As seções a seguir discutem como o Google Cloud Armor interage com outros recursos e produtos do Google Cloud.
Regras de firewall da VPC do Google Cloud e da VPC
As políticas de segurança do Google Cloud Armor e as regras de firewall da VPC têm funções diferentes.
- As políticas de segurança do Google Cloud Armor oferecem segurança na borda e atuam no tráfego de clientes para o Google Front Ends (GFEs).
- As regras de firewall da VPC permitem ou negam tráfego que entra ou sai dos back-ends. É preciso criar regras de firewall de permissão de entrada, que tenham como destinos as VMs de back-end com carga balanceada e origens que sejam intervalos de IP usados por balanceadores de carga de aplicativo externos globais ou balanceadores de carga de aplicativo clássicos. Essas regras permitem que as GFEs e os sistemas de verificação de integridade se comuniquem com as VMs de back-end.
Por exemplo, considere um cenário em que você quer permitir tráfego apenas do intervalo CIDR 100.1.1.0/24 e do intervalo CIDR 100.1.2.0/24 para acessar seu balanceador de carga de aplicativo externo global ou o balanceador de carga clássico do aplicativo. O objetivo é garantir que o tráfego não alcance diretamente as instâncias com carga balanceada do back-end. Em outras palavras, apenas o tráfego externo por proxy por meio do balanceador de carga de aplicativo externo global ou o balanceador de carga de aplicativo clássico com uma política de segurança associada deve alcançar as instâncias.
Na ilustração anterior, você atinge os objetivos de segurança configurando a implantação do Google Cloud da seguinte maneira:
- Crie dois grupos de instâncias, um na região
us-west1e outro na regiãoeurope-west1. - Implante instâncias de aplicativos de back-end nas VMs nos grupos de instâncias.
- Crie um balanceador de carga de aplicativo externo global ou um balanceador de carga de aplicativo clássico no nível Premium. Configure um mapa de URL simples
e apenas um serviço de back-end que esteja nos dois grupos de instâncias
que você criou na etapa anterior. Verifique se a regra de encaminhamento do
balanceador de carga usa o endereço IP externo
120.1.1.1. - Configure uma política de segurança do Google Cloud Armor que permita o tráfego de 100.1.1.0/24 e 100.1.2.0/24 e negue qualquer outro tráfego.
- Associe esta política ao serviço de back-end do balanceador de carga. Para instruções, consulte Como configurar políticas de segurança. Os balanceadores de carga HTTP(S) externos com mapas de URL mais complexos podem fazer referência a vários serviços de back-end. É possível associar a política de segurança a um ou mais serviços de back-end, conforme necessário.
- Configure as regras de firewall de permissão de entrada para permitir o tráfego do balanceador de carga de aplicativo externo global ou do balanceador de carga de aplicativo clássico. Saiba mais em Regras de firewall.
Google Cloud Armor com balanceadores de carga de aplicativo e IAP externos
O Identity-Aware Proxy (IAP) verifica a identidade de um usuário e determina se esse usuário pode ter permissão para acessar um aplicativo. Para ativar o IAP para o balanceador de carga de aplicativo externo global ou o balanceador de carga de aplicativo clássico, ative-o nos serviços de back-end do balanceador de carga. Da mesma forma, as políticas de segurança do Google Cloud Armor são anexadas aos serviços de back-end de um balanceador de carga de aplicativo externo global ou clássico.
Se as políticas de segurança do Google Cloud Armor e o IAP estiverem ativados para um serviço de back-end, a ordem da avaliação dependerá do tipo de balanceador de carga:
Para um serviço de back-end de um balanceador de carga de aplicativo externo global, a avaliação do Google Cloud Armor acontece primeiro. Se o Google Cloud Armor bloquear uma solicitação, o IAP não avaliará a solicitação. Se o Google Cloud Armor permitir uma solicitação, o IAP avaliará a solicitação. A solicitação será bloqueada se o IAP não autenticar a solicitação.
Para um serviço de back-end de um balanceador de carga de aplicativo clássico, a avaliação do IAP acontece primeiro. Se o IAP autenticar uma solicitação, o Google Cloud Armor avaliará a solicitação. Se uma solicitação falhar na autenticação do IAP, o Google Cloud Armor não avaliará a solicitação.
Saiba mais sobre o IAP e as configurações relacionadas na documentação do Identity-Aware Proxy.
Google Cloud Armor com implantações híbridas
Em uma implantação híbrida, um balanceador de carga de aplicativo externo global ou um balanceador de carga de aplicativo clássico precisa acessar um aplicativo ou uma origem de conteúdo que é executada fora do Google Cloud, por exemplo, na infraestrutura de outro provedor de nuvem. Use o Google Cloud Armor para proteger essas implantações.
No diagrama a seguir, o balanceador de carga possui dois serviços de back-end. Um deles tem um grupo de instâncias como back-end. O outro serviço possui um NEG da Internet como back-end. Esse NEG está associado a um aplicativo que está sendo executado no data center de um provedor terceirizado.
