Google Cloud Armor Threat Intelligence memungkinkan pelanggan Google Cloud Armor Enterprise mengamankan traffic mereka dengan mengizinkan atau memblokir traffic ke Load Balancer Aplikasi eksternal mereka berdasarkan beberapa kategori data intelijen ancaman. Data Threat Intelligence dibagi menjadi kategori berikut:
- Node keluar Tor: Tor adalah software open source yang memungkinkan komunikasi anonim. Untuk mengecualikan pengguna yang menyembunyikan identitasnya, blokir alamat IP node keluar Tor (titik tempat traffic keluar dari jaringan Tor).
- Alamat IP berbahaya yang diketahui: Alamat IP yang perlu diblokir untuk meningkatkan kualitas keamanan aplikasi Anda karena serangan terhadap aplikasi web diketahui berasal dari sana.
- Mesin telusur: Alamat IP yang dapat Anda izinkan untuk mengaktifkan pengindeksan situs.
- Penyedia VPN: Alamat IP yang digunakan oleh penyedia VPN dengan reputasi rendah. Kategori ini dapat diblokir untuk menolak upaya mengakali aturan berbasis alamat IP.
- Proxy anonim: Alamat IP yang digunakan oleh proxy anonim yang diketahui.
- Penambang kripto: Alamat IP yang digunakan oleh situs penambangan mata uang kripto yang dikenal.
- Rentang alamat IP cloud publik: Kategori ini dapat diblokir untuk menghindari alat otomatis berbahaya menjelajahi aplikasi web atau diizinkan jika layanan Anda menggunakan cloud publik lainnya.
Untuk menggunakan Threat Intelligence, Anda menentukan aturan kebijakan keamanan yang mengizinkan atau memblokir
traffic berdasarkan beberapa atau semua kategori ini dengan menggunakan
ekspresi pencocokan evaluateThreatIntelligence
bersama dengan nama feed yang
mewakili salah satu kategori sebelumnya. Selain itu, Anda harus berlangganan Cloud Armor Enterprise. Untuk informasi selengkapnya tentang Cloud Armor Enterprise,
lihat
ringkasan Cloud Armor Enterprise.
Mengonfigurasi Kecerdasan Ancaman
Untuk menggunakan Threat Intelligence, Anda mengonfigurasi aturan kebijakan keamanan menggunakan
ekspresi pencocokan
evaluateThreatIntelligence('FEED_NAME')
, yang memberikan FEED_NAME
berdasarkan
kategori yang ingin Anda izinkan atau blokir. Informasi dalam setiap feed
terus diperbarui, sehingga melindungi layanan dari ancaman baru tanpa langkah
konfigurasi tambahan. Argumen yang valid adalah sebagai berikut.
Nama feed | Deskripsi |
---|---|
iplist-tor-exit-nodes |
Mencocokkan alamat IP node keluar Tor |
iplist-known-malicious-ips |
Mencocokkan alamat IP yang diketahui menyerang aplikasi web |
iplist-search-engines-crawlers |
Mencocokkan alamat IP crawler mesin telusur |
iplist-vpn-providers |
Mencocokkan rentang alamat IP yang digunakan oleh penyedia VPN dengan reputasi rendah |
iplist-anon-proxies |
Mencocokkan rentang alamat IP yang dimiliki oleh proxy anonim terbuka |
iplist-crypto-miners |
Mencocokkan rentang alamat IP yang termasuk dalam situs penambangan kripto |
iplist-cloudflare |
Mencocokkan rentang alamat IPv4 dan IPv6 dari layanan proxy Cloudflare |
iplist-fastly |
Mencocokkan rentang alamat IP layanan proxy Fastly |
iplist-imperva |
Mencocokkan rentang alamat IP layanan proxy Imperva |
iplist-public-clouds
|
Mencocokkan alamat IP yang dimiliki oleh cloud publik
|
Anda dapat mengonfigurasi aturan kebijakan keamanan baru menggunakan perintah gcloud
berikut,
dengan FEED_NAME dari tabel sebelumnya dan ACTION
seperti allow
, deny
, atau throttle
. Untuk informasi selengkapnya tentang tindakan aturan,
lihat jenis kebijakan.
