Threat Intelligence konfigurieren

Mit Google Cloud Armor Threat Intelligence können Sie Ihren Traffic sichern. Dazu genehmigen oder blockieren Sie Traffic zu Ihren externen HTTP(S)-Load-Balancern anhand mehrerer Kategorien von Bedrohungsinformationsdaten. Threat Intel-Daten sind in folgende Kategorien unterteilt:

  • Gateway-Knoten: Tor ist eine Open-Source-Software, die die anonyme Kommunikation ermöglicht. Wenn Sie Nutzer ausschließen möchten, die ihre Identität ausblenden, sperren Sie die IP-Adressen der Tor-Ausgangsknoten (Punkte, an denen der Traffic das Tor-Netzwerk verlässt).
  • Bekannte schädliche IP-Adressen: IP-Adressen, die blockiert werden müssen, um die Sicherheit Ihrer Anwendung zu verbessern, da von ihnen bekannterweise Angriffe auf Webanwendungen ausgingen.
  • Suchmaschinen: IP-Adressen, denen Sie die Aktivierung der Websiteindexierung erlauben können.
  • IP-Adressbereiche der öffentlichen Cloud: Diese Kategorie kann entweder blockiert werden, um zu verhindern, dass schädliche automatisierte Tools in Webanwendungen suchen, oder zugelassen, wenn Ihr Dienst andere öffentliche Clouds verwendet.

Zum Verwenden von Threat Intel definieren Sie Sicherheitsregeln, die Traffic basierend auf einigen oder allen diesen Kategorien über den Übereinstimmungsausdruck evaluateThreatIntelligence zulassen oder blockieren. Weiter wird dazu ein Feedname genutzt, der eine der oben genannten Kategorien darstellt.

Threat Intel konfigurieren

Wenn Sie Threat Intel verwenden möchten, konfigurieren Sie Sicherheitsregeln über den Übereinstimmungsausdruck evaluateThreatIntelligence('FEED_NAME') und geben einen FEED_NAME auf Basis der Kategorie an, die Sie zulassen oder blockieren möchten. Die Informationen in den einzelnen Feeds werden kontinuierlich aktualisiert, um Dienste ohne zusätzliche Konfigurationsschritte vor neuen Bedrohungen zu schützen. Gültige Argumente sind:

Feedname Beschreibung
iplist-tor-exit-nodes Entspricht den IP-Adressen der Tor-Exit-Knoten
iplist-known-malicious-ips Entspricht IP-Adressen, die bekanntermaßen Angriffe auf Webanwendungen ausführen
iplist-search-engines-crawlers Entspricht IP-Adressen von Suchmaschinen-Crawlern
iplist-public-clouds Entspricht IP-Adressen, die zu öffentlichen Clouds gehören

Sie können eine neue Sicherheitsregel mit folgendem gcloud-Befehl, mit einem FEED_NAME aus der vorherigen Tabelle und einem beliebigen ACTION (wie allow oder deny) konfigurieren.

gcloud beta compute security-policies rules create 1000 \
    --security-policy=NAME \
    --expression="evaluateThreatIntelligence('FEED_NAME')" \
    --action="ACTION"

Wenn Sie eine IP-Adresse oder einen IP-Adressbereich ausschließen möchten, die/der von Threat Intel ansonsten für die Auswertung blockiert werden könnte, fügen Sie die Adresse mit folgendem Ausdruck der Ausschlussliste hinzu. Ersetzen Sie dabei <var>ADDRESS</var> durch die Adresse oder den Adressbereich, den Sie ausschließen möchten.

evaluateThreatIntelligence('iplist-known-malicious-ips', ['ADDRESS'])

Nächste Schritte