Google Cloud Armor-Sicherheitsrichtlinien konfigurieren

In dieser Anleitung wird gezeigt, wie Sie eingehenden Traffic zum HTTP(S)-Load-Balancing mithilfe von Google Cloud Armor-Sicherheitsrichtlinien filtern. Konzeptionelle Informationen zu den Google Cloud Armor-Sicherheitsrichtlinien finden Sie in der Übersicht über die Google Cloud Armor-Sicherheitsrichtlinie.

Machen Sie sich mit den Konzepten von HTTP(S)-Load-Balancing vertraut, bevor Sie Sicherheitsrichtlinien konfigurieren.

Informationen zum Konfigurieren von Google Cloud Armor in GKE finden Sie unter Google Cloud Armor konfigurieren.

IAM-Berechtigungen für Google Cloud Armor-Sicherheitsrichtlinien

Für die folgenden Vorgänge ist die Rolle eines Sicherheitsadministrators (roles/compute.securityAdmin) erforderlich:

  • Google Cloud Armor-Sicherheitsrichtlinien erstellen, ändern, aktualisieren und löschen
  • Zulässige API-Methoden:
    • SecurityPolicies insert
    • SecurityPolicies delete
    • SecurityPolicies patch
    • SecurityPolicies addRule
    • SecurityPolicies patchRule
    • SecurityPolicies removeRule

Ein Nutzer mit der Rolle eines Netzwerkadministrators (roles/compute.networkAdmin) kann die folgenden Vorgänge ausführen:

  • Google Cloud Armor-Sicherheitsrichtlinie für einen Back-End-Dienst festlegen
  • Zulässige API-Methoden:
    • BackendServices setSecurityPolicy

Nutzer mit den Rollen "Sicherheitsadministrator" und "Netzwerkadministrator" können sich die Google Cloud Armor-Sicherheitsrichtlinien mithilfe der API-Methoden SecurityPolicies get, list und getRule ansehen.

IAM-Berechtigungen für benutzerdefinierte Rollen

In der folgenden Tabelle sind die grundlegenden Berechtigungen der einfachen IAM-Rollen und ihre zugehörigen API-Methoden aufgeführt.

IAM-Berechtigung API-Methoden
compute.securityPolicies.create SecurityPolicies insert
compute.securityPolicies.delete SecurityPolicies delete
compute.securityPolicies.get SecurityPolicies get
SecurityPolicies getRule
compute.securityPolicies.list SecurityPolicies list
compute.securityPolicies.use BackendServices setSecurityPolicy
compute.securityPolicies.update SecurityPolicies patch
SecurityPolicies addRule
SecurityPolicies patchRule
SecurityPolicies removeRule
compute.backendServices.setSecurityPolicy BackendServices setSecurityPolicy

Google Cloud Armor-Sicherheitsrichtlinien für HTTP(S)-Load-Balancing konfigurieren

Dies sind die grundlegenden Schritte zum Konfigurieren der Google Cloud Armor-Sicherheitsrichtlinien, um Regeln festzulegen, die den Traffic zum HTTP(S)-Load-Balancing zulassen oder ablehnen.

  1. Erstellen Sie eine Google Cloud Armor-Sicherheitsrichtlinie.
  2. Fügen Sie der Richtlinie Regeln basierend auf IP-Adresslisten, benutzerdefinierten Ausdrücken oder vordefinierten Ausdruckssätzen hinzu.
  3. Fügen Sie die Google Cloud Armor-Sicherheitsrichtlinie einem Back-End-Dienst des HTTP(S)-Load-Balancers hinzu, für den Sie den Zugriff steuern möchten.
  4. Aktualisieren Sie die Google Cloud Armor-Sicherheitsrichtlinie nach Bedarf.

Im folgenden Beispiel erstellen Sie zwei Google Cloud Armor-Sicherheitsrichtlinien und wenden sie auf verschiedene Back-End-Dienste an.

Beispiel zweier Google Cloud Armor-Sicherheitsrichtlinien, die auf verschiedene Back-End-Dienste angewendet werden
Beispiel, in dem zwei Google Cloud Armor-Sicherheitsrichtlinien auf verschiedene Back-End-Dienste angewendet werden (zum Vergrößern anklicken)

In diesem Beispiel sind dies die Google Cloud Armor-Sicherheitsrichtlinien:

  • mobile-clients-policy gilt für externe Nutzer Ihrer games Dienste.
  • internal-users-policy gilt für das test-network-Team Ihrer Organisation.

Sie wenden mobile-clients-policy auf den games-Dienst an, dessen Back-End-Dienst games heißt, und Sie wenden internal-users-policy auf den internen test-Dienst für das Testteam an, dessen entsprechender Back-End-Dienst test-networkheißt.

Wenn sich die Back-End-Instanzen für einen Back-End-Dienst in mehreren Regionen befinden, gilt die mit dem Dienst verknüpfte Google Cloud Armor-Sicherheitsrichtlinie für Instanzen in allen Regionen. Im obigen Beispiel gilt die Google Cloud Armor-Sicherheitsrichtlinie mobile-clients-policy für die Instanzen 1, 2, 3 und 4 in us-central und für die Instanzen 5 und 6 in us-east.

Beispiel erstellen

Folgen Sie dieser Anleitung, um das im vorherigen Abschnitt beschriebene Beispiel zu erstellen.

Console

So erstellen Sie die Beispielkonfiguration:

