Le sezioni seguenti descrivono l'interazione di Google Cloud Armor e altri prodotti e funzionalità Google Cloud.
Google Cloud Armor e regole firewall VPC
Criteri di sicurezza di Google Cloud Armor e firewall VPC hanno funzioni diverse:
- I criteri di sicurezza di Google Cloud Armor forniscono sicurezza perimetrale e agiscono su il traffico client verso i Google Front End (GFE).
- Le regole firewall VPC consentono o negano il traffico da e verso di backend. Devi creare regole firewall di autorizzazione in entrata, le cui destinazioni sono le VM di backend con bilanciamento del carico e le cui origini sono Intervalli IP utilizzati dai bilanciatori del carico delle applicazioni esterni globali o dagli Application Load Balancer classici. Queste regole consentono ai GFE e ai sistemi di controllo di integrità di comunicare delle VM di backend.
Ad esempio, considera uno scenario in cui vuoi consentire solo il traffico proveniente da l'intervallo CIDR 100.1.1.0/24 e l'intervallo CIDR 100.1.2.0/24 per accedere Bilanciatore del carico delle applicazioni esterno globale o bilanciatore del carico delle applicazioni classico. Il tuo obiettivo è garantire che il traffico non può raggiungere direttamente le istanze del backend con bilanciamento del carico. In altre solo il traffico esterno inviato tramite proxy tramite il bilanciatore del carico delle applicazioni esterno globale o il bilanciatore del carico delle applicazioni classico con un criterio di sicurezza associato deve raggiungere di Compute Engine.
Nell'illustrazione precedente, puoi raggiungere gli obiettivi di sicurezza configurando il deployment di Google Cloud come segue:
- Crea due gruppi di istanze, uno nella regione
us-west1e l'altro nella Regioneeurope-west1. - Esegui il deployment delle istanze dell'applicazione di backend nelle VM nei gruppi di istanze.
- Crea un bilanciatore del carico delle applicazioni esterno globale o un bilanciatore del carico delle applicazioni classico in Premium
livello. Configurare una mappa URL semplice
e un singolo servizio di backend i cui backend sono i due gruppi di istanze
creato nel passaggio precedente. Assicurati che l'agente del bilanciatore del carico
La regola di forwarding utilizza l'indirizzo IP esterno
120.1.1.1. - Configura un criterio di sicurezza di Google Cloud Armor che consenta il traffico da 100.1.1.0/24 e 100.1.2.0/24 e nega tutto il traffico.
- Associa questo criterio al servizio di backend del bilanciatore del carico. Per istruzioni, vedi Configurazione dei criteri di sicurezza. Bilanciatori del carico HTTP(S) esterni con modelli Le mappe URL possono fare riferimento a più servizi di backend. Puoi associare i di sicurezza con uno o più servizi di backend, se necessario.
- Configurare le regole firewall di autorizzazione in entrata per consentire il traffico dal il bilanciatore del carico delle applicazioni esterno globale o il bilanciatore del carico delle applicazioni classico. Per ulteriori informazioni, vedi Regole firewall.
Google Cloud Armor con bilanciatori del carico delle applicazioni esterni e IAP
Identity-Aware Proxy (IAP) verifica l'identità dell'utente e poi determina se l'utente deve essere autorizzato ad accedere a un'applicazione. A abilitare IAP per il bilanciatore del carico delle applicazioni esterno globale o il bilanciatore del carico delle applicazioni classico, dai servizi di backend del bilanciatore del carico. Analogamente, Google Cloud Armor criteri di sicurezza sono collegati ai servizi di backend un bilanciatore del carico delle applicazioni esterno globale o un bilanciatore del carico delle applicazioni classico.
Se i criteri di sicurezza di Google Cloud Armor e IAP sono entrambi abilitati per un servizio di backend, l'ordine della valutazione dipende di bilanciamento del carico:
Per un servizio di backend di un bilanciatore del carico delle applicazioni esterno globale, Google Cloud Armor che la valutazione avviene per prima. Se Google Cloud Armor blocca una richiesta, IAP non valuta la richiesta. Se Google Cloud Armor consente una richiesta, IAP valuta quindi la richiesta. La richiesta viene bloccata se IAP non autenticare la richiesta.
Per un servizio di backend di un bilanciatore del carico delle applicazioni classico, La valutazione IAP avviene per prima. Se IAP autentica una richiesta, Google Cloud Armor valuta la richiesta. Se una richiesta non supera l'autenticazione IAP, Google Cloud Armor non valuta la richiesta.
Per ulteriori informazioni su IAP e sulle relative configurazioni, consulta nella documentazione di Identity-Aware Proxy.
Google Cloud Armor con deployment ibridi
In un deployment ibrido, un bilanciatore del carico delle applicazioni esterno globale o un bilanciatore del carico delle applicazioni classico richiede l'accesso a un'applicazione origine di contenuto eseguita all'esterno di Google Cloud, ad esempio in un altro dell'infrastruttura del cloud provider. Puoi utilizzare Google Cloud Armor per proteggere tali deployment di machine learning.
Nel diagramma seguente, il bilanciatore del carico include due servizi di backend. Uno contiene gruppo di istanze come backend. L'altro servizio di backend ha un NEG internet e il NEG internet è associato a un'applicazione in esecuzione nel data center di un provider di terze parti.
