --action deny-403
Aggiorna una singola regola in un criterio di sicurezza
Utilizza queste istruzioni per aggiornare una singola regola in un criterio di sicurezza di Google Cloud Armor. Per aggiornare atomicamente più regole, consulta Aggiornamento atomico di più regole in un criterio di sicurezza.
Console
Nella console Google Cloud, vai alla pagina dei criteri di Google Cloud Armor.
Nella pagina Criteri di sicurezza, fai clic sul nome del criterio di sicurezza. Viene visualizzata la pagina Dettagli norme.
Al centro della pagina, fai clic sulla scheda Regole.
Accanto alla regola da aggiornare, fai clic su
Modifica. Viene visualizzata la pagina Modifica regola.Apporta le modifiche, quindi fai clic su Aggiorna.
gcloud
Utilizza questo comando per aggiornare una regola con la priorità specificata in un criterio di sicurezza designato. Puoi aggiornare un solo criterio di sicurezza alla volta utilizzando questo comando:
gcloud compute security-policies rules update PRIORITY [ \ --security-policy POLICY_NAME \ --description DESCRIPTION \ --src-ip-ranges IP_RANGES | --expression EXPRESSION \ --action=[ allow | deny-403 | deny-404 | deny-502 ] \ --preview ]
Ad esempio, il seguente comando aggiorna una regola con priorità 1111 per consentire il traffico dall'intervallo di indirizzi IP 192.0.2.0/24:
gcloud compute security-policies rules update 1111 \ --security-policy my-policy \ --description "allow traffic from 192.0.2.0/24" \ --src-ip-ranges "192.0.2.0/24" \ --action "allow"
Per maggiori informazioni su questo comando, consulta
gcloud compute security-policies rules update
.
Per aggiornare la priorità di una regola, devi utilizzare l'API REST. Per scoprire di più, visita la pagina
securityPolicies.patchRule
.
Aggiornamento atomico di più regole in un criterio di sicurezza
Un aggiornamento atomico applica le modifiche a più regole con un singolo aggiornamento. Se dovessi aggiornare le regole una alla volta, potresti riscontrare comportamenti non intenzionali perché regole vecchie e nuove potrebbero funzionare insieme per un breve periodo di tempo.
Per aggiornare a livello atomico più regole, esporta il criterio di sicurezza attuale in un file JSON o YAML, quindi modificalo. Utilizza il file modificato per creare un nuovo criterio di sicurezza, quindi cambia il criterio di sicurezza per i servizi di backend pertinenti.
gcloud
Esporta il criterio da aggiornare, come illustrato nell'esempio seguente:
gcloud compute security-policies export my-policy \ --file-name my-file \ --file-format yaml
Il criterio esportato sarà simile al seguente esempio:
description: my description fingerprint: PWfLGDWQDLY= id: '123' name: my-policy rules: - action: deny(404) description: my-rule-1 match: expr: expression: evaluatePreconfiguredExpr('xss-stable') versionedExpr: SRC_IPS_V1 preview: false priority: 1 - action: allow description: my-rule-2 match: config: srcIpRanges: - '1.2.3.4' versionedExpr: SRC_IPS_V1 preview: false priority: 2 - action: deny description: default rule kind: compute#securityPolicyRule match: config: srcIpRanges: - '*' versionedExpr: SRC_IPS_V1 preview: false priority: 2147483647 selfLink: https://www.googleapis.com/compute/v1/projects/my-project/global/securityPolicies/my-policy
Utilizza un editor di testo qualsiasi per modificare il criterio. Ad esempio, puoi modificare le priorità delle regole esistenti e aggiungere una nuova regola:
