Google Cloud Armor in andere Google-Produkte integrieren

In den folgenden Abschnitten wird erläutert, wie Google Cloud Armor mit anderen Google Cloud-Features und -Produkten interagiert.

Google Cloud Armor- und VPC-Firewallregeln

Google Cloud Armor-Sicherheitsrichtlinien und VPC-Firewallregeln haben unterschiedliche Funktionen.

  • Google Cloud Armor-Sicherheitsrichtlinien bieten Edge-Sicherheit und reagieren auf Clienttraffic zu Google Front Ends (GFEs).
  • VPC-Firewallregeln lassen Traffic zu und von Ihren Back-Ends zu oder lehnen ihn ab. Sie müssen Firewallregeln zum Zulassen von eingehendem Traffic erstellen, deren Ziele die Back-End-VMs mit Load-Balancing sind und deren Quellen IP-Bereiche sind, die von externen HTTP(S)-Load-Balancern verwendet werden. Diese Regeln ermöglichen es GFEs und den Systemdiagnosesystemen, mit Ihren Back-End-VMs zu kommunizieren.

Stellen Sie sich beispielsweise ein Szenario vor, in dem Sie nur Traffic aus dem CIDR-Bereich 100.1.1.0/24 und dem CIDR-Bereich 100.1.2.0/24 für den Zugriff auf Ihren externen HTTP(S)-Load-Balancer zulassen möchten. Es muss dafür gesorgt werden, dass der Traffic die Back-End-Instanzen mit Load-Balancing nicht direkt erreichen kann. Das heißt, dass nur der externe Traffic, der über den externen HTTP(S)-Load-Balancer mit einer zugehörigen Sicherheitsrichtlinie geleitet wird, die Instanzen erreichen sollte.

Google Cloud Armor-Sicherheitsrichtlinien mit Firewalls für eingehenden Traffic verwenden, um den Zugriff einzuschränken
Google Cloud Armor-Sicherheitsrichtlinien mit Firewalls für eingehenden Traffic verwenden, um den Zugriff einzuschränken (zum Vergrößern anklicken)

In der vorherigen Abbildung erreichen Sie Ihre Sicherheitsziele, indem Sie Ihre Google Cloud-Bereitstellung so konfigurieren:

  1. Erstellen Sie zwei Instanzgruppen, eine in der Region us-west1 und eine andere in der Region europe-west1.
  2. Stellen Sie Back-End-Anwendungsinstanzen auf den VMs in den Instanzgruppen bereit.
  3. Erstellen Sie einen externen HTTP(S)-Load-Balancer in der Premium-Stufe. Konfigurieren Sie eine einfache URL-Zuordnung und einen einzelnen Back-End-Dienst, dessen Back-Ends die beiden Instanzgruppen sind, die Sie im vorherigen Schritt erstellt haben. Sorgen Sie dafür, dass die Weiterleitungsregel des Load-Balancers die externe IP-Adresse 120.1.1.1 verwendet.
  4. Konfigurieren Sie eine Google Cloud Armor-Sicherheitsrichtlinie, die Traffic von 100.1.1.0/24 und 100.1.2.0/24 zulässt und den gesamten anderen Traffic ablehnt.
  5. Verknüpfen Sie diese Richtlinie mit dem Back-End-Dienst des Load-Balancers. Eine Anleitung finden Sie unter Sicherheitsrichtlinien konfigurieren. Externe HTTP(S)-Load-Balancer mit komplexeren URL-Zuordnungen können auf mehrere Back-End-Dienste verweisen. Sie können die Sicherheitsrichtlinie bei Bedarf mit einem oder mehreren der Back-End-Dienste verknüpfen.
  6. Konfigurieren Sie Firewallregeln zum Zulassen von eingehendem Traffic vom externen HTTP(S)-Load-Balancer zuzulassen. Weitere Informationen finden Sie unter Firewallregeln.