gcloud compute security-policies rules create 1000 \ --security-policy=NAME \ --expression="evaluateThreatIntelligence('FEED_NAME')" \ --action="ACTION"
Jika ingin mengecualikan alamat IP atau rentang alamat IP yang mungkin diblokir oleh Threat Intelligence dari evaluasi, Anda dapat menambahkan alamat ke daftar pengecualian menggunakan ekspresi berikut, dengan mengganti ADDRESS
dengan alamat atau rentang alamat yang ingin Anda kecualikan.
evaluateThreatIntelligence('iplist-known-malicious-ips', ['ADDRESS'])
Menggunakan daftar alamat IP yang telah diberi nama
Daftar alamat IP bernama Google Cloud Armor memungkinkan Anda mereferensikan daftar alamat IP dan rentang IP yang dikelola oleh penyedia pihak ketiga. Anda dapat mengonfigurasi daftar alamat IP bernama dalam kebijakan keamanan. Anda tidak perlu menentukan setiap alamat IP atau rentang IP secara manual.
Dalam dokumen ini, istilah alamat IP dan daftar alamat IP mencakup rentang alamat IP.
Daftar alamat IP bernama adalah daftar alamat IP yang dikelompokkan berdasarkan nama yang berbeda. Nama biasanya mengacu pada penyedia. Daftar alamat IP yang dinamai tidak tunduk pada batas kuota jumlah alamat IP per aturan.
Daftar alamat IP bernama bukan kebijakan keamanan. Anda menggabungkannya ke dalam kebijakan keamanan dengan mereferensikannya sebagai ekspresi dengan cara yang sama seperti mereferensikan aturan yang telah dikonfigurasi sebelumnya.
Misalnya, jika penyedia pihak ketiga memiliki daftar alamat IP {ip1, ip2,
ip3....ip_N_}
dengan nama provider-a
, Anda dapat membuat aturan keamanan yang mengizinkan semua alamat IP yang ada dalam daftar provider-a
dan mengecualikan alamat IP yang tidak ada dalam daftar tersebut:
gcloud beta compute security-policies rules create 1000 \ --security-policy POLICY_NAME \ --expression "evaluatePreconfiguredExpr('provider-a')" \ --action "allow"
Anda tidak dapat membuat daftar alamat IP bernama kustom Anda sendiri. Fitur ini hanya tersedia sehubungan dengan daftar alamat IP bernama yang dikelola oleh penyedia pihak ketiga yang berpartner dengan Google. Jika daftar alamat IP bernama tersebut tidak memenuhi kebutuhan Anda, Anda dapat membuat kebijakan keamanan dengan aturan yang mengizinkan atau menolak akses ke resource berdasarkan alamat IP tempat permintaan berasal. Untuk informasi selengkapnya, lihat Mengonfigurasi kebijakan keamanan Google Cloud Armor.
Untuk menggunakan daftar alamat IP yang dinamai, Anda harus berlangganan Google Cloud Armor Enterprise dan mendaftarkan project di Cloud Armor Enterprise. Untuk mengetahui informasi selengkapnya, lihat Ketersediaan daftar alamat IP bernama.
Hanya mengizinkan traffic dari penyedia pihak ketiga yang diizinkan
Kasus penggunaan yang umum adalah membuat daftar yang diizinkan yang berisi alamat IP partner pihak ketiga yang diizinkan untuk memastikan bahwa hanya traffic yang berasal dari partner ini yang dapat mengakses load balancer dan backend.
Misalnya, penyedia CDN perlu mengambil konten dari server origin secara berkala untuk mendistribusikannya ke cache mereka sendiri. Kemitraan dengan Google menyediakan koneksi langsung antara penyedia CDN dan edge jaringan Google. Pengguna CDN di Google Cloud dapat menggunakan koneksi langsung ini selama pengambilan origin. Dalam hal ini, pengguna CDN mungkin ingin membuat kebijakan keamanan yang hanya mengizinkan traffic yang berasal dari penyedia CDN tertentu tersebut.
Dalam contoh ini, penyedia CDN memublikasikan daftar alamat IP-nya
23.235.32.0/20, 43.249.72.0/22, ⋯,
. Pengguna CDN mengonfigurasi aturan keamanan yang hanya mengizinkan traffic yang berasal dari alamat IP ini. Akibatnya, dua titik akses penyedia CDN diizinkan (23.235.32.10
dan 43.249.72.10
) dan traffic-nya diizinkan. Traffic dari titik akses tidak sah
198.51.100.1
diblokir.
