In den folgenden Abschnitten wird erläutert, wie Google Cloud Armor mit anderen Google Cloud-Features und -Produkten interagiert.
Google Cloud Armor- und VPC-Firewallregeln
Google Cloud Armor-Sicherheitsrichtlinien und VPC-Firewallregeln haben unterschiedliche Funktionen.
- Google Cloud Armor-Sicherheitsrichtlinien bieten Edge-Sicherheit und reagieren auf Clienttraffic zu Google Front Ends (GFEs).
- VPC-Firewallregeln lassen Traffic zu und von Ihren Back-Ends zu oder lehnen ihn ab. Sie müssen Firewallregeln zum Zulassen von eingehendem Traffic erstellen, deren Ziele die Back-End-VMs mit Load-Balancing und deren Quellen IP-Bereiche, die von globalen externen Application Load Balancern oder klassischen Application Load Balancern verwendet werden. Diese Regeln ermöglichen es GFEs und den Systemdiagnosesystemen, mit Ihren Back-End-VMs zu kommunizieren.
Stellen Sie sich beispielsweise ein Szenario vor, in dem Sie nur Traffic von CIDR-Bereich 100.1.1.0/24 und CIDR-Bereich 100.1.2.0/24 für den Zugriff auf Ihre globalen externen oder klassischen Application Load Balancer. Es muss dafür gesorgt werden, dass der Traffic die Backend-Instanzen mit Load-Balancing nicht direkt erreichen kann. In anderen wird nur externer Traffic über den globalen externen Application Load Balancer oder den sollte der klassische Application Load Balancer mit einer zugehörigen Sicherheitsrichtlinie den Instanzen.
<ph type="x-smartling-placeholder">
In der vorherigen Abbildung erreichen Sie Ihre Sicherheitsziele, indem Sie Ihre Google Cloud-Bereitstellung so konfigurieren:
- Erstellen Sie zwei Instanzgruppen, eine in der Region
us-west1und eine andere in der Regioneurope-west1. - Stellen Sie Back-End-Anwendungsinstanzen auf den VMs in den Instanzgruppen bereit.
- Globalen externen Application Load Balancer oder klassischen Application Load Balancer in Premium erstellen
Stufe Konfigurieren Sie eine einfache URL-Zuordnung und einen einzelnen Back-End-Dienst, dessen Back-Ends die beiden Instanzgruppen sind, die Sie im vorherigen Schritt erstellt haben. Sorgen Sie dafür, dass die Weiterleitungsregel des Load-Balancers die externe IP-Adresse
120.1.1.1verwendet. - Konfigurieren Sie eine Google Cloud Armor-Sicherheitsrichtlinie, die Traffic von 100.1.1.0/24 und 100.1.2.0/24 zulässt und den gesamten anderen Traffic ablehnt.
- Verknüpfen Sie diese Richtlinie mit dem Back-End-Dienst des Load-Balancers. Eine Anleitung finden Sie unter Sicherheitsrichtlinien konfigurieren. Externe HTTP(S)-Load-Balancer mit komplexeren URL-Zuordnungen können auf mehrere Back-End-Dienste verweisen. Sie können die Sicherheitsrichtlinie bei Bedarf mit einem oder mehreren der Back-End-Dienste verknüpfen.
- Konfigurieren Sie Firewallregeln zum Zulassen von eingehendem Traffic, um Traffic vom den globalen externen oder den klassischen Application Load Balancer. Weitere Informationen finden Sie unter Firewallregeln.
Google Cloud Armor mit externen Application Load Balancern und IAP
Identity-Aware Proxy (IAP) überprüft die Identität eines Nutzers und bestimmt dann, ob diesem Nutzer der Zugriff auf eine Anwendung gestattet werden soll. Bis IAP für den globalen externen Application Load Balancer oder den klassischen Application Load Balancer aktivieren, Back-End-Dienste des Load-Balancers. In ähnlicher Weise bietet Edge- Google Cloud Armor an die Back-End-Dienste eines einen globalen externen oder klassischen Application Load Balancer.