Google Cloud Armor mit HTTP(S)-Load-Balancing und IAP

Identity-Aware Proxy (IAP) überprüft die Identität eines Nutzers und bestimmt dann, ob diesem Nutzer der Zugriff auf eine Anwendung gestattet werden soll. Um IAP für den externen HTTP(S)-Load-Balancer zu aktivieren, aktivieren Sie IAP in den Back-End-Diensten des Load-Balancers. In ähnlicher Weise werden Edge-Google Cloud Armor-Sicherheitsrichtlinien an die Back-End-Dienste eines externen HTTP(S)-Load-Balancers angehängt.

Wenn Google Cloud Armor-Sicherheitsrichtlinien und IAP für einen Back-End-Dienst eines externen HTTP(S)-Load-Balancers aktiviert sind, erfolgt die IAP-Auswertung zuerst. Wenn IAP eine Anfrage blockiert, wertet Google Cloud Armor die Anfrage nicht aus. Wenn IAP eine Anfrage erfolgreich authentifiziert, wertet Google Cloud Armor die Anfrage aus. Die Anforderung wird blockiert, wenn eine Google Cloud Armor-Sicherheitsrichtlinie eine Sperrentscheidung trifft.

Sperrlisten und Zulassungslisten für IP-Adressen mit IAP verwenden.
Sperrlisten und Zulassungslisten für IP-Adressen mit IAP verwenden (zum Vergrößern klicken)

Weitere Informationen zu IAP und zu den zugehörigen Konfigurationen finden Sie in der Dokumentation zum Identity-Aware Proxy.

Google Cloud Armor mit Hybridbereitstellungen

In einer Hybridbereitstellung benötigt ein externer HTTP(S)-Load-Balancer Zugriff auf eine Anwendung oder Inhaltsquelle, die außerhalb von Google Cloud ausgeführt wird, beispielsweise in der Infrastruktur eines anderen Cloud-Anbieters. Zum Schutz solcher Bereitstellungen können Sie Google Cloud Armor verwenden.

In der folgenden Abbildung verfügt der Load-Balancer über zwei Back-End-Dienste. Einer hat eine Instanzgruppe als Back-End. Der andere Back-End-Dienst hat eine Internet-NEG als Back-End. Die Internet-NEG ist einer Anwendung zugeordnet, die im Rechenzentrum eines Drittanbieters ausgeführt wird.

Google Cloud Armor für Hybridbereitstellungen
Google Cloud Armor für Hybridbereitstellungen (zum Vergrößern klicken)

Wenn Sie eine Google Cloud Armor-Sicherheitsrichtlinie an den Back-End-Dienst anhängen, der eine Internet-NEG als Back-End hat, überprüft Google Cloud Armor jede L7-Anfrage, die beim externen HTTP(S)-Load-Balancer eingeht, der für diesen Back-End-Dienst bestimmt ist.

Der Google Cloud Armor-Schutz für Hybridbereitstellungen unterliegt denselben Einschränkungen wie Internet-NEGs.

Google Cloud Armor mit Google Kubernetes Engine (GKE) Ingress

Nachdem Sie eine Google Cloud Armor-Sicherheitsrichtlinie konfiguriert haben, können Sie sie mit Kubernetes Ingress und GKE aktivieren.

Wenn Sie die Sicherheitsrichtlinie mit einer BackendConfig-Ressource referenzieren möchten, fügen Sie den Namen der Sicherheitsrichtlinie in BackendConfig ein. Das folgende BackendConfig-Manifest gibt eine Sicherheitsrichtlinie mit dem Namen example-security-policy an:

apiVersion: cloud.google.com/v1
kind: BackendConfig
metadata:
  namespace: cloud-armor-how-to
  name: my-backendconfig
spec:
  securityPolicy:
    name: "example-security-policy"

Weitere Informationen zu Ingress-Features finden Sie unter Ingress-Features konfigurieren.

Google Cloud Armor mit Cloud CDN

Zum Schutz der CDN-Ursprungsserver können Sie Google Cloud Armor mit Cloud CDN verwenden. Google Cloud Armor schützt Ihren CDN-Ursprungsserver vor Anwendungsangriffen, verringert die OWASP-Top-10-Risiken und erzwingt Filterrichtlinien für Ebene 7. Es gibt zwei Arten von Sicherheitsrichtlinien, die sich auf die Funktionsweise von Google Cloud Armor mit Cloud CDN auswirken: Edge-Sicherheitsrichtlinien und Back-End-Sicherheitsrichtlinien.

