Intégrer Google Cloud Armor à d'autres produits Google

Les sections suivantes expliquent comment Google Cloud Armor interagit avec d'autres produits et fonctionnalités Google Cloud.

Règles de pare-feu VPC et Google Cloud Armor

Les stratégies de sécurité Google Cloud Armor et les règles de pare-feu VPC ont des fonctions différentes :

  • Les stratégies de sécurité Google Cloud Armor offrent une sécurité périphérique et agissent sur le trafic client vers les GFE (Google Front End).
  • Les règles de pare-feu VPC autorisent ou refusent le trafic vers et depuis vos backends. Vous devez créer des règles de pare-feu autorisant le trafic entrant, dont les cibles sont les VM de backend à équilibrage de charge et dont les sources sont des plages d'adresses IP utilisées par des équilibreurs de charge HTTP(S) externes. Ces règles autorisent les GFE et les systèmes de vérification de l'état à communiquer avec vos VM de backend.

Par exemple, imaginons que vous souhaitiez autoriser uniquement le trafic provenant de la plage CIDR 100.1.1.0/24 et de la plage CIDR 100.1.2.0/24 à accéder à votre équilibreur de charge HTTP(S) externe. Votre objectif est de vous assurer que le trafic ne peut pas atteindre directement les instances backend à équilibrage de charge. En d'autres termes, seul le trafic externe transmis par proxy via l'équilibreur de charge HTTP(S) externe associé à une stratégie de sécurité doit atteindre les instances.

Utiliser une stratégie de sécurité Google Cloud Armor avec des pare-feu d'entrée pour restreindre l'accès.
Utiliser une stratégie de sécurité Google Cloud Armor avec des pare-feu d'entrée pour restreindre l'accès (cliquez pour agrandir)

Dans l'illustration précédente, vous atteignez vos objectifs de sécurité en configurant votre déploiement Google Cloud comme suit :

  1. Créez deux groupes d'instances, un dans la région us-west1 et l'autre dans la région europe-west1.
  2. Déployez des instances d'application backend sur les VM dans les groupes d'instances.
  3. Créez un équilibreur de charge HTTP(S) externe de niveau Premium. Configurez un mappage d'URL simple et un service de backend unique dont les backends sont les deux groupes d'instances que vous avez créés à l'étape précédente. Assurez-vous que la règle de transfert de l'équilibreur de charge utilise l'adresse IP externe 120.1.1.1.
  4. Configurez une stratégie de sécurité Google Cloud Armor qui autorise le trafic provenant des plages CIDR 100.1.1.0/24 et 100.1.2.0/24 et refuse tout autre trafic.
  5. Associez cette stratégie au service de backend de l'équilibreur de charge. Pour obtenir des instructions, consultez la page Configurer des stratégies de sécurité. Les équilibreurs de charge HTTP(S) externes avec des mappages d'URL plus complexes peuvent référencer plusieurs services de backend. Vous pouvez associer la stratégie de sécurité à un ou plusieurs des services de backend, si nécessaire.
  6. Configurez des règles de pare-feu autorisant le trafic entrant pour accepter le trafic provenant de l'équilibreur de charge HTTP(S) externe. Pour plus d'informations, consultez la section Règles de pare-feu.

Google Cloud Armor avec équilibrage de charge HTTP(S) et IAP

Identity-Aware Proxy (IAP) vérifie l'identité d'un utilisateur, puis détermine si cet utilisateur doit être autorisé à accéder à une application. L'activation d'IAP pour l'équilibreur de charge HTTP(S) externe doit être effectuée sur les services de backend de l'équilibreur de charge. De même, les stratégies de sécurité périphériques Google Cloud Armor sont associées aux services de backend d'un équilibreur de charge HTTP(S) externe.

Si à la fois les stratégies de sécurité Google Cloud Armor et la fonctionnalité IAP sont activées pour un service de backend d'un équilibreur de charge HTTP(S) externe, l'évaluation IAP intervient en premier. Si IAP bloque une requête, Google Cloud Armor ne l'évalue pas. Si IAP authentifie une requête, celle-ci est ensuite évaluée par Google Cloud Armor. La requête est bloquée si une stratégie de sécurité Google Cloud Armor entraîne une décision de blocage.

Utiliser les listes d'autorisation et de blocage d'adresses IP avec IAP.
Utiliser les listes d'autorisation et de blocage d'adresses IP avec IAP (cliquez pour agrandir)

Pour plus d'informations sur IAP et les configurations associées, consultez la documentation Identity-Aware Proxy.

Google Cloud Armor avec des déploiements hybrides

Dans un déploiement hybride, un équilibreur de charge HTTP(S) externe doit avoir accès à une application ou à une source de contenu qui s'exécute en dehors de Google Cloud, par exemple sur l'infrastructure d'un autre fournisseur cloud. Vous pouvez utiliser Google Cloud Armor pour protéger ce type de déploiements.

