Configura Threat Intelligence

Google Cloud Armor Intelligence te permite proteger tu tráfico, ya que permite o bloquea el tráfico a tus balanceadores de cargas HTTP(S) externos según varias categorías de datos de inteligencia de amenazas. Los datos de Threat Intel se dividen en las siguientes categorías:

  • Nodos de salida: Tor es un software de código abierto que habilita la comunicación anónima. Para excluir a los usuarios que ocultan su identidad, bloquea las direcciones IP de los nodos de salida de Tor (puntos en los que el tráfico sale de la red de Tor).
  • Direcciones IP maliciosas conocidas: Las direcciones IP que deben bloquearse para mejorar la posición de seguridad de tu aplicación porque se sabe que los ataques en las aplicaciones web se originan allí.
  • Motores de búsqueda: Direcciones IP que pueden habilitar la indexación de sitios.
  • Rangos de direcciones IP de la nube pública: Esta categoría puede bloquearse para evitar que las herramientas maliciosas automatizadas exploren aplicaciones web, o bien se permite si el servicio usa otras nubes públicas.

Para usar Threat Intel, debes definir reglas de política de seguridad que permitan o bloqueen el tráfico en función de algunas o todas estas categorías mediante la expresión de coincidencia evaluateThreatIntelligence, junto con un nombre de feed que represente una de las categorías anteriores.

Configura Threat Intel

Para usar Threat Intel, configura las reglas de política de seguridad mediante la expresión de coincidencia evaluateThreatIntelligence('FEED_NAME') y proporciona un FEED_NAME basado en la categoría que deseas permitir o bloquear. La información dentro de cada feed se actualiza de forma continua, lo que protege los servicios de amenazas nuevas sin pasos de configuración adicionales. Los argumentos válidos son los siguientes:

Nombre del feed Descripción
iplist-tor-exit-nodes Coincide con las direcciones IP de los nodos de salida
iplist-known-malicious-ips Coincide con las direcciones IP que se sabe que atacan aplicaciones web
iplist-search-engines-crawlers Coincide con las direcciones IP de los rastreadores de los motores de búsqueda
iplist-cloudflare Coincide con los rangos de direcciones IPv4 y IPv6 de los servicios de proxy de Cloudflare
iplist-fastly Coincide con los rangos de direcciones IP de los servicios de proxy de Fastly
iplist-imperva Coincide con los rangos de direcciones IP de los servicios de proxy de Imperva
iplist-public-clouds
  • iplist-public-clouds-aws
  • iplist-public-clouds-azure
  • iplist-public-clouds-gcp
Coincide con las direcciones IP que pertenecen a nubes públicas
  • Coincide con los rangos de direcciones IP que usa Amazon Web Services
  • Coincide con los rangos de direcciones IP que usa Microsoft Azure
  • Coincide con los rangos de direcciones IP que usa Google Cloud

Puedes configurar una regla de política de seguridad nueva con el siguiente comando de gcloud, con un FEED_NAME de la tabla anterior y cualquier ACTION (como allow o deny).

gcloud beta compute security-policies rules create 1000 \
    --security-policy=NAME \
    --expression="evaluateThreatIntelligence('FEED_NAME')" \
    --action="ACTION"

Si deseas excluir una dirección IP o un rango de direcciones IP que Threat Intel podría bloquear de la evaluación, puedes agregarla a la lista de exclusiones con la siguiente expresión y reemplazar <var>ADDRESS</var> por la dirección o rango de IP que quieres excluir.

evaluateThreatIntelligence('iplist-known-malicious-ips', ['ADDRESS'])

¿Qué sigue?