Menyederhanakan konfigurasi dan pengelolaan menggunakan aturan yang telah dikonfigurasi sebelumnya
Penyedia CDN sering menggunakan alamat IP yang terkenal dan harus digunakan oleh banyak pengguna CDN. Daftar ini berubah dari waktu ke waktu, seiring dengan penyedia menambahkan, menghapus, dan memperbarui alamat IP.
Menggunakan daftar alamat IP bernama dalam aturan kebijakan keamanan menyederhanakan proses konfigurasi dan pengelolaan alamat IP karena Google Cloud Armor secara otomatis menyinkronkan informasi dari penyedia CDN setiap hari. Hal ini menghilangkan proses pemeliharaan daftar alamat IP yang besar secara manual yang memakan waktu dan rentan error.
Berikut adalah contoh aturan yang telah dikonfigurasi sebelumnya yang mengizinkan semua traffic dari penyedia:
evaluatePreconfiguredExpr('provider-a') => allow traffic
Penyedia daftar alamat IP
Penyedia daftar alamat IP dalam tabel berikut didukung untuk Google Cloud Armor. Ini adalah penyedia CDN yang telah berpartner dengan Google. Daftar alamat IP-nya dipublikasikan melalui URL publik masing-masing.
Partner ini menyediakan daftar alamat IPv4 dan alamat IPv6 yang terpisah. Google Cloud Armor menggunakan URL yang disediakan untuk mengambil daftar, lalu mengonversi daftar tersebut menjadi daftar alamat IP bernama. Anda merujuk daftar berdasarkan nama dalam tabel.
Misalnya, kode berikut membuat aturan dalam kebijakan keamanan
POLICY_NAME
dengan prioritas 750, yang menggabungkan daftar alamat IP
bernama dari Cloudflare dan mengizinkan akses dari alamat IP tersebut:
gcloud beta compute security-policies rules create 750 \ --security-policy POLICY_NAME \ --expression "evaluatePreconfiguredExpr('sourceiplist-cloudflare')" \ --action "allow"
Penyedia | URL | Nama daftar alamat IP |
---|---|---|
Fastly | https://api.fastly.com/public-ip-list |
sourceiplist-fastly |
Cloudflare |
|
sourceiplist-cloudflare |
Imperva |
Akses ke daftar Imperva memerlukan permintaan
|
sourceiplist-imperva |
Untuk mencantumkan daftar alamat IP bernama yang telah dikonfigurasi sebelumnya, gunakan perintah gcloud CLI ini:
gcloud compute security-policies list-preconfigured-expression-sets \ --filter="id:sourceiplist"
Tindakan ini akan menampilkan:
EXPRESSION_SET sourceiplist-fastly sourceiplist-cloudflare sourceiplist-imperva
Menyinkronkan daftar alamat IP
Google Cloud Armor menyinkronkan daftar alamat IP dengan setiap penyedia hanya saat mendeteksi perubahan dalam format yang valid. Google Cloud Armor melakukan validasi sintaksis dasar pada alamat IP di semua daftar.
Ketersediaan daftar alamat IP yang telah diberi nama
Google Cloud Armor Enterprise tersedia secara umum. Ketersediaan daftar alamat IP bernama dari pihak ketiga adalah sebagai berikut:
- Jika berlangganan paket Google Cloud Armor Enterprise, Anda memiliki lisensi untuk menggunakan daftar alamat IP bernama dalam project yang terdaftar. Anda dapat membuat, memperbarui, dan menghapus aturan dengan daftar alamat IP yang diberi nama.
- Jika langganan tingkat Google Cloud Armor Enterprise Anda berakhir, atau Anda kembali ke tingkat Standard, Anda tidak dapat menambahkan atau mengubah aturan dengan daftar alamat IP bernama, tetapi Anda dapat menghapus aturan yang ada dan memperbarui aturan untuk menghapus daftar IP bernama.
- Untuk project yang sudah menyertakan aturan dengan daftar alamat IP bernama dan yang tidak Anda daftarkan ke Google Cloud Armor Enterprise, Anda dapat terus menggunakan, memperbarui, dan menghapus aturan yang ada dengan daftar alamat IP bernama. Dalam project tersebut, Anda dapat membuat aturan baru yang menggabungkan daftar alamat IP bernama.
Langkah selanjutnya
- Mengonfigurasi kebijakan keamanan Google Cloud Armor
- Lihat harga untuk tingkat Cloud Armor Enterprise
- Memecahkan masalah