Mit Sicherheitsrichtlinien für den Netzwerk-Edge können Sie Regeln konfigurieren, um Traffic zuzulassen oder zu blockieren am Rand des Google-Netzwerks. Sie können die Sicherheit des Netzwerk-Edges konfigurieren Richtlinien für die folgenden Front-End-Typen:
- Externe Passthrough-Netzwerk-Load-Balancer
- Protokollweiterleitung
- VMs mit öffentlichen IP-Adressen
Sie können Sicherheitsrichtlinien für den Netzwerk-Edge verwenden, um nach Quell- und Ziel-IP-Adressbereichen zu filtern ähnlich wie Cloud Next Generation Firewall, aber ohne Ihre Ressourcen zu verbrauchen. In Außerdem ist eine Sicherheitsrichtlinie für den Netzwerk-Edge der einzige Sicherheitsrichtlinientyp mit Unterstützung für die Byte-Offset-Filterung.
Benutzerdefinierte Regeln für Sicherheitsrichtlinien für den Netzwerk-Edge konfigurieren
Wie bei Back-End- und Edge-Sicherheitsrichtlinien können Sie benutzerdefinierte Regeln für Sicherheitsrichtlinien für den Netzwerk-Edge Im folgenden Beispiel erstellen Sie ein Netzwerk Edge Security Policy, konfigurieren Sie eine benutzerdefinierte Regel, um nur Traffic von einem bestimmten Quell-IP-Adressbereich und verknüpfen Sie die Richtlinie mit Ihrem Back-End-Dienst.
Die Sicherheitsrichtlinien für den Netzwerk-Edge unterstützen mehrere Google Cloud Armor-Filter, einschließlich einzigartiger Filter wie Byte-Offset-Filterung. Weitere Informationen zu welche Sicherheitsrichtlinien beim Netzwerk-Edge unterstützt werden, finden Sie in der Übersicht über die Sicherheitsrichtlinien Darüber hinaus können Sie Sicherheitsrichtlinien für den Netzwerk-Edge in Vorschaumodus.
Bevor Sie fortfahren, müssen Sie bei Google Cloud Armor Enterprise registrieren und Erweiterten DDoS-Schutz für Netzwerke konfigurieren. Sie können keine benutzerdefinierten Regeln für Sicherheitsrichtlinien für den Netzwerk-Edge ohne aktive Cloud Armor Enterprise-Abo und erweiterter DDoS-Schutz für Netzwerke.
So konfigurieren Sie benutzerdefinierte Regeln:
Erstellen Sie eine neue Sicherheitsrichtlinie für den Netzwerk-Edge mit dem Namen
POLICY_NAME
in der RegionREGION
. Nicht dieselbe Sicherheitsrichtlinie verwenden den Sie bei der Aktivierung des erweiterten DDoS-Schutzes für Netzwerke verwendet haben.gcloud compute security-policies create POLICY_NAME \ --type=CLOUD_ARMOR_NETWORK \ --region=REGION
Richtlinien ändern default_Regel von
allow
bisdeny
, um Traffic zu blockieren, der von andere Regeln.gcloud compute security-policies rules update 2147483647 \ --security-policy=POLICY_NAME \ --action=deny \ --region=REGION
In derselben Sicherheitsrichtlinie eine Regel mit Priorität hinzufügen
RULE_PRIORITY
, die Anfragen in der Quell-IP-Adresse zulässt AdressbereichRANGE
.gcloud compute security-policies rules create RULE_PRIORITY \ --security-policy=POLICY_NAME \ --network-src-ip-ranges=RANGE \ --action=allow \ --region=REGION
Sicherheitsrichtlinie mit Ihrem Back-End-Dienst verknüpfen
BACKEND_SERVICE_NAME