Dans le schéma suivant, l'équilibreur de charge comporte deux services de backend. L'un dispose d'un groupe d'instances comme backend. L'autre service de backend dispose d'un NEG Internet comme backend, lequel est associé à une application qui s'exécute dans le centre de données d'un fournisseur tiers.

Google Cloud Armor pour les déploiements hybrides.
Google Cloud Armor pour les déploiements hybrides (cliquez pour agrandir)

Lorsque vous associez une stratégie de sécurité Google Cloud Armor au service de backend doté d'un NEG Internet comme backend, Google Cloud Armor inspecte chaque requête L7 qui parvient à l'équilibreur de charge HTTP(S) externe destiné à ce service de backend.

La protection Google Cloud Armor pour les déploiements hybrides est soumise aux mêmes limites que celles qui s'appliquent aux NEG Internet.

Google Cloud Armor avec l'objet Entrée de Google Kubernetes Engine (GKE)

Après avoir configuré une règle de sécurité Google Cloud Armor, vous pouvez utiliser l'objet Kubernetes Ingress pour l'activer avec GKE.

Vous pouvez référencer votre stratégie de sécurité avec une ressource BackendConfig en ajoutant son nom à BackendConfig. Le fichier manifeste BackendConfig suivant spécifie une règle de sécurité nommée example-security-policy :

apiVersion: cloud.google.com/v1
kind: BackendConfig
metadata:
  namespace: cloud-armor-how-to
  name: my-backendconfig
spec:
  securityPolicy:
    name: "example-security-policy"

Pour en savoir plus sur les fonctionnalités d'entrée, consultez la section Configurer les fonctionnalités d'entrée.

Google Cloud Armor avec Cloud CDN

Pour protéger les serveurs d'origine CDN, vous pouvez utiliser Google Cloud Armor avec Cloud CDN. Google Cloud Armor protège votre serveur d'origine CDN contre les attaques d'applications, limite les dix risques les plus importants sur OWASP, et applique une stratégie de filtrage de couche 7.

Google Cloud Armor applique des stratégies de sécurité pour les services de backend sur lesquels Cloud CDN est activé uniquement pour les défauts de cache (miss), c'est-à-dire pour les requêtes qui manquent ou contournent le cache Cloud CDN.

Lorsqu'une stratégie de sécurité est associée à un service de backend sur lequel Cloud CDN est activé, Google Cloud Armor évalue les requêtes entrantes qui ne peuvent pas être diffusées à partir du cache par rapport à la stratégie de sécurité, afin de déterminer si elles doivent être transférées au serveur d'origine. Si une règle correspond à la requête, l'action configurée dans la règle est effectuée.

Cependant, les stratégies de sécurité associées à un service de backend sur lequel Cloud CDN est activé ne sont pas appliquées pour les succès de cache (hit) Si une requête peut être diffusée à partir du cache, elle est diffusée à tout client valide, quelle que soit l'action définie dans la stratégie de sécurité pour cette requête.

Le schéma suivant montre comment Google Cloud Armor fonctionne avec les origines Cloud CDN.

Utiliser Google Cloud Armor avec Cloud CDN.
Utiliser Google Cloud Armor avec Cloud CDN (cliquez pour agrandir)

Google Cloud Armor avec des applications sans serveur

Vous pouvez utiliser les stratégies de sécurité Google Cloud Armor avec un backend de NEG sans serveur qui pointe vers un service Cloud Run, App Engine ou Cloud Functions.

Toutefois, lorsque vous utilisez Google Cloud Armor avec des NEG sans serveur et Cloud Functions, vous devez prendre des mesures spéciales pour vous assurer que tous les accès au point de terminaison sans serveur sont filtrés via une stratégie de sécurité Google Cloud Armor.

Les utilisateurs disposant de l'URL par défaut d'un service Cloud Functions peuvent contourner l'équilibreur de charge et accéder directement à l'URL du service. Cela permet de contourner les règles de sécurité de Google Cloud Armor. Vous ne pouvez pas désactiver les URL que Google Cloud attribue automatiquement aux services Cloud Functions.

Pour vous assurer que vos contrôles d'accès sont appliqués à l'ensemble du trafic entrant, vous pouvez utiliser internal-and-gclb lorsque vous configurez Cloud Functions, qui autorise uniquement le trafic interne et le trafic envoyé à une adresse IP publique exposée par l'équilibreur de charge HTTP(S) externe. Le trafic envoyé à cloudfunctions.net ou à tout autre domaine personnalisé configuré via Cloud Functions est bloqué. Cela empêche les utilisateurs de contourner les contrôles d'accès (tels que les règles de sécurité Google Cloud Armor) configurés via l'équilibreur de charge HTTP(S) externe.

Pour en savoir plus sur les NEG sans serveur, consultez les pages Présentation des groupes de points de terminaison du réseau sans serveur et Configurer des NEG sans serveur.

Étape suivante