description: my description fingerprint: PWfLGDWQDLY= id: '123' name: my-policy rules: - action: deny(404) description: my-rule-1 match: expr: expression: evaluatePreconfiguredExpr('xss-stable') versionedExpr: SRC_IPS_V1 preview: false priority: 1 - action: allow description: my-new-rule match: config: srcIpRanges: - '1.2.3.1' versionedExpr: SRC_IPS_V1 preview: false priority: 10 - action: allow description: my-rule-2 match: config: srcIpRanges: - '1.2.3.4' versionedExpr: SRC_IPS_V1 preview: false priority: 11 - action: deny description: default rule kind: compute#securityPolicyRule match: config: srcIpRanges: - '*' versionedExpr: SRC_IPS_V1 preview: false priority: 2147483647 selfLink: https://www.googleapis.com/compute/v1/projects/my-project/global/securityPolicies/my-policy
Crea un nuovo criterio di sicurezza di Google Cloud Armor e specifica il nome e il formato del file modificati, come mostrato nell'esempio seguente:
gcloud compute security-policies create new-policy \ --file-name modified-policy \ --file-format yaml
Rimuovi il criterio di sicurezza precedente dal servizio di backend pertinente, come mostrato nell'esempio seguente:
gcloud compute backend-services update my-backend \ --security-policy ""
Aggiungi il nuovo criterio di sicurezza al servizio di backend, come mostrato nell'esempio seguente:
gcloud compute backend-services update my-backend \ --security-policy new-policy
Se il criterio precedente non viene utilizzato, eliminalo:
gcloud compute security-policies delete my-policy
Elimina le regole da un criterio di sicurezza
Utilizza queste istruzioni per eliminare le regole da un criterio di sicurezza di Google Cloud Armor.
Console
Nella console Google Cloud, vai alla pagina dei criteri di Google Cloud Armor.
Fai clic sul nome del criterio di sicurezza. Viene visualizzata la pagina Dettagli norme.
Al centro della pagina, nella scheda Regole, seleziona la casella di controllo accanto alla regola da eliminare.
Fai clic su
Elimina.
gcloud
Utilizza questo comando per rimuovere una regola con la priorità specificata da un criterio di sicurezza designato. Puoi modificare un solo criterio di sicurezza alla volta, ma puoi eliminare più regole contemporaneamente:
gcloud compute security-policies rules delete PRIORITY [...] [ --security-policy POLICY_NAME \ ]
Ad esempio:
gcloud compute security-policies rules delete 1000 \ --security-policy my-policy
Allega e rimuovi i criteri di sicurezza
Utilizza le sezioni seguenti per collegare e rimuovere i criteri di sicurezza dai servizi e dai bucket di backend.
Collega un criterio di sicurezza a un servizio di backend
Utilizza queste istruzioni per collegare un criterio di sicurezza di Google Cloud Armor a un servizio di backend. Un criterio di sicurezza può essere associato a più di un servizio di backend, ma a un servizio di backend può essere associato un solo di ciascun tipo di criterio di sicurezza.
Console
Nella console Google Cloud, vai alla pagina dei criteri di Google Cloud Armor.
Nella pagina Criteri di sicurezza, fai clic sul nome del criterio di sicurezza. Viene visualizzata la pagina Dettagli norme.
Al centro della pagina, fai clic sulla scheda Target.
Fai clic su Applica il criterio al nuovo target.
Fai clic su Aggiungi target.
Nell'elenco Target, seleziona un target, quindi fai clic su Aggiungi.
gcloud
Quando colleghi un criterio di sicurezza del backend a un servizio di backend, utilizza il comando gcloud compute backend-services
e il flag --security-policy
:
gcloud compute backend-services update my-backend \ --security-policy my-policy
Quando colleghi un criterio di sicurezza perimetrale a un servizio di backend, utilizza il
comando gcloud compute backend-services
e il
flag --edge-security-policy
:
gcloud compute backend-services update my-backend \ --edge-security-policy my-policy
Rimuovere un criterio di sicurezza da un servizio di backend
Utilizza queste istruzioni per rimuovere un criterio di sicurezza del backend o un criterio di sicurezza perimetrale di Google Cloud Armor da un servizio di backend.