gcloud compute backend-services update BACKEND_SERVICE_NAME \ --security-policy=POLICY_NAME \ --region=REGION
Alternativ können Sie die Sicherheitsrichtlinie mit einer einzelnen VM verknüpfen mit dem folgenden Befehl:
gcloud beta compute instances network-interfaces update VM_NAME \ --security-policy=POLICY_NAME \ --security-policy-region=REGION \ --network-interface=NETWORK_INTERFACE \ --zone=ZONE_NAME
Optional: Sie können überprüfen, ob die Sicherheitsrichtlinie angehängt ist, indem Sie den folgenden Befehl. Bei Erfolg wird das Feld
securityPolicy
in der Ausgabe enthält einen Link zu Ihrer Sicherheitsrichtlinienressource.gcloud compute instances describe VM_NAME --zone=ZONE_NAME
Nachdem Sie das vorherige Beispiel erstellt haben, können Sie Ihrem
Sicherheitsrichtlinie für den Netzwerk-Edge mit dem Befehl security-policies rules update
Folgende Felder werden für Sicherheitsrichtlinien für den Netzwerk-Edge unterstützt:
Feld | Flag | Beschreibung |
---|---|---|
IP-Adresse der Quelle | --network-src-ip-ranges |
Quell-IPv4/6-Adressen oder CIDR-Präfixe im Standardtextformat. |
Quellports | --network-src-ports |
Quellportnummern für TCP/UDP/SCTP. Jedes Element kann ein 16-Bit- (z. B. „80“) oder einen Bereich (z. B. „0-1023“). |
Quellregioncodes | --network-src-region-codes |
Zweistelliger Ländercode (ISO 3166-1 alpha-2). |
Quell-ASNs | --network-src-asns |
Nummer des autonomen BGP-Systems der Quell-IP-Adresse. |
Ziel-IP-Adressbereiche | --network-dest-ip-ranges |
Ziel-IPv4/6-Adressen oder CIDR-Präfixe in Standardtext Format. |
Zielports | --network-dest-ports |
Zielportnummern für TCP/UDP/SCTP. Jedes Element kann ein eine (16-Bit-)Zahl (z. B. „80“) oder einen Bereich (z. B. „0-1023“). |
IP-Adressprotokolle | --network-ip-protocols |
Nächster IPv4-Protokoll-/IPv6-Header (nach Erweiterungsheadern). Jedes
-Element kann eine 8-Bit-Zahl (z. B. "6"), ein Bereich (z. B. "253–254") oder
einen der folgenden Protokollnamen:
<ph type="x-smartling-placeholder">
|
Byte-Offset-Filterung | – | Weitere Informationen finden Sie im folgenden Abschnitt. |
Wenn Sie das Flag --network-src-region-codes
mit einem Sicherheits-Edge-Netzwerk verwenden
können Sie Regionscodes für die folgenden Gebiete verwenden, sofern
umfassende US-Sanktionen:
Gebiete | Zugewiesener Code |
---|---|
Krim | XC |
Die sogenannte Volksrepublik Donezk (DNR) und die sogenannte Volksrepublik Lugansk (LNR) |
XD |
Byte-Offset-Filterung konfigurieren
Wenn Sie externe Passthrough-Network Load Balancer, Protokollweiterleitung oder VMs mit öffentlicher IP-Adresse verwenden kann Google Cloud Armor bei eingehenden Adressen eine Deep Packet Inspection durchführen Zugriffe. Sie können Sicherheitsrichtlinienregeln konfigurieren, die mit einer bestimmten TCP/UDP-Byte-Offsetwert. Sie können die Regel so konfigurieren, dass die Regelaktion angewendet wird wenn der konfigurierte Wert vorhanden ist oder wenn er nicht vorhanden ist.
