Le sezioni seguenti descrivono l'interazione di Google Cloud Armor e altri prodotti e funzionalità Google Cloud.
Regole firewall di Google Cloud Armor e VPC
I criteri di sicurezza di Google Cloud Armor e le regole del firewall VPC hanno funzioni diverse:
- I criteri di sicurezza di Google Cloud Armor forniscono sicurezza perimetrale e agiscono sul traffico client verso i front-end di Google (GFEs).
- Le regole firewall VPC consentono o negano il traffico da e verso di backend. Devi creare regole firewall di autorizzazione in entrata, i cui target sono le VM di backend bilanciate in base al carico e le cui origini sono gli intervalli IP utilizzati dai bilanciatori del carico delle applicazioni esterni globali o dai bilanciatori del carico delle applicazioni classici. Queste regole consentono ai GFE e ai sistemi di controllo di integrità di comunicare con le VM di backend.
Ad esempio, considera uno scenario in cui vuoi consentire solo il traffico proveniente da l'intervallo CIDR 100.1.1.0/24 e l'intervallo CIDR 100.1.2.0/24 per accedere Bilanciatore del carico delle applicazioni esterno globale o bilanciatore del carico delle applicazioni classico. Il tuo obiettivo è assicurarti che il traffico non possa raggiungere direttamente le istanze di backend bilanciate in base al carico. In altre parole, solo il traffico esterno sottoposto a proxy tramite il bilanciatore del carico delle applicazioni esterno globale o il bilanciatore del carico delle applicazioni classico con un criterio di sicurezza associato deve raggiungere le istanze.
Nell'illustrazione precedente, puoi raggiungere gli obiettivi di sicurezza configurando il deployment di Google Cloud come segue:
- Crea due gruppi di istanze, uno nella regione
us-west1e un altro nella regioneeurope-west1. - Esegui il deployment delle istanze dell'applicazione di backend nelle VM nei gruppi di istanze.
- Crea un bilanciatore del carico delle applicazioni esterno globale o un bilanciatore del carico delle applicazioni classico in Premium
Livello. Configurare una mappa URL semplice
e un singolo servizio di backend i cui backend sono i due gruppi di istanze
creato nel passaggio precedente. Assicurati che lo spazio di controllo
La regola di forwarding utilizza l'indirizzo IP esterno
120.1.1.1. - Configura un criterio di sicurezza di Google Cloud Armor che consenta il traffico da 100.1.1.0/24 e 100.1.2.0/24 e nega tutto il traffico.
- Associa questo criterio al servizio di backend del bilanciatore del carico. Per le istruzioni, consulta Configurare i criteri di sicurezza. Bilanciatori del carico HTTP(S) esterni con modelli Le mappe URL possono fare riferimento a più servizi di backend. Puoi associare il criterio di sicurezza a uno o più servizi di backend, in base alle esigenze.
- Configura le regole firewall in entrata per consentire il traffico dal bilanciatore del carico delle applicazioni esterno globale o dal bilanciatore del carico delle applicazioni classico. Per ulteriori informazioni, consulta Regole firewall.
Google Cloud Armor con bilanciatori del carico delle applicazioni esterni e IAP
Identity-Aware Proxy (IAP) verifica l'identità dell'utente e poi determina se l'utente deve essere autorizzato ad accedere a un'applicazione. A abilitare IAP per il bilanciatore del carico delle applicazioni esterno globale o il bilanciatore del carico delle applicazioni classico, dai servizi di backend del bilanciatore del carico. Analogamente, i criteri di sicurezza di Google Cloud Armor per l'edge sono associati ai servizi di backend di un bilanciatore del carico delle applicazioni esterno globale o di un bilanciatore del carico delle applicazioni classico.
Se i criteri di sicurezza di Google Cloud Armor e IAP sono entrambi abilitati per un servizio di backend, l'ordine della valutazione dipende di bilanciamento del carico:
Per un servizio di backend di un bilanciatore del carico delle applicazioni esterno globale, Google Cloud Armor che la valutazione avviene per prima. Se Google Cloud Armor blocca una richiesta, IAP non valuta la richiesta. Se Google Cloud Armor consente una richiesta, IAP valuta quindi la richiesta. La richiesta viene bloccata se IAP non autentica la richiesta.
Per un servizio di backend di un bilanciatore del carico delle applicazioni classico, La valutazione IAP avviene per prima. Se IAP autentica una richiesta, Google Cloud Armor valuta la richiesta. Se una richiesta non supera l'autenticazione IAP, Google Cloud Armor non la valuta.
Per ulteriori informazioni su IAP e sulle configurazioni correlate, consulta la documentazione di Identity-Aware Proxy.
Google Cloud Armor con deployment ibridi
In un deployment ibrido, un bilanciatore del carico delle applicazioni esterno globale o un bilanciatore del carico delle applicazioni classico richiede l'accesso a un'applicazione origine di contenuto eseguita all'esterno di Google Cloud, ad esempio in un altro dell'infrastruttura del cloud provider. Puoi utilizzare Google Cloud Armor per proteggere queste implementazioni.
Nel diagramma seguente, il bilanciatore del carico include due servizi di backend. Uno contiene gruppo di istanze come backend. L'altro servizio di backend ha un NEG internet come backend e il NEG internet è associato a un'applicazione in esecuzione nel data center di un fornitore di terze parti.