  1. Rufen Sie in der Google Cloud Console die Seite "Netzwerksicherheit" auf.
    Zur Seite "Netzwerksicherheit"
    Die Seite Sicherheitsrichtlinien wird angezeigt.
  2. Klicken Sie auf Richtlinie erstellen.
  3. Geben Sie im Feld Name den Wert mobile-client-policy ein.
  4. Geben Sie im Feld Beschreibung den Wert policy for external users ein.
  5. Klicken Sie auf Ablehnen.
  6. Klicken Sie auf Nächster Schritt.
  7. Klicken Sie auf Regel hinzufügen.
  8. Geben Sie im Feld Beschreibung den Wert allow traffic from 192.0.2.0/24 ein.
  9. Wählen Sie als Modus die Option Standardmodus (nur IP-Adressen bzw. -Bereiche) aus.
  10. Geben Sie im Feld Abgleich den Wert 192.0.2.0/24 ein.
  11. Wählen Sie als Aktion die Option Zulassen aus.
  12. Geben Sie in das Feld Priorität den Wert 1000 ein.
  13. Klicken Sie auf Fertig.
  14. Klicken Sie auf Nächster Schritt.
  15. Klicken Sie auf Ziel hinzufügen.
  16. Wählen Sie ein Ziel aus der Drop-down-Liste aus.
  17. Klicken Sie auf Fertig.
  18. Klicken Sie auf Richtlinie erstellen. Sie sehen die Seite Sicherheitsrichtlinien der Console.
  19. Geben Sie im Feld Name den Wert internal-users-policy ein.
  20. Geben Sie im Feld Beschreibung den Wert Policy for internal test users ein.
  21. Klicken Sie auf Ablehnen.
  22. Klicken Sie auf Nächster Schritt.
  23. Klicken Sie auf Regel hinzufügen.
  24. Geben Sie im Feld Beschreibung den Wert allow traffic from 198.51.100.0/24 ein.
  25. Wählen Sie als Modus die Option Standardmodus (nur IP-Adressen bzw. -Bereiche) aus.
  26. Geben Sie im Feld Abgleich den Wert 198.51.100.0/24 ein.
  27. Wählen Sie als Aktion die Option Zulassen aus.
  28. Klicken Sie auf Aktivieren.
  29. Geben Sie in das Feld Priorität den Wert 1000 ein.
  30. Klicken Sie auf Fertig.
  31. Klicken Sie auf Nächster Schritt.
  32. Klicken Sie auf Ziel hinzufügen.
  33. Wählen Sie ein Ziel aus der Drop-down-Liste aus.
  34. Klicken Sie auf Fertig.
  35. Klicken Sie auf Richtlinie erstellen. Sie sehen die Seite Sicherheitsrichtlinien der Console.

gcloud

  1. Erstellen Sie die Google Cloud Armor-Sicherheitsrichtlinien.

    gcloud compute security-policies create mobile-clients-policy \
        --description "policy for external users"
    
    gcloud compute security-policies create internal-users-policy \
        --description "policy for internal test users"
    
  2. Aktualisieren Sie die Standardregeln für die Google Cloud Armor-Sicherheitsrichtlinien, um den Traffic abzulehnen.

    gcloud compute security-policies rules update 2147483647 \
        --security-policy mobile-clients-policy \
        --action "deny-404"
    
    gcloud compute security-policies rules update 2147483647 \
        --security-policy internal-users-policy \
        --action "deny-502"
    
  3. Fügen Sie den Google Cloud Armor-Sicherheitsrichtlinien Regeln hinzu.

    gcloud compute security-policies rules create 1000 \
        --security-policy mobile-clients-policy \
        --description "allow traffic from 192.0.2.0/24" \
        --src-ip-ranges "192.0.2.0/24" \
        --action "allow"
    
    gcloud compute security-policies rules create 1000 \
        --security-policy internal-users-policy \
        --description "allow traffic from 198.51.100.0/24" \
        --src-ip-ranges "198.51.100.0/24" \
        --action "allow"
    
  4. Hängen Sie die Google Cloud Armor-Sicherheitsrichtlinien an die Back-End-Dienste an.

    gcloud compute backend-services update games \
        --security-policy mobile-clients-policy
    
    gcloud compute backend-services update test-network \
        --security-policy internal-users-policy
    

Google Cloud Armor für GKE konfigurieren

Sie können Google Cloud Armor-Sicherheitsrichtlinien für GKE mit dem folgenden grundlegenden Verfahren konfigurieren.

  1. Konfigurieren Sie eine Google Cloud Armor-Sicherheitsrichtlinie mit Regeln mithilfe der REST API oder des gcloud-Befehlszeilentools.
  2. Erstellen Sie eine Ingress-Ressource in GKE.
  3. Bestimmen Sie, welche Back-End-Dienste der Ingress-Ressource zugeordnet sind.

    1. Rufen Sie die Konfiguration der Ingress-Ressource ab:

      kubectl describe ingress [INGRESS_NAME]
      
    2. Beachten Sie die Werte im Feld backends des Abschnitts "Annotations" der Ausgabe. Dies sind die Namen der verwendeten Back-End-Dienste.

  4. Fügen Sie mithilfe der REST API oder des gcloud-Befehlszeilentools die Google Cloud Armor-Sicherheitsrichtlinie an jedes der im vorherigen Schritt angegebenen Back-Ends an.

Wenn eine Kubernetes-Ingress-Ressource gelöscht und anschließend neu erstellt wird, muss die Sicherheitsrichtlinie nochmals auf den bzw. die neuen Back-End-Dienst(e) angewendet werden.

Weitere Informationen finden Sie unter Google Cloud Armor über Ingress konfigurieren.

Sicherheitsrichtlinien, Regeln und Ausdrücke für Google Cloud Armor erstellen

Sie können Sicherheitsrichtlinien, Regeln und Ausdrücke für Google Cloud Armor mithilfe der Google Cloud Console, des gcloud-Befehlszeilentools oder der REST API erstellen.

Im Folgenden finden Sie Beispielausdrücke. Weitere Informationen zu Ausdrücken finden Sie in der Sprachreferenz zu Google Cloud Armor-Regeln.

Wenn Sie eine Regel oder einen Ausdruck erstellen, der Länder- oder Regionscodes im Format ISO 3166-1 alpha-2 verwendet, beachten Sie, dass Google Cloud Armor jeden Code unabhängig behandelt. Die Regeln und Ausdrücke von Google Cloud Armor verwenden diese Regionscodes explizit, um Anfragen zuzulassen oder abzulehnen.

  • Der folgende Ausdruck stimmt mit Anfragen von der IP-Adresse 1.2.3.4 überein und enthält den String Godzilla im user-agent-Header:

    inIpRange(origin.ip, '1.2.3.4/32') && has(request.headers['user-agent']) && request.headers['user-agent'].contains('Godzilla')
    
  • Der folgende Ausdruck stimmt mit Anfragen überein, die ein Cookie mit einem bestimmten Wert enthalten:

    has(request.headers['cookie']) && request.headers['cookie'].contains('cookie_name=cookie_value')
    
  • Der folgende Ausdruck stimmt mit Anfragen aus der Region AU überein:

    origin.region_code == 'AU'
    
  • Der folgende Ausdruck stimmt mit Anfragen aus der Region AU und nicht im angegebenen IP-Bereich überein:

    request.region_code == "AU" && !inIpRange(origin.ip, '1.2.3.0/24')
    
  • Der folgende Ausdruck stimmt mit Anfragen überein, wenn der URI mit einem regulären Ausdruck übereinstimmt:

    request.path.matches('/bad_path/')
    
  • Der folgende Ausdruck stimmt mit Anfragen überein, wenn der Base64-decodierte Wert des user-id-Headers einen bestimmten Wert enthält:

    has(request.headers['user-id']) && request.headers['user-id'].base64Decode().contains('myValue')
    
  • Der folgende Ausdruck verwendet einen vorkonfigurierten Ausdruckssatzabgleich gegen SQLi-Angriffe:

    evaluatePreconfiguredExpr('sqli-stable')
    

In der folgenden Anleitung wird davon ausgegangen, dass Sie Sicherheitsrichtlinien erstellen, die auf einen vorhandenen externen HTTP(S)-Load-Balancer und Back-End-Dienst angewendet werden sollen.