Console
Nella console Google Cloud, vai alla pagina dei criteri di Google Cloud Armor.
Nella pagina Criteri di sicurezza, fai clic sul nome del criterio di sicurezza. Viene visualizzata la pagina Dettagli norme.
Al centro della pagina, fai clic sulla scheda Target.
Seleziona il servizio di backend di destinazione da cui vuoi rimuovere il criterio.
Fai clic su Rimuovi.
Nel messaggio Rimuovi target, fai clic su Rimuovi.
gcloud
Quando rimuovi un criterio di sicurezza del backend, usa il comando gcloud compute
backend-services
e il flag --security-policy
:
gcloud compute backend-services update my-backend \ --security-policy ""
Quando rimuovi un criterio di sicurezza perimetrale, usa il comando gcloud compute
backend-services
e il flag --edge-security-policy
:
gcloud compute backend-services update my-backend \ --edge-security-policy ""
Collega un criterio di sicurezza a un bucket di backend
Utilizza queste istruzioni per collegare un criterio di sicurezza perimetrale di Google Cloud Armor a un bucket di backend. Un criterio di sicurezza perimetrale può essere collegato a più di un bucket di backend.
Console
Nella console Google Cloud, vai alla pagina dei criteri di Google Cloud Armor.
Nella pagina Criteri di sicurezza, fai clic sul nome del criterio di sicurezza. Viene visualizzata la pagina Dettagli norme.
Al centro della pagina, fai clic sulla scheda Target.
Fai clic su Applica il criterio al nuovo target.
Fai clic su Aggiungi target.
Nell'elenco Target, seleziona un target, quindi fai clic su Aggiungi.
gcloud
Quando colleghi un criterio di sicurezza perimetrale a un bucket di backend, utilizza il
comando cloud compute backend-buckets
e il
flag --edge-security-policy
:
gcloud compute backend-services update my-bucket \ --edge-security-policy my-edge-policy
Rimuovi un criterio di sicurezza da un bucket di backend
Utilizza queste istruzioni per rimuovere un criterio di sicurezza perimetrale di Google Cloud Armor da un bucket di backend.
Console
Nella console Google Cloud, vai alla pagina dei criteri di Google Cloud Armor.
Nella pagina Criteri di sicurezza, fai clic sul nome del criterio di sicurezza. Viene visualizzata la pagina Dettagli norme.
Al centro della pagina, fai clic sulla scheda Target.
Seleziona il servizio di backend di destinazione da cui vuoi rimuovere il criterio.
Fai clic su Rimuovi.
Nel messaggio Rimuovi target, fai clic su Rimuovi.
gcloud
Quando rimuovi un criterio di sicurezza perimetrale da un bucket di backend, utilizza il
comando cloud compute backend-buckets
e il
flag --edge-security-policy
:
gcloud compute backend-services update my-bucket \ --edge-security-policy ""
Importazione ed esportazione dei criteri di sicurezza
Utilizza le sezioni seguenti per importare ed esportare i criteri di sicurezza come file YAML o JSON.
Importa criteri di sicurezza
Puoi importare i criteri di sicurezza di Google Cloud Armor da un file YAML o JSON utilizzando Google Cloud CLI. Non puoi utilizzare il comando import
per aggiornare
le regole di un criterio esistente. Devi invece aggiornare le regole una alla volta utilizzando la procedura Aggiornare una singola regola in un criterio di sicurezza oppure tutte contemporaneamente utilizzando la procedura Aggiornamento atomico di più regole in un criterio di sicurezza.
gcloud
Per importare i criteri di sicurezza, utilizza il comando gcloud compute security-policies import NAME
.
