Menerapkan Kecerdasan Ancaman

Google Cloud Armor Threat Intelligence memungkinkan pelanggan Google Cloud Armor Enterprise mengamankan traffic dengan mengizinkan atau memblokir traffic ke Load Balancer Aplikasi eksternal mereka berdasarkan beberapa kategori data kecerdasan ancaman. Data Threat Intelligence dibagi menjadi kategori berikut:

Node keluar Tor: Tor adalah software open source yang memungkinkan komunikasi anonim. Untuk mengecualikan pengguna yang menyembunyikan identitas mereka, blokir alamat IP node keluar Tor (titik tempat traffic keluar dari jaringan Tor).
Alamat IP berbahaya yang diketahui: Alamat IP yang perlu diblokir untuk meningkatkan postur keamanan aplikasi Anda karena serangan pada aplikasi web diketahui berasal dari sana.
Mesin telusur: Alamat IP yang dapat Anda izinkan untuk mengaktifkan pengindeksan situs.
Penyedia VPN: rentang alamat IP yang digunakan oleh penyedia VPN berreputasi rendah.
Proxy anonim: rentang alamat IP yang termasuk dalam proxy anonim terbuka.
Penambang kripto: Rentang alamat IP yang termasuk dalam situs penambangan kripto.
Rentang alamat IP cloud publik: Kategori ini dapat diblokir untuk menghindari alat otomatis yang berbahaya agar tidak dapat menjelajahi aplikasi web atau diizinkan jika layanan Anda menggunakan cloud publik lainnya.

Untuk menggunakan Kecerdasan Ancaman, tentukan aturan kebijakan keamanan yang mengizinkan atau memblokir traffic berdasarkan beberapa atau semua kategori ini menggunakan ekspresi pencocokan evaluateThreatIntelligence beserta nama feed yang mewakili salah satu kategori sebelumnya. Selain itu, Anda harus berlangganan Cloud Armor Enterprise. Untuk mengetahui informasi selengkapnya tentang Cloud Armor Enterprise, baca ringkasan Cloud Armor Enterprise.

Mengonfigurasi Kecerdasan Ancaman

Untuk menggunakan Kecerdasan Ancaman, Anda harus mengonfigurasi aturan kebijakan keamanan menggunakan ekspresi pencocokan evaluateThreatIntelligence('FEED_NAME'), yang memberikan FEED_NAME berdasarkan kategori yang ingin Anda izinkan atau blokir. Informasi dalam setiap feed akan terus diperbarui, sehingga melindungi layanan dari ancaman baru tanpa langkah konfigurasi tambahan. Argumen yang valid adalah sebagai berikut.

Nama feed	Deskripsi
`iplist-tor-exit-nodes`	Mencocokkan alamat IP node keluar Tor
`iplist-known-malicious-ips`	Mencocokkan alamat IP yang diketahui dapat menyerang aplikasi web
`iplist-search-engines-crawlers`	Cocok dengan alamat IP crawler mesin telusur
`iplist-vpn-providers`	Mencocokkan rentang alamat IP yang digunakan oleh penyedia VPN bereputasi rendah
`iplist-anon-proxies`	Mencocokkan rentang alamat IP milik proxy anonim terbuka
`iplist-crypto-miners`	Mencocokkan rentang alamat IP milik situs penambangan kripto
`iplist-cloudflare`	Mencocokkan rentang alamat IPv4 dan IPv6 dari layanan proxy Cloudflare
`iplist-fastly`	Mencocokkan rentang alamat IP layanan proxy Fastly
`iplist-imperva`	Cocok dengan rentang alamat IP layanan proxy Imperva
`iplist-public-clouds` `iplist-public-clouds-aws` `iplist-public-clouds-azure` `iplist-public-clouds-gcp`	Mencocokkan alamat IP milik cloud publik Mencocokkan rentang alamat IP yang digunakan oleh Amazon Web Services Mencocokkan rentang alamat IP yang digunakan oleh Microsoft Azure Mencocokkan rentang alamat IP yang digunakan oleh Google Cloud

Anda dapat mengonfigurasi aturan kebijakan keamanan baru menggunakan perintah gcloud berikut, dengan FEED_NAME dari tabel sebelumnya, dan ACTION apa pun seperti allow, deny, atau throttle. Untuk mengetahui informasi selengkapnya tentang tindakan aturan, lihat jenis kebijakan.

gcloud compute security-policies rules create 1000 \
    --security-policy=NAME \
    --expression="evaluateThreatIntelligence('FEED_NAME')" \
    --action="ACTION"