Console

So erstellen Sie Sicherheitsrichtlinien und Regeln für Google Cloud Armor und hängen die Sicherheitsrichtlinie für Google Cloud Armor an einen Back-End-Dienst an:

  1. Rufen Sie in der Google Cloud Console die Seite "Netzwerksicherheit" auf.
    Zur Seite "Netzwerksicherheit"
    Die Seite Sicherheitsrichtlinien wird angezeigt.
  2. Klicken Sie auf Richtlinie erstellen.
  3. Geben Sie im Feld Name den Namen Ihrer Richtlinie ein.
  4. Geben Sie optional eine Beschreibung der Richtlinie ein.
  5. Wählen Sie Zulassen für eine Standardregel aus, die den Zugriff erlaubt, oder Ablehnen für eine Standardregel, die den Zugriff auf eine IP-Adresse oder einen IP-Adressbereich ablehnt.

    Die Standardregel ist die Regel mit der niedrigsten Priorität, die nur dann wirksam wird, wenn keine andere Regel zutrifft.

  6. Wenn Sie eine Regel des Typs Ablehnen erstellen, wählen Sie Status "Abgelehnt" aus. Dies ist die Fehlermeldung, die Google Cloud Armor anzeigt, wenn ein Nutzer ohne Zugang versucht, Zugriff zu erhalten.

  7. Klicken Sie unabhängig von der Art der Regel, die Sie erstellen, auf Nächster Schritt.

  8. Klicken Sie auf Regel hinzufügen, um zusätzliche Regeln für die Sicherheitsrichtlinie zu konfigurieren.

  9. Geben Sie optional unter Beschreibung eine Beschreibung für die Regel ein.

  10. Wählen Sie den Modus aus.

    • Basis-Modus: Zulassen oder Ablehnen von Traffic basierend auf IP-Adressen oder Bereichen.
    • Erweiterter Modus: Zulassen oder Ablehnen von Traffic basierend auf Regelausdrücken.
  11. Geben Sie im Feld Abgleich die Bedingungen an, unter denen die Regel angewendet wird.

  12. Wählen Sie Zulassen oder Ablehnen, um Traffic zuzulassen oder abzulehnen, wenn die Regel übereinstimmt.

  13. Klicken Sie auf das Kästchen Aktivieren, um den Vorschaumodus zu aktivieren. Im Vorschaumodus können Sie sehen, wie sich die Regel verhält. Sie ist jedoch nicht aktiviert.

  14. Geben Sie die Priorität der Regel ein. Dies kann eine beliebige positive Ganzzahl von 0 bis 2.147.483.646 sein. Weitere Informationen zur Auswertungsreihenfolge finden Sie unter Regelpriorität und Auswertungsreihenfolge.

  15. Klicken Sie auf Fertig.

  16. Wenn Sie weitere Regeln hinzufügen möchten, klicken Sie auf Regel hinzufügen und wiederholen Sie die obigen Schritte. Klicken Sie andernfalls auf Nächster Schritt.

  17. Klicken Sie auf Ziel hinzufügen.

  18. Wählen Sie ein Ziel aus der Drop-down-Liste aus.

  19. Wenn Sie weitere Ziele hinzufügen möchten, klicken Sie auf Ziel hinzufügen.

  20. Klicken Sie auf Fertig.

  21. Klicken Sie auf Richtlinie erstellen.

gcloud

  1. Verwenden Sie zum Erstellen einer neuen Google Cloud Armor-Sicherheitsrichtlinie den Befehl gcloud compute security-policies create, wobei NAME der Name der Google Cloud Armor-Sicherheitsrichtlinie ist.

    gcloud compute security-policies create [NAME] \
        [--file-format=[FILE_FORMAT] | --description=[DESCRIPTION]] \
        [--file-name=[FILE_NAME]]
    

    Beispiel:

    gcloud compute security-policies create my-policy \
       --description "block bad traffic"
    
  2. Verwenden Sie den Befehl gcloud compute security-policies rules create PRIORITY (wobei PRIORITY die Priorität ist, die der Regel in der Richtlinie zugewiesen ist), um einer Google Cloud Armor-Sicherheitsrichtlinie Regeln hinzuzufügen. Weitere Informationen zur Funktionsweise von Regelprioritäten finden Sie unter Google Cloud Armor-Sicherheitsrichtlinien.

    gcloud compute security-policies rules create [PRIORITY]  \
       [--security-policy [POLICY_NAME]] \
       [--description [DESCRIPTION]] \
       --src-ip-ranges [IP_RANGE,...] | --expression [EXPRESSION] \
       --action=[ allow | deny-403 | deny-404 | deny-502 ]  \
       [--preview]
    

    Der folgende Befehl fügt eine Regel hinzu, mit der Traffic von den IP-Adressbereichen 192.0.2.0/24 und 198.51.100.0/24 blockiert wird. Die Regel hat die Priorität 1000 und ist eine Regel in der Richtlinie my-policy.

    gcloud compute security-policies rules create 1000 \
       --security-policy my-policy \
       --description "block traffic from 192.0.2.0/24 and 198.51.100.0/24" \
       --src-ip-ranges "192.0.2.0/24","198.51.100.0/24" \
       --action "deny-403"
    

    Wenn das Flag --preview hinzugefügt wird, wird die Regel zur Richtlinie hinzugefügt, aber nicht erzwungen, und der Traffic, der die Regel auslöst, wird nur in Logs erfasst.

    gcloud compute security-policies rules create 1000 \
       --security-policy my-policy \
       --description "block traffic from 192.0.2.0/24 and 198.51.100.0/24" \
       --src-ip-ranges "192.0.2.0/24","198.51.100.0/24" \
       --action "deny-403" \
       --preview
    

    Verwenden Sie das Flag --expression, um eine benutzerdefinierte Bedingung in der Google Cloud Armor-Regelsprache anzugeben. Der folgende Befehl fügt eine Regel hinzu, die Traffic von der IP-Adresse 1.2.3.4 zulässt, und enthält den String Godzilla im user-agent-Header:

    gcloud compute security-policies rules create 1000 \
       --security-policy my-policy \
       --expression "inIpRange(origin.ip, '1.2.3.4/32') && has(request.headers['user-agent']) && request.headers['user-agent'].contains('Godzilla')" \
       --action allow \
       --description "Block User-Agent 'Godzilla'"
    