Im folgenden Beispiel wird Traffic zugelassen, wenn der Wert vorhanden ist, und abgelehnt. alle anderen Zugriffe:
Erstellen Sie eine neue Sicherheitsrichtlinie für den Netzwerk-Edge. Sie können diesen Schritt überspringen, wenn Sie Es gibt bereits eine Sicherheitsrichtlinie für den Netzwerk-Edge.
gcloud compute security-policies create POLICY_NAME \ --type=CLOUD_ARMOR_NETWORK \ --region=REGION_NAME
Sicherheitsrichtlinie für den Netzwerk-Edge aktualisieren, um benutzerdefinierte Felder hinzuzufügen mithilfe der folgenden Parameter:
- Basis: Der Wert kann
IPv4
,IPv6
,TCP
oderUDP
sein. - Offset: Offset des Felds von der Basis in Byte
- Size: Größe des Felds in Byte (maximaler Wert ist
4
) - Maske: Die Maske für die Bits in dem Feld, das abgeglichen werden soll.
Pro Richtlinie kannst du bis zu acht benutzerdefinierte Felder verwenden. Im folgenden Beispiel erstellen Sie zwei benutzerdefinierte Felder.
gcloud compute security-policies add-user-defined-field POLICY_NAME \ --user-defined-field-name=USER_DEFINED_FIELD_NAME_TCP \ --base=TCP \ --offset=OFFSET \ --size=SIZE \ --mask=MASK \ --region=REGION_NAME
gcloud compute security-policies add-user-defined-field POLICY_NAME \ --user-defined-field-name=USER_DEFINED_FIELD_NAME_UDP \ --base=UDP \ --offset=OFFSET \ --size=SIZE \ --mask=MASK \ --region=REGION_NAME
- Basis: Der Wert kann
Fügen Sie in der Sicherheitsrichtlinie des Netzwerk-Edges eine Regel mit demselben Namen des benutzerdefinierten Felds hinzu die Sie im vorherigen Beispiel verwendet haben.
VALUE1
ersetzen undVALUE2
mit Werten, die dem Traffic entsprechen, die Sie zulassen möchten.gcloud compute security-policies rules create RULE_PRIORITY \ --security-policy=POLICY_NAME \ --network-user-defined-fields="USER_DEFINED_FIELD_NAME_TCP;VALUE1:VALUE2,USER_DEFINED_FIELD_NAME_UDP;VALUE1:VALUE2,USER_DEFINED_FIELD_NAME_UDP;VALUE1,VALUE2" \ --action=allow \ --region=REGION_NAME
Legen Sie die Standardregel in der Sicherheitsrichtlinie für den Netzwerk-Edge als deny-Regel. Sie können diesen Schritt überspringen, wenn die Standardregel in Ihrer Sicherheit Richtlinie ist bereits eine Ablehnungsregel.
gcloud compute security-policies rules update 2147483647 \ --security-policy=POLICY_NAME \ --action=deny \ --region=REGION_NAME
Sicherheitsrichtlinie des Netzwerk-Edges mit dem externen Passthrough-Network Load Balancer verknüpfen Back-End-Dienst.
gcloud compute backend-services update BACKEND_SERVICE_NAME \ --security-policy=POLICY_NAME \ --region=REGION_NAME
Monitoring
Google Cloud Armor exportiert die folgenden Messwerte für jede Ihrer Sicherheitsrichtlinienregeln für den Netzwerk-Edge:
packet_count
Blocked
: ein boolescher Wert, der das Ergebnis vonallow
oderdeny
darstellt RegelaktionCount
: der Wert vonpacket_count
, der jeweils einmal erhöht wird 10.000 Pakete. Zum Beispiel bedeutet derpacket_count
-Wert5
, dass dass mindestens 50.000 Pakete Ihrer Regel entsprechen
preview_packet_count
: identisch mitpacket_count
, wird für Regeln in der Vorschau verwendet Modus
Wenn Sie Messwerte für Sicherheitsrichtlinien für den Netzwerk-Edge aufrufen möchten, müssen Sie zuerst die
Network Security API
(networksecurity.googleapis.com
). Diese Berechtigung ist in der
Rolle „Compute-Sicherheitsadministrator“
(roles/compute.securityAdmin
) Nachdem Sie die Network Security API aktiviert haben,
können Sie sich die Messwerte
in Monitoring in der Google Cloud Console ansehen.