O Google Cloud Armor Threat Intelligence permite proteger seu tráfego permitindo ou bloqueando o tráfego para seus balanceamentos de carga HTTP(S) externos com base em várias categorias de dados de inteligência de ameaças. Os dados do Threat Intel são divididos nas seguintes categorias:
- Nós de saída da Tor: o Tor é um software de código aberto que possibilita a comunicação anônima. Para excluir usuários que ocultam a identidade deles, bloqueie os endereços IP dos nós de saída do Tor (pontos em que o tráfego sai da rede).
- Endereços IP maliciosos conhecidos: endereços IP que precisam ser bloqueados para melhorar a postura de segurança do seu aplicativo, porque os ataques a aplicativos da Web são originários deles.
- Mecanismos de pesquisa: endereços IP que podem ser permitidos para ativar a indexação do site.
- Intervalos de endereços IP públicos da nuvem: esta categoria pode ser bloqueada para evitar que ferramentas automatizadas maliciosas procurem aplicativos da Web ou permitida se o serviço usar outras nuvens públicas.
Para usar o Threat Intel, defina regras de política de segurança que permitam ou bloqueiem o tráfego com base em algumas ou em todas essas categorias usando a expressão de correspondência evaluateThreatIntelligence e um nome de feed que representa uma das categorias acima.
Configurar o Threat Intel
Para usar o Threat Intel, configure regras de política de segurança usando a
expressão de correspondência evaluateThreatIntelligence('FEED_NAME'), fornecendo um FEED_NAME com base na
categoria que você quer permitir ou bloquear. As informações de cada feed são
atualizadas constantemente, protegendo os serviços de novas ameaças sem etapas
de configuração adicionais. Os argumentos válidos têm estas características:
| Nome do feed | Descrição |
|---|---|
iplist-tor-exit-nodes |
Correspondem aos endereços IP dos nós de saída do Tor |
iplist-known-malicious-ips |
Correspondem a endereços IP conhecidos por atacar apps da Web |
iplist-search-engines-crawlers |
Correspondem aos endereços IP dos rastreadores dos mecanismos de pesquisa |
iplist-cloudflare |
Corresponde aos intervalos de endereços IPv4 e IPv6 dos serviços de proxy do Cloudflare |
iplist-fastly |
Corresponde a intervalos de endereços IP dos serviços de proxy do Fastly |
iplist-imperva |
Corresponde aos intervalos de endereços IP dos serviços de proxy do Imperva |
iplist-public-clouds
|
Correspondem a endereços IP que pertencem às nuvens públicas
|
É possível configurar uma nova regra de política de segurança usando o comando gcloud a seguir, com um FEED_NAME da tabela anterior e qualquer ACTION (como allow ou deny).
gcloud beta compute security-policies rules create 1000 \
--security-policy=NAME \
--expression="evaluateThreatIntelligence('FEED_NAME')" \
--action="ACTION"
Se você quiser excluir um endereço IP ou um intervalo de endereços IP que o Threat Intel possa
bloquear da avaliação, adicione o endereço à lista de exclusão usando a
seguinte expressão, substituindo <var>ADDRESS</var> pelo endereço ou intervalo de endereços que você quer excluir.
evaluateThreatIntelligence('iplist-known-malicious-ips', ['ADDRESS'])
A seguir
- Configurar políticas de segurança do Google Cloud Armor
- Ver os preços dos níveis de proteção gerenciada
- Resolver problemas