    Der folgende Befehl fügt eine Regel zum Blockieren von Anfragen hinzu, wenn das Cookie der Anfrage einen bestimmten Wert enthält:

    gcloud compute security-policies rules create 1000 \
       --security-policy my-policy \
       --expression "has(request.headers['cookie']) && request.headers['cookie'].contains('cookie_name=cookie_value')" \
       --action "deny-403" \
       --description "Cookie Block"
    

    Der folgende Befehl fügt eine Regel hinzu, um Anfragen aus der Region AU zu blockieren:

    gcloud compute security-policies rules create 1000 \
       --security-policy my-policy \
       --expression "origin.region_code == 'AU'" \
       --action "deny-403" \
       --description "AU block"
    

    Der folgende Befehl fügt eine Regel hinzu, um Anfragen aus der Region AU und nicht im angegebenen IP-Bereich zu blockieren:

    gcloud compute security-policies rules create 1000 \
       --security-policy my-policy \
       --expression "origin.region_code == 'AU' && !inIpRange(origin.ip, '1.2.3.0/24')" \
       --action "deny-403" \
       --description "country and IP block"
    

    Der folgende Befehl fügt eine Regel hinzu, um Anfragen mit einem URI zu blockieren, der einem regulären Ausdruck entspricht:

    gcloud compute security-policies rules create 1000 \
       --security-policy my-policy \
       --expression "request.path.matches('/bad_path/)')" \
       --action "deny-403" \
       --description "regex block"
    

    Der folgende Befehl fügt eine Regel zum Blockieren von Anfragen hinzu, wenn der Base64-decodierte Wert des user-id-Headers einen bestimmten Wert enthält:

    gcloud compute security-policies rules create 1000 \
       --security-policy my-policy \
       --expression "has(request.headers['user-id']) && request.headers['user-id'].base64Decode().contains('myValue')" \
       --action "deny-403" \
       --description "country and IP block"
    

    Der folgende Befehl fügt eine Regel hinzu, die einen vorkonfigurierten Ausdruck verwendet, um SQLi-Angriffe abzuwenden:

    gcloud compute security-policies rules create 1000 \
       --security-policy my-policy \
       --expression "evaluatePreconfiguredExpr('sqli-stable')" \
       --action "deny-403"
    

    Der folgende Befehl fügt eine Regel hinzu, die einen vorkonfigurierten Ausdruck verwendet, um den Zugriff von allen IP-Adressen in einer Liste mit benannten IP-Adressen zuzulassen:

    gcloud beta compute security-policies rules create 1000 \
       --security-policy my-policy \
       --expression "evaluatePreconfiguredExpr('sourceiplist-fastly')" \
       --action "allow"
    

Verfügbare vorkonfigurierte Regeln auflisten

Listen Sie vorkonfigurierte Regeln auf, um die vordefinierten Anwendungsschutzregeln und -signaturen wie das von Google Cloud Armor bereitgestellte ModSecurity Core Rule Set anzeigen zu lassen. Diese vorkonfigurierten Regeln enthalten mehrere integrierte Signaturen, mit denen Google Cloud Armor eingehende Anfragen auswertet. Sie können diese vorkonfigurierten Regeln neuen oder vorhandenen Regeln mithilfe der Sprache der benutzerdefinierten Regeln für Google Cloud Armor hinzufügen.

Weitere Informationen finden Sie unter Vorkonfigurierte Regeln.

gcloud

  1. Führen Sie den Befehl gcloud compute security-policies list-preconfigured-expression-sets aus:

    gcloud compute security-policies list-preconfigured-expression-sets
    

    Das folgende Beispiel zeigt die Form der Befehlsausgabe:

    EXPRESSION_SET
    expression-set-1
       RULE_ID
       expression-set-1-id-1
       expression-set-1-id-2
    expression-set-2
       alias-1
       RULE_ID
       expression-set-2-id-1
       expression-set-2-id-2
    

    Das folgende Beispiel enthält ein Beispiel der tatsächlichen Befehlsausgabe. Beachten Sie, dass die tatsächliche Ausgabe alle Regeln enthält, die unter Google Cloud Armor-WaF-Regeln abstimmen aufgeführt sind.

    gcloud beta compute security-policies list-preconfigured-expression-sets
    
    EXPRESSION_SET
    sqli-canary
        RULE_ID
        owasp-crs-v030001-id942110-sqli
        owasp-crs-v030001-id942120-sqli
        …
    xss-canary
        RULE_ID
        owasp-crs-v030001-id941110-xss
        owasp-crs-v030001-id941120-xss
    …
    sourceiplist-fastly
    sourceiplist-cloudflare
    sourceiplist-imperva
    

Google Cloud Armor-Sicherheitsrichtlinien auflisten

Folgen Sie dieser Anleitung, um alle Google Cloud Armor-Sicherheitsrichtlinien im aktuellen Projekt oder in einem von Ihnen angegebenen Projekt aufzulisten.

Console

  1. Rufen Sie in der Google Cloud Console die Seite "Netzwerksicherheit" auf.
    Zur Seite "Netzwerksicherheit"
    Die Seite Sicherheitsrichtlinien und eine Liste der Richtlinien werden angezeigt.

  2. Klicken Sie auf den Namen einer Richtlinie, um sie anzeigen zu lassen.

gcloud

So listen Sie alle konfigurierten Google Cloud Armor-Sicherheitsrichtlinien auf:

gcloud compute security-policies list

Beispiel:

gcloud compute security-policies list
NAME
my-policy

Weitere Informationen finden Sie unter gcloud compute security-policies list.

Google Cloud Armor-Sicherheitsrichtlinien aktualisieren

So aktualisieren Sie eine Google Cloud Armor-Sicherheitsrichtlinie: Sie können beispielsweise die Beschreibung der Richtlinie, das Verhalten der Standardregel und den Ziel-Back-End-Dienst ändern sowie neue Regeln hinzufügen.

Console

So aktualisieren Sie eine Google Cloud Armor-Sicherheitsrichtlinie:

  1. Rufen Sie in der Google Cloud Console die Seite "Netzwerksicherheit" auf.
    Zur Seite "Netzwerksicherheit"
    Die Seite Cloud Armor und eine Liste der Richtlinien werden angezeigt.
  2. Klicken Sie auf das Dreipunkt-Menü für die Richtlinie, die Sie aktualisieren möchten.

