Google Cloud Armor Threat Intelligence vous permet de sécuriser votre trafic en autorisant ou en bloquant le trafic vers vos équilibreurs de charge HTTP(S) externes en fonction de plusieurs catégories de renseignements sur les menaces. Les renseignements sur les menaces sont réparties dans les catégories suivantes :
- Nœuds de sortie Tor : Tor est un logiciel Open Source qui permet des communications anonymes. Pour exclure les utilisateurs qui masquent leur identité, bloquez les adresses IP des nœuds de sortie Tor (c'est-à-dire les points au niveau desquels le trafic quitte le réseau Tor).
- Adresses IP malveillantes connues : il s'agit des adresses IP à bloquer afin d'améliorer la stratégie de sécurité de votre application, car elles sont réputées constituer l'origine des attaques ciblant les applications Web.
- Moteurs de recherche : il s'agit des adresses IP que vous pouvez autoriser afin d'activer l'indexation des sites.
- Plages d'adresses IP du cloud public : cette catégorie peut être bloquée, pour éviter que des outils automatisés malveillants ne parcourent des applications Web, ou bien autorisée, si votre service utilise d'autres clouds publics.
Pour utiliser Threat Intelligence, vous définissez des règles de stratégie de sécurité qui vont autoriser ou bloquer le trafic selon tout ou partie de ces catégories à l'aide de l'expression de correspondance evaluateThreatIntelligence, ainsi qu'un nom de flux représentant l'une des catégories précédentes.
Configurer Threat Intelligence
Pour utiliser Threat Intelligence, vous devez configurer des règles de stratégie de sécurité à l'aide de l'expression de correspondance evaluateThreatIntelligence('FEED_NAME'), en spécifiant un nom de flux (FEED_NAME) basé sur la catégorie que vous souhaitez autoriser ou bloquer. Les informations de chaque flux sont constamment mises à jour, protégeant ainsi les services contre les nouvelles menaces sans étape de configuration supplémentaire. Les arguments valides sont les suivants :
| Nom de flux | Description |
|---|---|
iplist-tor-exit-nodes |
Correspond aux adresses IP des nœuds de sortie Tor |
iplist-known-malicious-ips |
Correspond aux adresses IP connues pour attaquer des applications Web |
iplist-search-engines-crawlers |
Correspond aux adresses IP des robots d'exploration des moteurs de recherche |
iplist-cloudflare |
Correspond aux plages d'adresses IPv4 et IPv6 des services proxy Cloudflare |
iplist-fastly |
Correspond aux plages d'adresses IP des services proxy Fastly |
iplist-imperva |
Correspond aux plages d'adresses IP des services proxy Imperva |
iplist-public-clouds
|
Correspond aux adresses IP appartenant à des clouds publics
|
Vous pouvez configurer une nouvelle règle de stratégie de sécurité à l'aide de la commande gcloud suivante,en spécifiant un nom de flux (FEED_NAME) parmi ceux du tableau précédent et un élément ACTION (tel que allow ou deny).
gcloud beta compute security-policies rules create 1000 \
--security-policy=NAME \
--expression="evaluateThreatIntelligence('FEED_NAME')" \
--action="ACTION"
Si vous souhaitez exclure une adresse IP ou une plage d'adresses IP que Threat Intelligence serait autrement susceptible de bloquer, vous pouvez l'ajouter à la liste d'exclusion à l'aide de l'expression suivante, en remplaçant <var>ADDRESS</var> par l'adresse ou que vous souhaitez exclure.
evaluateThreatIntelligence('iplist-known-malicious-ips', ['ADDRESS'])
Étape suivante
- Configurer les stratégies de sécurité Google Cloud Armor
- Consulter les tarifs des niveaux Managed Protection
- Résoudre les problèmes