Quando colleghi un criterio di sicurezza di Google Cloud Armor al backend servizio che ha un NEG internet come backend, Google Cloud Armor esamina ogni richiesta L7 che arriva al bilanciatore del carico delle applicazioni esterno globale il bilanciatore del carico delle applicazioni classico per quel servizio di backend.
La protezione di Google Cloud Armor per i deployment ibridi è soggetta alla stessa limitazioni applicabili ai NEG internet.
Google Cloud Armor con Ingress di Google Kubernetes Engine (GKE)
Dopo aver configurato un criterio di sicurezza di Google Cloud Armor, puoi utilizzare Ingress in Kubernetes per abilitarlo con GKE.
Puoi fare riferimento al criterio di sicurezza con una risorsa BackendConfig aggiungendo
il nome del criterio di sicurezza in BackendConfig. Le seguenti
Il file manifest BackendConfig specifica un criterio di sicurezza denominato
example-security-policy:
apiVersion: cloud.google.com/v1
kind: BackendConfig
metadata:
namespace: cloud-armor-how-to
name: my-backendconfig
spec:
securityPolicy:
name: "example-security-policy"
Per ulteriori informazioni sulle funzionalità di Ingress, consulta Configurazione delle funzionalità Ingress.
Google Cloud Armor con Cloud CDN
Per proteggere i server di origine CDN, puoi utilizzare Google Cloud Armor con con Cloud CDN. Google Cloud Armor protegge il tuo server di origine CDN attacchi alle applicazioni, mitiga i rischi OWASP Top 10 e applica il filtro di livello 7 criteri. Esistono due tipi di criteri di sicurezza che influiscono sul modo in cui Google Cloud Armor funziona con Cloud CDN: criteri di sicurezza perimetrali e e i criteri di sicurezza del backend.
Criteri di sicurezza perimetrale
Puoi utilizzare i criteri di sicurezza perimetrale per i servizi di backend abilitati per Cloud CDN Bucket di backend Cloud Storage dietro il bilanciatore del carico delle applicazioni esterno globale o il bilanciatore del carico delle applicazioni classico. Usa bordo criteri di sicurezza per filtrare le richieste prima della pubblicazione dei contenuti .
Criteri di sicurezza di backend
Quando i criteri di sicurezza del backend di Google Cloud Armor vengono applicati ai servizi di backend con Cloud CDN abilitato, si applicano solo alle richieste instradate al backend completamente gestito di Google Cloud. Queste richieste includono richieste di contenuti dinamici e manca, ovvero richieste che non superano o ignorano la cache di Cloud CDN.
Quando i criteri di sicurezza perimetrale e quelli del backend stesso servizio di backend, i criteri di sicurezza del backend vengono applicati solo per fallimento della cache Richieste che hanno superato i criteri di sicurezza perimetrale
Il seguente diagramma mostra esclusivamente come funzionano i criteri di sicurezza del backend con Origini Cloud CDN, dopo che le richieste sono state consentite dalla sicurezza perimetrale criteri.
Per saperne di più su Cloud CDN, consulta Documentazione di Cloud CDN.
Google Cloud Armor con Cloud Run, App Engine o Cloud Functions
Puoi utilizzare i criteri di sicurezza di Google Cloud Armor con un backend NEG serverless che punta a Cloud Run, App Engine o Cloud Functions completamente gestito di Google Cloud.
Tuttavia, quando utilizzi Google Cloud Armor con NEG serverless, Cloud Run, o Cloud Functions, devi avere competenze per garantire che tutti gli accessi all'endpoint serverless vengano filtrati Criterio di sicurezza di Google Cloud Armor.
Gli utenti che dispongono dell'URL predefinito per un'applicazione serverless possono ignorare il carico e andare direttamente all'URL del servizio. Questo bypassa Google Cloud Armor criteri di sicurezza. Per risolvere questo problema, disattiva l'URL predefinito. che Google Cloud assegna automaticamente a Cloud Run o funzioni Cloud Functions (2nd gen). Per proteggere App Engine applicazioni, puoi utilizzare controlli in entrata.
Se utilizzi i controlli in entrata per assicurarti che vengano applicati
a tutto il traffico in entrata, puoi
usa internal-and-gclb quando configuri
Cloud Functions o
Cloud Run. Ciò consente
traffico interno e traffico inviato a un indirizzo IP esterno esposto
il bilanciatore del carico delle applicazioni esterno globale o il bilanciatore del carico delle applicazioni classico. Traffico con
inviati a questi URL predefiniti dall'esterno della tua rete privata sia bloccato
In questo modo, gli utenti non possono eludere
dei controlli dell'accesso (come i criteri di sicurezza di Google Cloud Armor)
mediante il bilanciatore del carico delle applicazioni esterno globale o il bilanciatore del carico delle applicazioni classico.
Per ulteriori informazioni sui NEG serverless, consulta Panoramica dei gruppi di endpoint di rete serverless e Configurare i NEG serverless.
Passaggi successivi
- Configurare criteri, regole ed espressioni di sicurezza
- Scopri di più sulle funzionalità dei livelli di Cloud Armor Enterprise
- Risolvere i problemi