    1. Wählen Sie Bearbeiten aus, nehmen Sie die gewünschten Änderungen vor und klicken Sie auf Aktualisieren, um die Richtlinienbeschreibung der Standardregelaktion zu aktualisieren.
    2. Um eine Regel hinzuzufügen, wählen Sie Regel hinzufügen aus und folgen Sie der obigen Anleitung, mit der in der Console einer Richtlinie eine Regel hinzugefügt wird.
    3. Um den Ziel-Back-End-Dienst für die Google Cloud Armor-Sicherheitsrichtlinie zu ändern, wählen Sie Richtlinie auf Ziel anwenden aus, fügen Sie ein neues Ziel hinzu und klicken Sie auf Hinzufügen.

gcloud

So aktualisieren Sie eine Google Cloud Armor-Sicherheitsrichtlinie mit dem gcloud-Befehlszeilentool:

Google Cloud Armor-Sicherheitsrichtlinien exportieren

Mit dem gcloud-Befehlszeilentool können Sie eine Google Cloud Armor-Sicherheitsrichtlinie als YAML- oder JSON-Datei exportieren. Durch das Exportieren einer Richtlinie können Sie eine Kopie von ihr abrufen, die Sie in der Versionsverwaltung ändern oder speichern können.

gcloud

  1. Im folgenden Befehl ist NAME der Name der Google Cloud Armor-Sicherheitsrichtlinie. Gültige Dateiformate sind YAML und JSON. Wenn Sie das Dateiformat nicht angeben, verwendet Google Cloud Armor das Standardformat YAML.

    gcloud compute security-policies export NAME \
        --file-name [FILE_NAME]  \
        --file-format [FILE_FORMAT]
    

    Mit dem folgenden Befehl wird die Sicherheitsrichtlinie my-policy in die Datei my-file im YAML-Format exportiert:

    gcloud compute security-policies export my-policy \
         --file-name my-file \
         --file-format yaml
     

    Das folgende Beispiel zeigt eine exportierte Sicherheitsrichtlinie:

    description: my description
    fingerprint: PWfLGDWQDLY=
    id: '123'
    name: my-policy
    rules:

    • action: allow description: default rule match: config: srcIpRanges: - '*' versionedExpr: SRC_IPS_V1 preview: false priority: 2147483647 selfLink: https://www.googleapis.com/compute/v1/projects/my-project/global/securityPolicies/my-policy
  2. Sie können die exportierte Datei mit einem beliebigen Texteditor ändern und dann mit dem Befehl import zurück in die GCP importieren.

Google Cloud Armor-Sicherheitsrichtlinien importieren

Mit dem gcloud-Befehlszeilentool können Sie Google Cloud Armor-Sicherheitsrichtlinien als YAML- oder JSON-Datei importieren. Mit dem Befehl import können Sie nicht die Regeln einer vorhandenen Richtlinie aktualisieren. Stattdessen aktualisieren Sie die Regeln einzeln mit dem Verfahren Regeln aktualisieren oder gleichzeitig mit dem Verfahren Mehrere Regeln in einer Google Cloud Armor-Sicherheitsrichtlinie atomar aktualisieren.

gcloud

Verwenden Sie zum Importieren von Google Cloud Armor-Sicherheitsrichtlinien den Befehl gcloud compute security-policies import NAME, wobei NAME der Name der Google Cloud Armor-Sicherheitsrichtlinie ist, die Sie importieren. Wenn Sie das Dateiformat nicht angeben, wird das richtige Format von der Dateistruktur abgeleitet. Wenn die Struktur ungültig ist, wird ein Fehler angezeigt.

gcloud compute security-policies import NAME \
   --file-name [FILE_NAME] \
  [--file-format [FILE_FORMAT]]

Mit dem folgenden Befehl wird durch Importieren der Datei my-file beispielsweise die Richtlinie my-policy aktualisiert.

gcloud compute security-policies import my-policy \
    --file-name my-file \
    --file-format json

Wenn der Fingerabdruck der Richtlinie beim Import veraltet ist, zeigt Google Cloud Armor einen Fehler an. Das bedeutet, dass die Richtlinie seit dem letzten Export geändert wurde. Verwenden Sie zur Behebung dieses Problems den Befehl describe der Richtlinie, um den neuesten Fingerabdruck abzurufen. Führen Sie alle Unterschiede zwischen der beschriebenen Richtlinie und Ihrer Richtlinie zusammen und ersetzen Sie den veralteten Fingerabdruck durch den neuesten.

Google Cloud Armor-Sicherheitsrichtlinien löschen

Folgen Sie dieser Anleitung, um eine Google Cloud Armor-Sicherheitsrichtlinie zu löschen. Sie müssen alle Back-End-Dienste aus der Richtlinie entfernen, bevor Sie sie löschen können.

Console

So löschen Sie eine Google Cloud Armor-Sicherheitsrichtlinie:

  1. Rufen Sie in der Google Cloud Console die Seite "Netzwerksicherheit" auf.
    Zur Seite "Netzwerksicherheit"
    Die Seite Cloud Armor wird angezeigt.
  2. Klicken Sie neben dem Namen der Google Cloud Armor-Sicherheitsrichtlinie, die Sie löschen möchten, auf das Kästchen.
  3. Klicken Sie rechts oben auf dem Bildschirm auf das Symbol Löschen.

gcloud

Verwenden Sie gcloud compute security-policies delete NAME, um eine Sicherheitsrichtlinie zu löschen, wobei NAME der Name der Google Cloud Armor-Sicherheitsrichtlinie ist.

gcloud compute security-policies delete NAME

Google Cloud Armor-Sicherheitsrichtlinie an einen Back-End-Dienst anhängen

Folgen Sie dieser Anleitung, um eine Google Cloud Armor-Sicherheitsrichtlinie an einen Back-End-Dienst anzuhängen. Eine Google Cloud Armor-Sicherheitsrichtlinie kann an mehrere Back-End-Dienste angehängt werden. An einen Back-End-Dienst kann jedoch nur eine Google Cloud Armor-Sicherheitsrichtlinie angehängt werden.

Console

So hängen Sie eine Richtlinie an einen Back-End-Dienst an:

  1. Rufen Sie in der Google Cloud Console die Seite "Netzwerksicherheit" auf.
    Zur Seite "Netzwerksicherheit"
    Die Seite Cloud Armor wird angezeigt.
  2. Klicken Sie auf den Namen der Google Cloud Armor-Sicherheitsrichtlinie. Die Seite Richtliniendetails wird angezeigt.
  3. Klicken Sie in der Mitte der Seite auf den Tab Ziele.
  4. Klicken Sie auf Richtlinie auf neues Ziel anwenden.
  5. Klicken Sie auf Ziel hinzufügen.
  6. Klicken Sie auf Ziel auswählen.
  7. Wählen Sie das Ziel aus.
  8. Klicken Sie auf Hinzufügen.

gcloud

Verwenden Sie den Befehl gcloud compute backend-services, um eine Sicherheitsrichtlinie an einen Back-End-Dienst anzuhängen.

gcloud compute backend-services update my-backend \
    --security-policy my-policy

Google Cloud Armor-Sicherheitsrichtlinie von einem Back-End-Dienst entfernen

Folgen Sie dieser Anleitung, um eine Google Cloud Armor-Sicherheitsrichtlinie von einem Back-End-Dienst zu entfernen.

