Como configurar o Intelligence

O Google Cloud Armor Threat Intelligence permite proteger seu tráfego permitindo ou bloqueando o tráfego para seus balanceamentos de carga HTTP(S) externos com base em várias categorias de dados de inteligência de ameaças. Os dados do Threat Intel são divididos nas seguintes categorias:

  • Nós de saída da Tor: o Tor é um software de código aberto que possibilita a comunicação anônima. Para excluir usuários que ocultam a identidade deles, bloqueie os endereços IP dos nós de saída do Tor (pontos em que o tráfego sai da rede).
  • Endereços IP maliciosos conhecidos: endereços IP que precisam ser bloqueados para melhorar a postura de segurança do seu aplicativo, porque os ataques a aplicativos da Web são originários deles.
  • Mecanismos de pesquisa: endereços IP que podem ser permitidos para ativar a indexação do site.
  • Intervalos de endereços IP públicos da nuvem: esta categoria pode ser bloqueada para evitar que ferramentas automatizadas maliciosas procurem aplicativos da Web ou permitida se o serviço usar outras nuvens públicas.

Para usar o Threat Intel, defina regras de política de segurança que permitam ou bloqueiem o tráfego com base em algumas ou em todas essas categorias usando a expressão de correspondência evaluateThreatIntelligence e um nome de feed que representa uma das categorias acima.

Configurar o Threat Intel

Para usar o Threat Intel, configure regras de política de segurança usando a expressão de correspondência evaluateThreatIntelligence('FEED_NAME'), fornecendo um FEED_NAME com base na categoria que você quer permitir ou bloquear. As informações de cada feed são atualizadas constantemente, protegendo os serviços de novas ameaças sem etapas de configuração adicionais. Os argumentos válidos têm estas características:

Nome do feed Descrição
iplist-tor-exit-nodes Correspondem aos endereços IP dos nós de saída do Tor
iplist-known-malicious-ips Correspondem a endereços IP conhecidos por atacar apps da Web
iplist-search-engines-crawlers Correspondem aos endereços IP dos rastreadores dos mecanismos de pesquisa
iplist-cloudflare Corresponde aos intervalos de endereços IPv4 e IPv6 dos serviços de proxy do Cloudflare
iplist-fastly Corresponde a intervalos de endereços IP dos serviços de proxy do Fastly
iplist-imperva Corresponde aos intervalos de endereços IP dos serviços de proxy do Imperva
iplist-public-clouds
  • iplist-public-clouds-aws
  • iplist-public-clouds-azure
  • iplist-public-clouds-gcp
Correspondem a endereços IP que pertencem às nuvens públicas
  • Corresponde aos intervalos de endereços IP usados pelo Amazon Web Services
  • Corresponde aos intervalos de endereços IP usados pelo Microsoft Azure
  • Corresponde aos intervalos de endereços IP usados pelo Google Cloud

É possível configurar uma nova regra de política de segurança usando o comando gcloud a seguir, com um FEED_NAME da tabela anterior e qualquer ACTION (como allow ou deny).

gcloud beta compute security-policies rules create 1000 \
    --security-policy=NAME \
    --expression="evaluateThreatIntelligence('FEED_NAME')" \
    --action="ACTION"

Se você quiser excluir um endereço IP ou um intervalo de endereços IP que o Threat Intel possa bloquear da avaliação, adicione o endereço à lista de exclusão usando a seguinte expressão, substituindo <var>ADDRESS</var> pelo endereço ou intervalo de endereços que você quer excluir.

evaluateThreatIntelligence('iplist-known-malicious-ips', ['ADDRESS'])

A seguir