Quando colleghi un criterio di sicurezza di Google Cloud Armor al backend servizio che ha un NEG internet come backend, Google Cloud Armor esamina ogni richiesta L7 che arriva al bilanciatore del carico delle applicazioni esterno globale il bilanciatore del carico delle applicazioni classico per quel servizio di backend.
La protezione di Google Cloud Armor per le implementazioni ibride è soggetta alle stesse limitazioni che si applicano ai NEG internet.
Google Cloud Armor con Ingress di Google Kubernetes Engine (GKE)
Dopo aver configurato un criterio di sicurezza di Google Cloud Armor, puoi utilizzare Ingress in Kubernetes per abilitarlo con GKE.
Puoi fare riferimento al criterio di sicurezza con una risorsa BackendConfig aggiungendo
il nome del criterio di sicurezza in BackendConfig. Le seguenti
Il file manifest BackendConfig specifica un criterio di sicurezza denominato
example-security-policy:
apiVersion: cloud.google.com/v1
kind: BackendConfig
metadata:
namespace: cloud-armor-how-to
name: my-backendconfig
spec:
securityPolicy:
name: "example-security-policy"
Per ulteriori informazioni sulle funzionalità di Ingress, consulta Configurazione delle funzionalità Ingress.
Google Cloud Armor con Cloud CDN
Per proteggere i server di origine CDN, puoi utilizzare Google Cloud Armor con Cloud CDN. Google Cloud Armor protegge il server di origine CDN dagli attacchi alle applicazioni, riduce i rischi della Top 10 di OWASP e applica i criteri di filtrazione di livello 7. Esistono due tipi di criteri di sicurezza che influiscono sul modo in cui Google Cloud Armor funziona con Cloud CDN: criteri di sicurezza perimetrali e e i criteri di sicurezza del backend.
Criteri di sicurezza perimetrale
Puoi utilizzare i criteri di sicurezza perimetrali per i servizi di backend abilitati per Cloud CDN e per i bucket di backend di Cloud Storage dietro il bilanciatore del carico delle applicazioni esterno globale o il bilanciatore del carico delle applicazioni classico. Utilizza i criteri di sicurezza di Edge per filtrare le richieste prima che i contenuti vengano pubblicati dalla cache.
Criteri di sicurezza del backend
Quando i criteri di sicurezza di backend di Google Cloud Armor vengono applicati ai servizi di backend con Cloud CDN abilitato, si applicano solo alle richieste instradate al servizio di backend. Queste richieste includono richieste di contenuti dinamici e manca, ovvero richieste che non superano o ignorano la cache di Cloud CDN.
Quando i criteri di sicurezza perimetrale e quelli del backend stesso servizio di backend, i criteri di sicurezza del backend vengono applicati solo per fallimento della cache Richieste che hanno superato i criteri di sicurezza perimetrale
Il seguente diagramma mostra esclusivamente il funzionamento dei criteri di sicurezza del backend con le origini Cloud CDN, dopo che le richieste sono state consentite dai criteri di sicurezza dell'edge.
Per saperne di più su Cloud CDN, consulta Documentazione di Cloud CDN.
Google Cloud Armor con Cloud Run, App Engine o Cloud Functions
Puoi utilizzare i criteri di sicurezza di Google Cloud Armor con un backend NEG serverless che punta a Cloud Run, App Engine o funzioni di Cloud Run completamente gestito di Google Cloud.
Tuttavia, quando utilizzi Google Cloud Armor con NEG serverless, Cloud Run, o funzioni di Cloud Run, devi assumere particolari per garantire che tutti gli accessi all'endpoint serverless vengano filtrati Criterio di sicurezza di Google Cloud Armor.
Gli utenti che dispongono dell'URL predefinito per un'applicazione serverless possono ignorare il carico tramite il bilanciatore del carico di rete e vai direttamente all'URL del servizio. In questo modo vengono ignorati i criteri di sicurezza di Google Cloud Armor. Per risolvere questo problema, disattiva l'URL predefinito. che Google Cloud assegna automaticamente a Cloud Run o funzioni Cloud Run (2ª generazione.). Per proteggere le applicazioni App Engine, puoi utilizzare i controlli di ingresso.
Se utilizzi i controlli di ingresso per assicurarti che i controlli di accesso vengano applicati a tutto il traffico in entrata, puoi utilizzare internal-and-gclb quando configuri le funzioni Cloud Run o Cloud Run. In questo modo viene consentito solo il traffico interno e il traffico inviato a un indirizzo IP esterno esposto dal bilanciatore del carico delle applicazioni esterno globale o dal bilanciatore del carico delle applicazioni classico. Il traffico inviato a questi URL predefiniti dall'esterno della tua rete privata viene bloccato. In questo modo, gli utenti non possono aggirare i controlli di accesso (ad esempio i criteri di sicurezza di Google Cloud Armor) configurati tramite l'Application Load Balancer esterno globale o l'Application Load Balancer classico.
Per ulteriori informazioni sui NEG serverless, consulta Panoramica dei gruppi di endpoint di rete serverless e Configurare i NEG serverless.
Passaggi successivi
- Configura criteri, regole ed espressioni di sicurezza
- Scopri le funzionalità dei livelli di Cloud Armor Enterprise
- Risolvere i problemi