Console

So entfernen Sie eine Richtlinie von einem Back-End-Dienst:

  1. Rufen Sie in der Google Cloud Console die Seite "Netzwerksicherheit" auf.
    Zur Seite "Netzwerksicherheit"
    Die Seite Cloud Armor wird angezeigt.
  2. Klicken Sie auf den Namen der Google Cloud Armor-Sicherheitsrichtlinie. Die Seite Richtliniendetails wird angezeigt.
  3. Klicken Sie in der Mitte der Seite auf den Tab Ziele.
  4. Wählen Sie den Ziel-Back-End-Dienst aus, von dem Sie die Richtlinie entfernen.
  5. Klicken Sie auf Entfernen.
  6. Klicken Sie im Pop-up-Fenster auf Entfernen, um dies zu bestätigen.

gcloud

So entfernen Sie eine Google Cloud Armor-Sicherheitsrichtlinie vom Back-End-Dienst my-backend:

gcloud compute backend-services update my-backend \
   --security-policy ""

Regeln zu einer Google Cloud Armor-Sicherheitsrichtlinie hinzufügen

Folgen Sie dieser Anleitung, um Regeln zu einer Google Cloud Armor-Sicherheitsrichtlinie hinzuzufügen.

Console

So fügen Sie einer Google Cloud Armor-Sicherheitsrichtlinie Regeln hinzu:

  1. Rufen Sie in der Google Cloud Console die Seite "Netzwerksicherheit" auf.
    Zur Seite "Netzwerksicherheit"
    Die Seite Cloud Armor wird angezeigt.
  2. Klicken Sie auf den Namen der Google Cloud Armor-Sicherheitsrichtlinie. Die Seite Richtliniendetails wird angezeigt.
  3. Klicken Sie in der Mitte der Seite auf Regel hinzufügen.
  4. Geben Sie optional eine Beschreibung der Regel ein.
  5. Wählen Sie den Modus aus.

    • Basis-Modus: Zulassen oder Ablehnen von Traffic basierend auf IP-Adressen oder Bereichen.
    • Erweiterter Modus: Zulassen oder Ablehnen von Traffic basierend auf Regelausdrücken.
  6. Geben Sie im Feld Abgleich die Bedingungen an, unter denen die Regel angewendet wird.

    • Basis-Modus: Geben Sie einen (1) bis fünf (5) IP-Adressbereiche ein, die in der Regel übereinstimmen sollen.
    • Erweiterter Modus: Geben Sie einen Ausdruck oder Unterausdrücke ein, um sie anhand eingehender Anfragen auszuwerten. Informationen zum Schreiben der Ausdrücke finden Sie in der Referenz zur Sprache der benutzerdefinierten Regeln für Google Cloud Armor und in den folgenden Beispielen:

      • Der folgende Ausdruck stimmt mit Anfragen von der IP-Adresse 1.2.3.4 überein und enthält den String Godzilla im user-agent-Header:

        inIpRange(origin.ip, '1.2.3.4/32') && has(request.headers['user-agent']) && request.headers['user-agent'].contains('Godzilla')
        
      • Der folgende Ausdruck stimmt mit Anfragen überein, die ein Cookie mit einem bestimmten Wert enthalten:

        has(request.headers['cookie']) && request.headers['cookie'].contains('cookie_name=cookie_value')
        
      • Der folgende Ausdruck stimmt mit Anfragen aus der Region AU überein:

        origin.region_code == 'AU'
        
      • Der folgende Ausdruck stimmt mit Anfragen aus der Region AU und nicht im angegebenen IP-Bereich überein:

        request.region_code == "AU" && !inIpRange(origin.ip, '1.2.3.0/24')
        
      • Der folgende Ausdruck stimmt mit Anfragen überein, wenn der URI mit einem regulären Ausdruck übereinstimmt:

        request.path.matches('/bad_path/)')
        
      • Der folgende Ausdruck stimmt mit Anfragen überein, wenn der Base64-decodierte Wert des user-id-Headers einen bestimmten Wert enthält:

        has(request.headers['user-id']) && request.headers['user-id'].base64Decode().contains('myValue')
        
      • Der folgende Ausdruck verwendet einen vorkonfigurierten Ausdruckssatzabgleich gegen SQLi-Angriffe:

        evaluatePreconfiguredExpr('sqli-stable')
        
  7. Wählen Sie im Abschnitt Aktion die Option Zulassen oder Ablehnen aus.

  8. Wenn Sie eine Regel des Typs "Ablehnen" erstellen, wählen Sie Status "Abgelehnt" aus.

  9. Wenn Sie den Vorschaumodus für die Regel aktivieren möchten, klicken Sie auf Aktivieren.

  10. Geben Sie im Feld Priorität eine positive Ganzzahl ein.

  11. Klicken Sie auf Hinzufügen.

gcloud

Verwenden Sie den Befehl gcloud compute security-policies rules create PRIORITY (wobei PRIORITY die Priorität der Regel in der Richtlinie ist), um einer Google Cloud Armor-Sicherheitsrichtlinie Regeln hinzuzufügen.

gcloud compute security-policies rules create PRIORITY \
   --security-policy [POLICY_NAME} \
   --description [DESCRIPTION] \
   --src-ip-ranges [IP_RANGES] | --expression [EXPRESSION] \
   --action=[ allow | deny-403 | deny-404 | deny-502 ] \
   --preview

Der folgende Befehl fügt eine Regel hinzu, mit der Traffic von den IP-Adressbereichen 192.0.2.0/24 und 198.51.100.0/24 blockiert wird. Die Regel hat die Priorität 1000 und ist eine Regel in der Richtlinie my-policy.

gcloud compute security-policies rules create 1000 \
   --security-policy my-policy \
   --description "block traffic from 192.0.2.0/24 and 198.51.100.0/24" \
   --src-ip-ranges "192.0.2.0/24","198.51.100.0/24" \
   --action "deny-403"

Verwenden Sie das Flag --expression, um eine Bedingung in der Google Cloud Armor-Regelsprache anzugeben. Der folgende Befehl fügt eine Regel hinzu, die Traffic von der IP-Adresse 1.2.3.4 zulässt, und enthält den String Godzilla im user-agent-Header:

gcloud compute security-policies rules create 1000 \
   --security-policy my-policy \
   --expression "inIpRange(origin.ip, '1.2.3.4/32') && has(request.headers['user-agent']) && request.headers['user-agent'].contains('Godzilla')" \
   --action allow \
   --description "Block User-Agent 'Godzilla'"