Sostituisci NAME
con il nome del criterio di sicurezza che stai importando. Se non fornisci il formato file, viene utilizzato il formato corretto
in base alla struttura del file. Se la struttura non è valida, viene visualizzato
un messaggio di errore.
gcloud compute security-policies import NAME \ --file-name FILE_NAME \ [--file-format FILE_FORMAT]
Ad esempio, il seguente comando aggiorna il criterio my-policy
importando il file my-file
.
gcloud compute security-policies import my-policy \ --file-name my-file \ --file-format json
Se l'impronta del criterio non è aggiornata quando la importi, Google Cloud Armor mostra un errore. Ciò significa che il criterio è stato modificato dopo l'ultima esportazione. Per risolvere il problema,
utilizza il comando describe
sul criterio per ottenere l'impronta più recente.
Unisci eventuali differenze tra il criterio descritto e il tuo criterio, quindi sostituisci l'impronta obsoleta con quella più recente.
Esporta criteri di sicurezza
Puoi esportare un criterio di sicurezza di Google Cloud Armor come file YAML o JSON utilizzando Google Cloud CLI. L'esportazione di un criterio consente di recuperarne una copia che puoi modificare o salvare nel controllo del codice sorgente.
gcloud
Nel comando seguente,
NAME
è il nome del criterio di sicurezza. I formati file validi sono YAML e JSON. Se non fornisci il formato file, Google Cloud Armor utilizza il formato YAML predefinito.gcloud compute security-policies export NAME \ --file-name FILE_NAME \ --file-format FILE_FORMAT
Nell'esempio seguente, il criterio di sicurezza
my-policy
viene esportato nel filemy-file
in formato YAML:gcloud compute security-policies export my-policy \ --file-name my-file \ --file-format yaml
L'esempio seguente mostra un criterio di sicurezza esportato:
description: my description fingerprint: PWfLGDWQDLY= id: '123' name: my-policy rules: - action: allow description: default rule match: config: srcIpRanges: - '*' versionedExpr: SRC_IPS_V1 preview: false priority: 2147483647 selfLink: https://www.googleapis.com/compute/v1/projects/my-project/global/securityPolicies/my-policy
Puoi modificare il file esportato con qualsiasi editor di testo e poi import nuovamente in Google Cloud utilizzando il comando
import
.
Elenco di regole preconfigurate disponibili
Elenca le regole preconfigurate per visualizzare le regole e le firme predefinite per la protezione delle applicazioni, come il ModSecurity Core Rule Set fornito da Google Cloud Armor. Queste regole preconfigurate contengono più firme integrate che Google Cloud Armor utilizza per valutare le richieste in arrivo. Puoi aggiungere queste regole preconfigurate a regole nuove o esistenti utilizzando il riferimento al linguaggio delle regole personalizzate.
Per saperne di più, consulta le regole preconfigurate.
gcloud
Esegui il comando
gcloud compute security-policies list-preconfigured-expression-sets
:gcloud compute security-policies list-preconfigured-expression-sets
L'esempio seguente mostra il formato dell'output dal comando:
EXPRESSION_SET expression-set-1 RULE_ID SENSITIVITY expression-set-1-id-1 sensitivity-value-1 expression-set-1-id-2 sensitivity-value-2 expression-set-2 alias-1 RULE_ID SENSITIVITY expression-set-2-id-1 sensitivity-value-1 expression-set-2-id-2 sensitivity-value-2
Il seguente esempio include un campione dell'output effettivo del comando. Tieni presente che l'output effettivo includerà tutte le regole elencate in Ottimizzazione delle regole WAF di Google Cloud Armor.
gcloud compute security-policies list-preconfigured-expression-sets
EXPRESSION_SET sqli-canary RULE_ID SENSITIVITY owasp-crs-v030001-id942110-sqli 2 owasp-crs-v030001-id942120-sqli 2 … xss-canary RULE_ID SENSITIVITY owasp-crs-v030001-id941110-xss 1 owasp-crs-v030001-id941120-xss 1 … sourceiplist-fastly sourceiplist-cloudflare sourceiplist-imperva
Passaggi successivi
- Ottimizzazione delle regole WAF (Web Application Firewall)
- Risolvere i problemi
- Utilizzare il riferimento al linguaggio delle regole personalizzate