Wenn sowohl Google Cloud Armor-Sicherheitsrichtlinien als auch IAP Back-End-Dienst aktiviert ist, hängt die Reihenfolge ihrer Bewertung vom Typ des Load-Balancers:
Für einen Backend-Dienst eines globalen externen Application Load Balancers Google Cloud Armor die Bewertung als Erstes erfolgt. Wenn Google Cloud Armor eine Anfrage blockiert, IAP wertet die Anfrage nicht aus. Wenn Google Cloud Armor eine Anfrage zulässt, IAP wertet die Anfrage dann aus. Die Anfrage wird blockiert, wenn IAP dies tut die Anfrage nicht authentifizieren.
Bei einem Back-End-Dienst eines klassischen Application Load Balancers Die IAP-Bewertung erfolgt zuerst. Wenn IAP eine Anfrage authentifiziert, wertet Google Cloud Armor die Anfrage aus. Wenn eine Anfrage die IAP-Authentifizierung fehlschlägt, Google Cloud Armor wertet die Anfrage nicht aus.
Weitere Informationen zu IAP und zu den zugehörigen Konfigurationen finden Sie in der Dokumentation zum Identity-Aware Proxy.
Google Cloud Armor mit Hybridbereitstellungen
In einer Hybridbereitstellung einen globalen externen oder klassischen Application Load Balancer auf eine Anwendung oder Contentquelle, die außerhalb von Google Cloud ausgeführt wird, zum Beispiel in einer anderen des Cloud-Anbieters. Zum Schutz solcher Bereitstellungen können Sie Google Cloud Armor verwenden.
In der folgenden Abbildung verfügt der Load-Balancer über zwei Back-End-Dienste. Einer hat eine Instanzgruppe als Back-End. Der andere Back-End-Dienst hat eine Internet-NEG als Back-End. Die Internet-NEG ist einer Anwendung zugeordnet, die im Rechenzentrum eines Drittanbieters ausgeführt wird.
<ph type="x-smartling-placeholder">
Wenn Sie eine Google Cloud Armor-Sicherheitsrichtlinie an das Back-End anhängen Dienst mit einer Internet-NEG als Back-End, Google Cloud Armor prüft jede L7-Anfrage, die beim globalen externen Application Load Balancer oder klassischen Application Load Balancer, die für diesen Back-End-Dienst bestimmt sind.
Der Google Cloud Armor-Schutz für Hybridbereitstellungen unterliegt denselben Einschränkungen wie Internet-NEGs.
Google Cloud Armor mit Google Kubernetes Engine (GKE) Ingress
Nachdem Sie eine Google Cloud Armor-Sicherheitsrichtlinie konfiguriert haben, können Sie Kubernetes Ingress um sie mit GKE zu aktivieren.
Wenn Sie die Sicherheitsrichtlinie mit einer BackendConfig-Ressource referenzieren möchten, fügen Sie den Namen der Sicherheitsrichtlinie in BackendConfig ein. Das folgende BackendConfig-Manifest gibt eine Sicherheitsrichtlinie mit dem Namen example-security-policy an:
apiVersion: cloud.google.com/v1
kind: BackendConfig
metadata:
namespace: cloud-armor-how-to
name: my-backendconfig
spec:
securityPolicy:
name: "example-security-policy"
Weitere Informationen zu Ingress-Features finden Sie unter Ingress-Features konfigurieren.
Google Cloud Armor mit Cloud CDN
Zum Schutz der CDN-Ursprungsserver können Sie Google Cloud Armor mit Cloud CDN verwenden. Google Cloud Armor schützt Ihren CDN-Ursprungsserver vor Anwendungsangriffen, verringert die OWASP-Top-10-Risiken und erzwingt Filterrichtlinien für Ebene 7. Es gibt zwei Arten von Sicherheitsrichtlinien, die sich auf die Funktionsweise von Google Cloud Armor mit Cloud CDN auswirken: Edge-Sicherheitsrichtlinien und Back-End-Sicherheitsrichtlinien.