Der folgende Befehl fügt eine Regel zum Blockieren von Anfragen hinzu, wenn das Cookie der Anfrage einen bestimmten Wert enthält:

gcloud compute security-policies rules create 1000 \
   --security-policy my-policy \
   --expression "has(request.headers['cookie']) && request.headers['cookie'].contains('80=BLAH')" \
   --action deny-403 \
   --description "Cookie Block"

Der folgende Befehl fügt eine Regel hinzu, um Anfragen aus der Region AU zu blockieren:

gcloud compute security-policies rules create 1000 \
   --security-policy my-policy \
   --expression "origin.region_code == 'AU'" \
   --action deny-403 \
   --description "AU block"

Der folgende Befehl fügt eine Regel hinzu, um Anfragen aus der Region AU und nicht im angegebenen IP-Bereich zu blockieren:

gcloud compute security-policies rules create 1000 \
   --security-policy my-policy \
   --expression "request.region_code == "AU" && !inIpRange(origin.ip, '1.2.3.0/24')" \
   --action deny-403 \
   --description "country and IP block"

Der folgende Befehl fügt eine Regel hinzu, um Anfragen mit einem URI zu blockieren, der einem regulären Ausdruck entspricht:

gcloud compute security-policies rules create 1000 \
   --security-policy my-policy \
   --expression "request.path.matches('/bad_path/)')" \
   --action deny-502 \
   --description "regex block"

Der folgende Befehl fügt eine Regel zum Blockieren von Anfragen hinzu, wenn der Base64-decodierte Wert des user-id-Headers einen bestimmten Wert enthält:

gcloud compute security-policies rules create 1000 \
   --security-policy my-policy \
   --expression "has(request.headers['user-id']) && request.headers['user-id'].base64Decode().contains('myValue')" \
   --action deny-403 \
   --description "country and IP block"

Der folgende Befehl fügt eine Regel hinzu, die einen vorkonfigurierten Ausdruck verwendet, um SQLi-Angriffe abzuwenden:

gcloud compute security-policies rules create 1000 \
   --security-policy my-policy \
   --expression "evaluatePreconfiguredExpr('sqli-stable')" \
   --action deny-403

Regeln in einer Google Cloud Armor-Sicherheitsrichtlinie auflisten

Folgen Sie dieser Anleitung, um Regeln in einer Google Cloud Armor-Sicherheitsrichtlinie aufzulisten.

Console

So listen Sie die Regeln in einer Google Cloud Armor-Sicherheitsrichtlinie auf:

  1. Rufen Sie in der Google Cloud Console die Seite "Netzwerksicherheit" auf.
    Zur Seite "Netzwerksicherheit"
    Die Seite Cloud Armor wird angezeigt.
  2. Klicken Sie auf den Namen der Google Cloud Armor-Sicherheitsrichtlinie. Die Seite Richtliniendetails wird angezeigt und die Richtlinienregeln werden in der Mitte der Seite aufgelistet.

gcloud

Verwenden Sie den folgenden gcloud-Befehl, um alle Regeln in einer einzelnen Sicherheitsrichtlinie zusammen mit einer Beschreibung der Richtlinie aufzulisten.

gcloud compute security-policies describe [NAME] \

Verwenden Sie den folgenden gcloud-Befehl, um eine Regel mit der angegebenen Priorität in der angegebenen Google Cloud Armor-Sicherheitsrichtlinie zu beschreiben.

gcloud compute security-policies rules describe [PRIORITY] \
    --security-policy [POLICY_NAME]

Der folgende Befehl beschreibt beispielsweise die Regel mit der Priorität 1000 in der Google Cloud Armor-Sicherheitsrichtlinie my-policy:

gcloud compute security-policies rules describe 1000 \
    --security-policy my-policy

action: deny(403)
description: block traffic from 192.0.2.0/24 and 198.51.100.0/24
kind: compute#securityPolicyRule
match:
  srcIpRanges:

  • '192.0.2.0/24'
  • '198.51.100.0/24' preview: false priority: 1000

Einzelne Regel aktualisieren

Folgen Sie dieser Anleitung, um eine einzelne Regel in einer Google Cloud Armor-Sicherheitsrichtlinie zu aktualisieren. Informationen zum atomaren Aktualisieren mehrerer Regeln finden Sie unter Mehrere Regeln in einer Google Cloud Armor-Sicherheitsrichtlinie atomar aktualisieren.

Console

So aktualisieren Sie eine Regel:

  1. Rufen Sie in der Google Cloud Console die Seite "Netzwerksicherheit" auf.
    Zur Seite "Netzwerksicherheit"
    Die Seite Cloud Armor wird angezeigt.
  2. Klicken Sie auf den Namen der Google Cloud Armor-Sicherheitsrichtlinie. Die Seite Richtliniendetails wird angezeigt.
  3. Klicken Sie in der Mitte der Seite auf das Stiftsymbol neben der Regel. Die Seite Regel bearbeiten wird angezeigt.
  4. Nehmen Sie die gewünschten Änderungen vor und klicken Sie auf Aktualisieren.

gcloud

Verwenden Sie diesen Befehl, um eine Regel mit der angegebenen Priorität in einer angegebenen Google Cloud Armor-Sicherheitsrichtlinie zu aktualisieren. Mit diesem Befehl können Sie immer nur eine Google Cloud Armor-Sicherheitsrichtlinie aktualisieren.

gcloud compute security-policies rules update [PRIORITY] [ \
   --security-policy [POLICY_NAME]  \
   --description [DESCRIPTION]  \
   --src-ip-ranges [IP_RANGES]  | --expression [EXPRESSION] \
   --action=[ allow | deny-403 | deny-404 | deny-502 ]  \
   --preview
  ]
  

Mit dem folgenden Befehl wird beispielsweise eine Regel mit der Priorität 1111 aktualisiert, um Traffic aus dem IP-Adressbereich 192.0.2.0/24 zuzulassen.

gcloud compute security-policies rules update 1111 \
   --security-policy my-policy \
   --description "allow traffic from 192.0.2.0/24" \
   --src-ip-ranges "192.0.2.0/24" \
   --action "allow"

Weitere Informationen zu diesem Befehl finden Sie unter gcloud compute security-policies rules update

Um die Priorität einer Regel zu aktualisieren, müssen Sie die REST API verwenden. Weitere Informationen finden Sie unter securityPolicies.patchRule.

Mehrere Regeln in einer Google Cloud Armor-Sicherheitsrichtlinie atomar aktualisieren

Bei einer atomaren Aktualisierung werden Änderungen an mehreren Regeln in einer einzigen Aktualisierung angewendet. Wenn Sie Regeln einzeln aktualisieren, kann es zu einem unbeabsichtigten Verhalten kommen, da alte und neue Regeln möglicherweise für kurze Zeit zusammenarbeiten.

