Google Cloud Armor Threat Intelligence ti consente di proteggere il tuo traffico consentendo o bloccando il traffico sui tuoi bilanciatori del carico HTTP(S) esterni in base a diverse categorie di dati di intelligence per le minacce. I dati di Threat Intel sono suddivisi nelle seguenti categorie:
- Nodi di uscita Tor: Tor è un software open source che consente la comunicazione anonima. Per escludere gli utenti che nascondono la propria identità, blocca gli indirizzi IP dei nodi di uscita di Tor (punti in cui il traffico esce dalla rete Tor).
- Indirizzi IP dannosi noti: indirizzi IP che devono essere bloccati per migliorare la strategia di sicurezza della tua applicazione perché è noto che gli attacchi alle applicazioni web provengono da lì.
- Motori di ricerca: indirizzi IP a cui puoi consentire l'attivazione dell'indicizzazione dei siti.
- Intervalli di indirizzi IP del cloud pubblico: questa categoria può essere bloccata, per evitare che strumenti automatici dannosi possano esplorare le applicazioni web, o consentita se il servizio utilizza altri cloud pubblici.
Per utilizzare Threat Intel, definisci le regole dei criteri di sicurezza che consentono o bloccano il traffico in base a alcune o a tutte queste categorie utilizzando l'espressione di corrispondenza evaluateThreatIntelligence insieme al nome di un feed che rappresenta una delle categorie precedenti.
Configura Threat Intel
Per utilizzare Threat Intel, devi configurare le regole dei criteri di sicurezza utilizzando l'espressione di corrispondenza evaluateThreatIntelligence('FEED_NAME'), fornendo un valore FEED_NAME in base alla categoria che vuoi consentire o bloccare. Le informazioni all'interno di ogni feed vengono aggiornate continuamente, proteggendo i servizi da nuove minacce senza ulteriori passaggi di configurazione. Gli argomenti validi sono i seguenti:
| Nome del feed | Descrizione |
|---|---|
iplist-tor-exit-nodes |
Corrisponde ai nodi di uscita Tor' indirizzi IP |
iplist-known-malicious-ips |
Corrisponde agli indirizzi IP noti per attaccare le applicazioni web |
iplist-search-engines-crawlers |
Corrisponde agli indirizzi IP dei crawler dei motori di ricerca |
iplist-cloudflare |
Corrisponde agli intervalli di indirizzi IPv4 e IPv6 dei servizi proxy di Cloudflare |
iplist-fastly |
Corrisponde agli intervalli di indirizzi IP dei servizi proxy Fast |
iplist-imperva |
Corrisponde agli intervalli di indirizzi IP dei servizi proxy Imperva |
iplist-public-clouds
|
Corrisponde agli indirizzi IP appartenenti a cloud pubblici
|
Puoi configurare una nuova regola del criterio di sicurezza utilizzando il seguente comando gcloud,
con un FEED_NAME dalla tabella precedente e qualsiasi ACTION
(ad esempio allow o deny).
gcloud beta compute security-policies rules create 1000 \
--security-policy=NAME \
--expression="evaluateThreatIntelligence('FEED_NAME')" \
--action="ACTION"
Se vuoi escludere un indirizzo IP o un intervallo di indirizzi IP che Threat Intel potrebbe bloccare in altro modo dalla valutazione, puoi aggiungere l'indirizzo all'elenco di esclusione utilizzando la seguente espressione, sostituendo <var>ADDRESS</var> con l'indirizzo o l'intervallo di indirizzi che vuoi escludere.
evaluateThreatIntelligence('iplist-known-malicious-ips', ['ADDRESS'])
Passaggi successivi
- Configurare i criteri di sicurezza di Google Cloud Armor
- Consulta i prezzi per i livelli di protezione gestita
- Risolvere i problemi