Jika ingin mengecualikan alamat IP atau rentang alamat IP yang mungkin diblokir oleh Threat Intelligence dari evaluasi, Anda dapat menambahkan alamat tersebut ke daftar pengecualian menggunakan ekspresi berikut, dengan mengganti ADDRESS dengan alamat atau rentang alamat yang ingin dikecualikan.

evaluateThreatIntelligence('iplist-known-malicious-ips', ['ADDRESS'])

Gunakan daftar alamat IP yang diberi nama

Daftar alamat IP yang bernama Google Cloud Armor dapat Anda gunakan untuk mereferensikan daftar alamat IP dan rentang IP yang dikelola oleh penyedia pihak ketiga. Anda dapat mengonfigurasi daftar alamat IP bernama dalam kebijakan keamanan. Anda tidak perlu menentukan setiap alamat IP atau rentang IP secara manual satu per satu.

Dalam dokumen ini, istilah alamat IP dan daftar alamat IP mencakup rentang alamat IP.

Daftar alamat IP bernama adalah daftar alamat IP yang dikelompokkan dengan nama yang berbeda. Nama tersebut biasanya mengacu pada penyedia. Daftar alamat IP bernama tidak tunduk pada batas kuota jumlah alamat IP per aturan.

Daftar alamat IP yang dinamai bukan kebijakan keamanan. Anda memasukkannya ke dalam kebijakan keamanan dengan mereferensikannya sebagai ekspresi dengan cara yang sama seperti saat Anda mereferensikan aturan yang telah dikonfigurasi sebelumnya.

Misalnya, jika penyedia pihak ketiga memiliki daftar alamat IP {ip1, ip2, ip3....ip_N_} dengan nama provider-a, Anda dapat membuat aturan keamanan yang mengizinkan semua alamat IP yang ada dalam daftar provider-a dan mengecualikan alamat IP yang tidak ada dalam daftar tersebut:

gcloud beta compute security-policies rules create 1000 \
    --security-policy POLICY_NAME \
    --expression "evaluatePreconfiguredExpr('provider-a')" \
    --action "allow"

Anda tidak dapat membuat daftar alamat IP khusus yang diberi nama. Fitur ini hanya tersedia dalam kaitannya dengan daftar alamat IP bernama yang dikelola oleh penyedia pihak ketiga yang berpartner dengan Google. Jika daftar alamat IP yang dinamai tersebut tidak memenuhi kebutuhan Anda, Anda dapat membuat kebijakan keamanan dengan aturan yang mengizinkan atau menolak akses ke resource Anda berdasarkan alamat IP tempat permintaan berasal. Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi kebijakan keamanan Google Cloud Armor.

Untuk menggunakan daftar alamat IP bernama, Anda harus berlangganan Google Cloud Armor Enterprise dan mendaftarkan project di Cloud Armor Enterprise. Untuk mengetahui informasi selengkapnya, lihat Ketersediaan daftar alamat IP bernama.

Mengizinkan traffic hanya dari penyedia pihak ketiga yang diizinkan

Kasus penggunaan umumnya adalah membuat daftar yang diizinkan yang berisi alamat IP partner pihak ketiga yang diizinkan untuk memastikan bahwa hanya traffic yang berasal dari partner ini yang dapat mengakses load balancer dan backend.

Misalnya, penyedia CDN perlu mengambil konten dari server asal pada interval reguler untuk mendistribusikannya ke cache mereka sendiri. Kemitraan dengan Google memberikan koneksi langsung antara penyedia CDN dan edge jaringan Google. Pengguna CDN di Google Cloud dapat menggunakan koneksi langsung ini selama penarikan origin. Dalam hal ini, pengguna CDN mungkin ingin membuat kebijakan keamanan yang hanya mengizinkan traffic yang berasal dari penyedia CDN tertentu.

Dalam contoh ini, penyedia CDN memublikasikan daftar alamat IP-nya 23.235.32.0/20, 43.249.72.0/22, ⋯,. Pengguna CDN mengonfigurasi aturan keamanan yang hanya mengizinkan traffic yang berasal dari alamat IP ini. Dengan demikian, dua titik akses penyedia CDN diizinkan (23.235.32.10 dan 43.249.72.10), sehingga traffic-nya diizinkan. Traffic dari titik akses yang tidak sah 198.51.100.1 diblokir.

Alamat IP bernama Google Cloud Armor. — Alamat IP bernama Google Cloud Armor (klik untuk memperbesar).

Menyederhanakan konfigurasi dan pengelolaan menggunakan aturan yang telah dikonfigurasi sebelumnya

Penyedia CDN sering menggunakan alamat IP yang dikenal dan yang perlu digunakan oleh banyak pengguna CDN. Daftar ini berubah dari waktu ke waktu, saat penyedia menambahkan, menghapus, dan memperbarui alamat IP.