Wenn Sie mehrere Regeln atomar aktualisieren möchten, exportieren Sie die aktuelle Google Cloud Armor-Sicherheitsrichtlinie in eine JSON- oder YAML-Datei und bearbeiten Sie diese. Verwenden Sie die geänderte Datei, um eine neue Google Cloud Armor-Sicherheitsrichtlinie zu erstellen, und wechseln Sie dann die Sicherheitsrichtlinie für die relevanten Back-End-Dienste aus.

gcloud

  1. Exportieren Sie die Richtlinie, die Sie aktualisieren möchten, wie im folgenden Beispiel gezeigt:

    gcloud compute security-policies export my-policy \
         --file-name my-file \
         --file-format yaml
    

    Die exportierte Richtlinie sieht etwa so aus:

    description: my description
    fingerprint: PWfLGDWQDLY=
    id: '123'
    name: my-policy
    rules:

    • action: deny(404) description: my-rule-1 match: expr: expression: evaluatePreconfiguredExpr('xss-stable') versionedExpr: SRC_IPS_V1 preview: false priority: 1
    • action: allow description: my-rule-2 match: config: srcIpRanges:
      • '1.2.3.4' versionedExpr: SRC_IPS_V1 preview: false priority: 2
    • action: deny description: default rule kind: compute#securityPolicyRule match: config: srcIpRanges:
      • '*' versionedExpr: SRC_IPS_V1 preview: false priority: 2147483647 selfLink: https://www.googleapis.com/compute/v1/projects/my-project/global/securityPolicies/my-policy
  2. Ändern Sie die Richtlinie in einem beliebigen Texteditor. Sie können beispielsweise die Prioritäten der vorhandenen Regeln ändern und eine neue Regel hinzufügen:

    description: my description
    fingerprint: PWfLGDWQDLY=
    id: '123'
    name: my-policy
    rules:

    • action: deny(404) description: my-rule-1 match: expr: expression: evaluatePreconfiguredExpr('xss-stable') versionedExpr: SRC_IPS_V1 preview: false priority: 1
    • action: allow description: my-new-rule match: config: srcIpRanges:
      • '1.2.3.1' versionedExpr: SRC_IPS_V1 preview: false priority: 10
    • action: allow description: my-rule-2 match: config: srcIpRanges:
      • '1.2.3.4' versionedExpr: SRC_IPS_V1 preview: false priority: 11
    • action: deny description: default rule kind: compute#securityPolicyRule match: config: srcIpRanges:
      • '*' versionedExpr: SRC_IPS_V1 preview: false priority: 2147483647 selfLink: https://www.googleapis.com/compute/v1/projects/my-project/global/securityPolicies/my-policy
  3. Erstellen Sie eine neue Google Cloud Armor-Sicherheitsrichtlinie und geben Sie den geänderten Dateinamen und das Format wie im folgenden Beispiel an:

    gcloud compute security-policies create new-policy \
       --description "allow-listed traffic" \
       --file-name modified-policy \
       --file-format yaml
    
  4. Entfernen Sie die alte Sicherheitsrichtlinie aus dem entsprechenden Back-End-Dienst, wie im folgenden Beispiel gezeigt:

    gcloud compute backend-services update my-backend \
       --security-policy ""
    
  5. Fügen Sie dem Back-End-Dienst die neue Sicherheitsrichtlinie hinzu, wie im folgenden Beispiel gezeigt:

    gcloud compute backend-services update my-backend \
        --security-policy new-policy
    
  6. Wenn die alte Richtlinie nicht verwendet wird, löschen Sie sie:

    gcloud compute security-policies delete my-policy
    

Regeln löschen

Folgen Sie dieser Anleitung, um Regeln aus einer Google Cloud Armor-Sicherheitsrichtlinie zu löschen.

Console

So löschen Sie eine Regel aus einer Google Cloud Armor-Sicherheitsrichtlinie:

  1. Rufen Sie in der Google Cloud Console die Seite "Netzwerksicherheit" auf.
    Zur Seite "Netzwerksicherheit"
    Die Seite Cloud Armor wird angezeigt.
  2. Klicken Sie auf den Namen der Google Cloud Armor-Sicherheitsrichtlinie. Die Seite Richtliniendetails wird angezeigt.
  3. Aktivieren Sie in der Mitte der Seite das Kästchen neben der Regel, die Sie löschen möchten.
  4. Klicken Sie auf Löschen.

gcloud

Verwenden Sie diesen Befehl, um eine Regel mit der angegebenen Priorität aus einer bestimmten Google Cloud Armor-Sicherheitsrichtlinie zu entfernen. Sie können jeweils nur eine Google Cloud Armor-Sicherheitsrichtlinie ändern, aber Sie können mehrere Regeln gleichzeitig löschen.

gcloud compute security-policies rules delete PRIORITY [...] [
   --security-policy [POLICY_NAME] \
  ]

Beispiel:

gcloud compute security-policies rules delete 1000 \
   --security-policy my-policy

HTTP(S)-Anfrage-Logging aktivieren

Google Cloud Armor-Logs für den Namen der Sicherheitsrichtlinie, die Priorität der Abgleichsregel, die zugehörige Aktion und die zugehörigen Informationen werden als Teil des Logging für HTTP(S)-Load-Balancing protokolliert. Das Logging für neue Back-End-Dienste ist standardmäßig deaktiviert. Daher müssen Sie das Logging für HTTP(S)-Load-Balancing aktivieren, um vollständige Logging-Informationen für Google Cloud Armor aufzuzeichnen.

Mit dem Logging für HTTP(S)-Load-Balancing können Sie sich abgelehnte und zugelassene HTTP(S)-Anfragen im Detail ansehen. Wenn Sie beispielsweise abgelehnte Anfragen aufrufen möchten, können Sie Filter wie jsonPayload.enforcedSecurityPolicy.outcome="DENY" oder jsonPayload.statusDetails="denied_by_security_policy" verwenden.

Informationen zur Logging-Aktivierung für das HTTP(S)-Load-Balancing finden Sie unter Logging und Monitoring für das HTTP(S)-Load-Balancing.

Logs ansehen

Sie können Logs nur in der Console anzeigen lassen.

Console

So lassen Sie die Logs für eine Google Cloud Armor-Sicherheitsrichtlinie anzeigen:

  1. Rufen Sie in der Google Cloud Console die Seite "Netzwerksicherheit" auf.
    Zur Seite "Netzwerksicherheit"
    Die Seite Cloud Armor wird angezeigt.
  2. Klicken Sie in der Zeile für eine Sicherheitsrichtlinie auf das Dreipunkt-Menü der Richtlinie, deren Logs Sie sehen möchten.
  3. Wählen Sie Logs ansehen aus.

Weitere Informationen