Edge-Sicherheitsrichtlinien

Sie können Edge-Sicherheitsrichtlinien für Cloud CDN-fähige Back-End-Dienste und Cloud Storage-Back-End-Buckets hinter dem externen HTTP(S)-Load-Balancer verwenden. Verwenden Sie Edge-Sicherheitsrichtlinien, um Anfragen zu filtern, bevor Inhalte aus dem Cache bereitgestellt werden.

Back-End-Sicherheitsrichtlinien

Wenn die Back-End-Sicherheitsrichtlinien von Google Cloud Armor auf Back-End-Dienste mit aktiviertem Cloud CDN angewendet werden, gelten sie nur für Anfragen, die an den Back-End-Dienst weitergeleitet werden. Diese Anfragen umfassen Anfragen für dynamische Inhalte und Cache-Fehler, also Anfragen, die den Cloud CDN-Cache übersehen oder umgehen.

Anfragen werden immer zuerst anhand von Edge-Sicherheitsrichtlinien bewertet. Bei Anfragen, die von den Edge-Sicherheitsrichtlinien zugelassen werden, wird die Anfrage dem Nutzer bereitgestellt und nicht anhand der Back-End-Sicherheitsrichtlinie bewertet. Andernfalls wird die Anfrage noch einmal bewertet, diesmal anhand der Back-End-Sicherheitsrichtlinie.

Das folgende Diagramm zeigt ausschließlich, wie Back-End-Sicherheitsrichtlinien mit Cloud CDN-Ursprüngen funktionieren, nachdem die Anfragen von den Edge-Sicherheitsrichtlinien zugelassen wurden.

Back-End-Sicherheitsrichtlinien von Google Cloud Armor mit Cloud CDN verwenden.
Back-End-Sicherheitsrichtlinien von Google Cloud Armor mit Cloud CDN verwenden (zum Vergrößern klicken)

Weitere Informationen zu Cloud CDN finden Sie in der Cloud CDN-Dokumentation.

Google Cloud Armor mit serverlosen Anwendungen

Sie können Google Cloud Armor-Sicherheitsrichtlinien mit einem serverlosen NEG-Back-End verwenden, das auf einen Cloud Run-, App Engine- oder Cloud Functions-Dienst verweist.

Wenn Sie jedoch Google Cloud Armor mit serverlosen NEGs und Cloud Functions verwenden, müssen Sie besondere Schritte ausführen, damit der gesamte Zugriff auf den serverlosen Endpunkt über eine Google Cloud Armor-Sicherheitsrichtlinie gefiltert wird.

Nutzer mit der Standard-URL für einen Cloud Functions-Dienst können den Load-Balancer umgehen und direkt die Dienst-URL aufrufen. Dadurch werden die Google Cloud Armor-Sicherheitsrichtlinien umgangen. Sie können die URLs, die Google Cloud automatisch Cloud Functions-Diensten zuweist, nicht deaktivieren.

Damit Ihre Zugriffssteuerung auf den gesamten eingehenden Traffic angewendet wird, können Sie internal-and-gclb bei der Konfiguration von Cloud Functions verwenden. So wird nur interner Traffic und Traffic an eine öffentliche IP-Adresse zugelassen, die vom externen HTTP(S)-Load-Balancer veröffentlicht wird. Traffic, der an cloudfunctions.net oder eine andere über Cloud Functions eingerichtete benutzerdefinierte Domain gesendet wird, wird blockiert. Dadurch wird verhindert, dass Nutzer Zugriffssteuerungen (z. B. Google Cloud Armor-Sicherheitsrichtlinien) umgehen, die über den externen HTTP(S)-Load-Balancer eingerichtet wurden.

Weitere Informationen zu serverlosen NEGs finden Sie unter Übersicht über serverlose Netzwerk-Endpunktgruppen und Serverlose NEGs einrichten.

Nächste Schritte