Edge-Sicherheitsrichtlinien
Sie können Edge-Sicherheitsrichtlinien für Cloud CDN-fähige Backend-Dienste und Cloud Storage-Back-End-Buckets hinter dem globalen externen Application Load Balancer oder dem klassischen Application Load Balancer. Verwenden Sie Edge-Sicherheitsrichtlinien, um Anfragen zu filtern, bevor Inhalte aus dem Cache bereitgestellt werden.
Back-End-Sicherheitsrichtlinien
Wenn die Back-End-Sicherheitsrichtlinien von Google Cloud Armor auf Back-End-Dienste mit aktiviertem Cloud CDN angewendet werden, gelten sie nur für Anfragen, die an den Back-End-Dienst weitergeleitet werden. Diese Anfragen umfassen Anfragen für dynamische Inhalte und Cache-Fehler, also Anfragen, die den Cloud CDN-Cache übersehen oder umgehen.
Wenn Edge-Sicherheitsrichtlinien und Back-End-Sicherheitsrichtlinien an die derselbe Backend-Dienst, Backend-Sicherheitsrichtlinien werden nur bei Cache-Fehlern erzwungen Anfragen, die Edge-Sicherheitsrichtlinien bestanden haben
Das folgende Diagramm zeigt ausschließlich, wie Back-End-Sicherheitsrichtlinien mit Cloud CDN-Ursprüngen funktionieren, nachdem die Anfragen von den Edge-Sicherheitsrichtlinien zugelassen wurden.
<ph type="x-smartling-placeholder">
Weitere Informationen zu Cloud CDN finden Sie in der Cloud CDN-Dokumentation.
Google Cloud Armor mit Cloud Run, App Engine oder Cloud Functions
Sie können Google Cloud Armor-Sicherheitsrichtlinien mit einem serverlosen NEG-Back-End verwenden, das auf einen Cloud Run-, App Engine- oder Cloud Functions-Dienst verweist.
Wenn Sie jedoch Google Cloud Armor mit serverlosen NEGs verwenden, Cloud Run oder Cloud Functions benötigen, damit alle Zugriffe auf den serverlosen Endpunkt über eine Google Cloud Armor-Sicherheitsrichtlinie
Nutzer, die die Standard-URL für eine serverlose Anwendung haben, können die Last umgehen und gehen Sie direkt zur Dienst-URL. Dadurch wird Google Cloud Armor umgangen Sicherheitsrichtlinien. Deaktivieren Sie die Standard-URL, um dieses Problem zu beheben. die Google Cloud Cloud Run automatisch zuweist, Funktionen von Cloud Functions (2nd gen) zu verwenden. Zum Schutz von App Engine können Sie Steuerelemente für eingehenden Traffic.
Wenn Sie Einstellungen für eingehenden Traffic verwenden, um sicherzustellen, dass Ihre Zugriffssteuerungen angewendet werden
den gesamten eingehenden Traffic,
internal-and-gclb für die Konfiguration verwenden
Cloud Functions oder
Cloud Run: Dies ermöglicht nur
interner Traffic und Traffic, der an eine externe IP-Adresse gesendet wird,
den globalen externen oder
den klassischen Application Load Balancer. Zugriffe, die
die von außerhalb Ihres privaten Netzwerks an diese Standard-URLs gesendet werden,
So wird verhindert, dass Nutzer Folgendes umgehen:
Einrichtung der Zugriffssteuerung (z. B. Google Cloud Armor-Sicherheitsrichtlinien)
über den globalen externen
oder klassischen
Application Load Balancer.
Weitere Informationen zu serverlosen NEGs finden Sie unter Übersicht über serverlose Netzwerk-Endpunktgruppen und Serverlose NEGs einrichten.
Nächste Schritte
- Sicherheitsrichtlinien, Regeln und Ausdrücke konfigurieren
- Informationen zu den Features der Cloud Armor Enterprise-Stufen
- Fehlerbehebung