Penggunaan daftar alamat IP bernama dalam aturan kebijakan keamanan akan menyederhanakan proses konfigurasi dan pengelolaan alamat IP, karena Google Cloud Armor otomatis menyinkronkan informasi dari penyedia CDN setiap hari. Hal ini meniadakan proses yang memakan waktu dan rentan error dalam mempertahankan daftar alamat IP yang besar secara manual.

Berikut adalah contoh aturan yang telah dikonfigurasi sebelumnya yang mengizinkan semua traffic dari penyedia:

evaluatePreconfiguredExpr('provider-a') => allow traffic

Penyedia daftar alamat IP

Penyedia daftar alamat IP dalam tabel berikut didukung untuk Google Cloud Armor. Berikut adalah penyedia CDN yang telah berpartner dengan Google. Daftar alamat IP mereka dipublikasikan melalui URL publik individual.

Partner ini memberikan daftar alamat IPv4 dan alamat IPv6 terpisah. Google Cloud Armor menggunakan URL yang disediakan untuk mengambil daftar, lalu mengonversi daftar tersebut menjadi daftar alamat IP bernama. Anda merujuk ke daftar berdasarkan nama dalam tabel.

Misalnya, kode berikut membuat aturan dalam kebijakan keamanan POLICY_NAME dengan prioritas 750, yang menggabungkan daftar alamat IP yang disebutkan dari Cloudflare dan mengizinkan akses dari alamat IP tersebut:

gcloud beta compute security-policies rules create 750 \
    --security-policy POLICY_NAME \
    --expression "evaluatePreconfiguredExpr('sourceiplist-cloudflare')" \
    --action "allow"

Penyedia URL Nama daftar alamat IP

Fastly https://api.fastly.com/public-ip-list sourceiplist-fastly

Cloudflare

Penyedia	URL	Nama daftar alamat IP
Fastly	`https://api.fastly.com/public-ip-list`	`sourceiplist-fastly`
Cloudflare	`https://www.cloudflare.com/ips-v4` `https://www.cloudflare.com/ips-v6`	`sourceiplist-cloudflare`
Kekaisaran	`https://my.imperva.com/api/integration/v1/ips` Akses ke daftar Imperva memerlukan permintaan `POST`. Anda juga dapat menggunakan perintah berikut: `curl -d "" https://my.imperva.com/api/integration/v1/ips`	`sourceiplist-imperva`

https://www.cloudflare.com/ips-v4

https://www.cloudflare.com/ips-v6

sourceiplist-cloudflare

Kekaisaran

https://my.imperva.com/api/integration/v1/ips

Akses ke daftar Imperva memerlukan permintaan POST. Anda juga dapat menggunakan perintah berikut:

curl -d "" https://my.imperva.com/api/integration/v1/ips

sourceiplist-imperva

Untuk menampilkan daftar alamat IP bernama yang telah dikonfigurasi sebelumnya, gunakan perintah gcloud CLI ini:

gcloud compute security-policies list-preconfigured-expression-sets \
    --filter="id:sourceiplist"

Ini akan menampilkan:

EXPRESSION_SET
sourceiplist-fastly
sourceiplist-cloudflare
sourceiplist-imperva

Menyinkronkan daftar alamat IP

Google Cloud Armor menyinkronkan daftar alamat IP dengan setiap penyedia hanya jika mendeteksi perubahan dalam format yang valid. Google Cloud Armor melakukan validasi sintaksis dasar pada alamat IP di semua daftar.

Ketersediaan daftar alamat IP bernama

Google Cloud Armor Enterprise tersedia secara umum. Ketersediaan daftar alamat IP bernama dari pihak ketiga adalah sebagai berikut:

Jika Anda berlangganan tingkat Google Cloud Armor Enterprise, Anda memiliki lisensi untuk menggunakan daftar alamat IP bernama dalam project terdaftar. Anda dapat membuat, memperbarui, dan menghapus aturan dengan daftar alamat IP yang telah diberi nama.
Jika langganan tingkat Google Cloud Armor Enterprise Anda telah berakhir, atau Anda kembali ke tingkat Standar, Anda tidak dapat menambahkan atau mengubah aturan dengan daftar alamat IP bernama. Namun, Anda dapat menghapus aturan yang ada dan memperbarui aturan untuk menghapus daftar IP yang diberi nama.
Untuk project yang sudah menyertakan aturan dengan daftar alamat IP bernama dan yang tidak Anda daftarkan di Google Cloud Armor Enterprise, Anda dapat terus menggunakan, memperbarui, dan menghapus aturan yang ada dengan daftar alamat IP bernama. Dalam project semacam ini, Anda dapat membuat aturan baru yang menggabungkan daftar alamat IP yang bernama.