Quando você anexa uma política de segurança do Google Cloud Armor ao serviço de back-end que tem um NEG da Internet como back-end, o Google Cloud Armor inspeciona todas as solicitações L7 que chegam ao balanceador de carga de aplicativo externo global ou ao aplicativo clássico balanceador de carga destinado a esse serviço de back-end.
A proteção do Google Cloud Armor para implantações híbridas está sujeita às mesmas limitações que se aplicam aos NEGs da Internet.
Google Cloud Armor com Entrada do Google Kubernetes Engine (GKE)
Depois de configurar uma política de segurança do Google Cloud Armor, use o Kubernetes Ingress para ativá-lo com o GKE.
Você pode referenciar sua política de segurança com um recurso BackendConfig adicionando o nome da sua política de segurança ao BackendConfig. O manifesto
BackendConfig a seguir especifica uma política de segurança chamada example-security-policy:
apiVersion: cloud.google.com/v1
kind: BackendConfig
metadata:
namespace: cloud-armor-how-to
name: my-backendconfig
spec:
securityPolicy:
name: "example-security-policy"
Para mais informações sobre os recursos da Entrada, consulte Como configurar os recursos de entrada.
Google Cloud Armor com Cloud CDN
Para proteger os servidores de origem da CDN, use o Google Cloud Armor com o Cloud CDN. O Google Cloud Armor protege o servidor de origem da CDN de ataques de aplicativos, atenua os 10 principais riscos do OWASP e aplica políticas de filtragem da camada 7. Há dois tipos de política de segurança que afetam como o Google Cloud Armor funciona com o Cloud CDN: políticas de segurança de borda e políticas de segurança de back-end.
Políticas de segurança de borda
É possível usar políticas de segurança de borda para serviços de back-end ativados para o Cloud CDN e buckets de back-end do Cloud Storage por trás do balanceador de carga de aplicativo externo global ou do balanceador de carga de aplicativo clássico. Use as políticas de segurança de borda para filtrar solicitações antes que o conteúdo seja exibido no cache.
Políticas de segurança de back-end
Quando as políticas de segurança de back-end do Google Cloud Armor são aplicadas a serviços de back-end com o Cloud CDN ativado, elas se aplicam apenas às solicitações roteadas ao serviço de back-end. Essas solicitações incluem solicitações de conteúdo dinâmico e falhas de cache, ou seja, solicitações que perdem ou ignoram o cache do Cloud CDN.
As solicitações são sempre avaliadas primeiro em relação às políticas de segurança de borda. Para solicitações permitidas pelas políticas de segurança de borda, a solicitação é exibida ao usuário e não é avaliada em relação à política de segurança de back-end. Caso contrário, a solicitação será avaliada novamente, desta vez em relação à política de segurança do back-end.
O diagrama a seguir mostra exclusivamente como as políticas de segurança de back-end funcionam com as origens do Cloud CDN, depois que as solicitações forem permitidas pelas políticas de segurança de borda.
Para mais informações sobre o Cloud CDN, consulte a documentação do Cloud CDN.
Google Cloud Armor com Cloud Run, App Engine ou Cloud Functions
Use as políticas de segurança do Google Cloud Armor com um back-end NEG sem servidor que direciona para um serviço do Cloud Run, App Engine ou Cloud Functions.
No entanto, ao usar o Google Cloud Armor com NEGs sem servidor, Cloud Run ou Cloud Functions, é necessário tomar medidas especiais para garantir que todo o acesso ao endpoint sem servidor seja filtrado por meio de uma política de segurança do Google Cloud Armor.
Os usuários que têm o URL padrão de um aplicativo sem servidor podem ignorar o balanceador de carga e acessar diretamente o URL do serviço. Isso ignora as políticas de segurança do Google Cloud Armor. Além disso, não é possível desativar os URLs que o Google Cloud atribui automaticamente aos serviços do Cloud Run ou do Cloud Functions. Para proteger esses aplicativos, use controles de entrada do App Engine ou os controles de entrada do Cloud Run.
Para garantir que seus controles de acesso sejam aplicados a todo o tráfego de entrada, é possível
usar internal-and-gclb ao configurar o
Cloud Functions ou o
Cloud Run. Isso permite
apenas o tráfego interno e o tráfego enviado para um endereço IP externo exposto pelo
balanceador de carga de aplicativo externo global ou pelo balanceador de carga de aplicativo clássico. O tráfego
enviado para cloudfunctions.net ou qualquer outro domínio personalizado configurado por meio do
Cloud Functions é bloqueado. Isso impede que os usuários burlem qualquer
controle de acesso (como políticas de segurança do Google Cloud Armor) configurado
por meio do balanceador de carga de aplicativo externo global ou do balanceador de carga de aplicativo clássico.
Saiba mais sobre NEGs sem servidor em Visão geral dos grupos de endpoints de rede sem servidor e Como configurar NEGs sem servidor.
A seguir
- Configure políticas, regras e expressões de segurança
- Saiba mais sobre os recursos nos níveis do Cloud Armor Enterprise
- Resolver problemas