Threat Intelligence konfigurieren

Mit Google Cloud Armor Threat Intelligence können Sie Ihren Traffic sichern. Dazu genehmigen oder blockieren Sie Traffic zu Ihren externen HTTP(S)-Load-Balancern anhand mehrerer Kategorien von Bedrohungsinformationsdaten. Threat Intel-Daten sind in folgende Kategorien unterteilt:

  • Gateway-Knoten: Tor ist eine Open-Source-Software, die anonyme Kommunikation ermöglicht. Wenn Sie Nutzer ausschließen möchten, die ihre Identität ausblenden, blockieren Sie die IP-Adressen der Tor-Ausgangsknoten (Punkte, an denen der Traffic das Tor-Netzwerk verlässt).
  • Bekannte schädliche IP-Adressen: IP-Adressen, die blockiert werden müssen, um die Sicherheit Ihrer Anwendung zu verbessern, da von ihnen bekannterweise Angriffe auf Webanwendungen ausgingen.
  • Suchmaschinen: IP-Adressen, denen Sie die Aktivierung der Websiteindexierung erlauben können.
  • IP-Adressbereiche der öffentlichen Cloud: Diese Kategorie kann entweder blockiert werden, um zu verhindern, dass schädliche automatisierte Tools in Webanwendungen suchen, oder sie kann zugelassen werden, wenn Ihr Dienst andere öffentliche Clouds verwendet.

Zum Verwenden von Threat Intel definieren Sie Sicherheitsregeln, die Traffic basierend auf einigen oder allen diesen Kategorien über den Übereinstimmungsausdruck evaluateThreatIntelligence zulassen oder blockieren. Weiter wird dazu ein Feedname genutzt, der eine der vorherigen Kategorien darstellt.

Threat Intel konfigurieren

Wenn Sie Threat Intel verwenden möchten, konfigurieren Sie Sicherheitsrichtlinienregeln mithilfe des Übereinstimmungsausdrucks evaluateThreatIntelligence('FEED_NAME') und geben Sie einen FEED_NAME für die Kategorie an, die Sie zulassen oder blockieren möchten. Die Informationen in den einzelnen Feeds werden kontinuierlich aktualisiert, um Dienste ohne zusätzliche Konfigurationsschritte vor neuen Bedrohungen zu schützen. Gültige Argumente sind:

Feedname Beschreibung
iplist-tor-exit-nodes Entspricht den IP-Adressen der Tor-Exit-Knoten
iplist-known-malicious-ips Entspricht IP-Adressen, die bekanntermaßen Angriffe auf Webanwendungen ausführen
iplist-search-engines-crawlers Entspricht IP-Adressen von Suchmaschinen-Crawlern
iplist-cloudflare Entspricht den IPv4-Adressbereichen und IPv6-Adressbereichen von Cloudflare-Proxydiensten
iplist-fastly Entspricht den IP-Adressbereichen von Fastly Proxy-Diensten
iplist-imperva Entspricht den IP-Adressbereichen von Imperva-Proxydiensten
iplist-public-clouds
  • iplist-public-clouds-aws
  • iplist-public-clouds-azure
  • iplist-public-clouds-gcp
 Entspricht IP-Adressen, die zu öffentlichen Clouds gehören
  • Führt zu Übereinstimmung mit den IP-Adressbereichen, die von Amazon Web Services verwendet werden
  • Entspricht den von Microsoft Azure verwendeten IP-Adressbereichen
  • Führt zu Übereinstimmung mit den von Google Cloud verwendeten IP-Adressbereichen

Sie können eine neue Sicherheitsregel mit folgendem gcloud-Befehl, mit einem FEED_NAME aus der vorherigen Tabelle und einem beliebigen ACTION (wie allow oder deny) konfigurieren.

gcloud beta compute security-policies rules create 1000 \
    --security-policy=NAME \
    --expression="evaluateThreatIntelligence('FEED_NAME')" \
    --action="ACTION"

Wenn Sie eine IP-Adresse oder einen IP-Adressbereich ausschließen möchten, die/der von Threat Intel ansonsten für die Auswertung blockiert werden könnte, fügen Sie die Adresse mit folgendem Ausdruck der Ausschlussliste hinzu. Ersetzen Sie dabei <var>ADDRESS</var> durch die Adresse oder den Adressbereich, den Sie ausschließen möchten.

evaluateThreatIntelligence('iplist-known-malicious-ips', ['ADDRESS'])

Nächste Schritte