Mit Google Cloud Armor Threat Intelligence können Sie Ihren Traffic sichern. Dazu genehmigen oder blockieren Sie Traffic zu Ihren externen HTTP(S)-Load-Balancern anhand mehrerer Kategorien von Bedrohungsinformationsdaten. Threat Intel-Daten sind in folgende Kategorien unterteilt:
- Gateway-Knoten: Tor ist eine Open-Source-Software, die anonyme Kommunikation ermöglicht. Wenn Sie Nutzer ausschließen möchten, die ihre Identität ausblenden, blockieren Sie die IP-Adressen der Tor-Ausgangsknoten (Punkte, an denen der Traffic das Tor-Netzwerk verlässt).
- Bekannte schädliche IP-Adressen: IP-Adressen, die blockiert werden müssen, um die Sicherheit Ihrer Anwendung zu verbessern, da von ihnen bekannterweise Angriffe auf Webanwendungen ausgingen.
- Suchmaschinen: IP-Adressen, denen Sie die Aktivierung der Websiteindexierung erlauben können.
- IP-Adressbereiche der öffentlichen Cloud: Diese Kategorie kann entweder blockiert werden, um zu verhindern, dass schädliche automatisierte Tools in Webanwendungen suchen, oder sie kann zugelassen werden, wenn Ihr Dienst andere öffentliche Clouds verwendet.
Zum Verwenden von Threat Intel definieren Sie Sicherheitsregeln, die Traffic basierend auf einigen oder allen diesen Kategorien über den Übereinstimmungsausdruck evaluateThreatIntelligence zulassen oder blockieren. Weiter wird dazu ein Feedname genutzt, der eine der vorherigen Kategorien darstellt.
Threat Intel konfigurieren
Wenn Sie Threat Intel verwenden möchten, konfigurieren Sie Sicherheitsrichtlinienregeln mithilfe des Übereinstimmungsausdrucks evaluateThreatIntelligence('FEED_NAME') und geben Sie einen FEED_NAME für die Kategorie an, die Sie zulassen oder blockieren möchten. Die Informationen in den einzelnen Feeds werden kontinuierlich aktualisiert, um Dienste ohne zusätzliche Konfigurationsschritte vor neuen Bedrohungen zu schützen. Gültige Argumente sind:
| Feedname | Beschreibung |
|---|---|
iplist-tor-exit-nodes |
Entspricht den IP-Adressen der Tor-Exit-Knoten |
iplist-known-malicious-ips |
Entspricht IP-Adressen, die bekanntermaßen Angriffe auf Webanwendungen ausführen |
iplist-search-engines-crawlers |
Entspricht IP-Adressen von Suchmaschinen-Crawlern |
iplist-cloudflare |
Entspricht den IPv4-Adressbereichen und IPv6-Adressbereichen von Cloudflare-Proxydiensten |
iplist-fastly |
Entspricht den IP-Adressbereichen von Fastly Proxy-Diensten |
iplist-imperva |
Entspricht den IP-Adressbereichen von Imperva-Proxydiensten |
iplist-public-clouds
|
Entspricht IP-Adressen, die zu öffentlichen Clouds gehören
|
Sie können eine neue Sicherheitsregel mit folgendem gcloud-Befehl, mit einem FEED_NAME aus der vorherigen Tabelle und einem beliebigen ACTION (wie allow oder deny) konfigurieren.
gcloud beta compute security-policies rules create 1000 \
--security-policy=NAME \
--expression="evaluateThreatIntelligence('FEED_NAME')" \
--action="ACTION"
Wenn Sie eine IP-Adresse oder einen IP-Adressbereich ausschließen möchten, die/der von Threat Intel ansonsten für die Auswertung blockiert werden könnte, fügen Sie die Adresse mit folgendem Ausdruck der Ausschlussliste hinzu. Ersetzen Sie dabei <var>ADDRESS</var> durch die Adresse oder den Adressbereich, den Sie ausschließen möchten.
evaluateThreatIntelligence('iplist-known-malicious-ips', ['ADDRESS'])
Nächste Schritte
- Google Cloud Armor-Sicherheitsrichtlinien konfigurieren
- Preise für Managed Protection-Stufen
- Fehlerbehebung