Configurazione di Threat Intelligence

Google Cloud Armor Threat Intelligence ti consente di proteggere il tuo traffico consentendo o bloccando il traffico sui tuoi bilanciatori del carico HTTP(S) esterni in base a diverse categorie di dati di intelligence per le minacce. I dati di Threat Intel sono suddivisi nelle seguenti categorie:

  • Nodi di uscita Tor: Tor è un software open source che consente la comunicazione anonima. Per escludere gli utenti che nascondono la propria identità, blocca gli indirizzi IP dei nodi di uscita di Tor (punti in cui il traffico esce dalla rete Tor).
  • Indirizzi IP dannosi noti: indirizzi IP che devono essere bloccati per migliorare la strategia di sicurezza della tua applicazione perché è noto che gli attacchi alle applicazioni web provengono da lì.
  • Motori di ricerca: indirizzi IP a cui puoi consentire l'attivazione dell'indicizzazione dei siti.
  • Intervalli di indirizzi IP del cloud pubblico: questa categoria può essere bloccata, per evitare che strumenti automatici dannosi possano esplorare le applicazioni web, o consentita se il servizio utilizza altri cloud pubblici.

Per utilizzare Threat Intel, definisci le regole dei criteri di sicurezza che consentono o bloccano il traffico in base a alcune o a tutte queste categorie utilizzando l'espressione di corrispondenza evaluateThreatIntelligence insieme al nome di un feed che rappresenta una delle categorie precedenti.

Configura Threat Intel

Per utilizzare Threat Intel, devi configurare le regole dei criteri di sicurezza utilizzando l'espressione di corrispondenza evaluateThreatIntelligence('FEED_NAME'), fornendo un valore FEED_NAME in base alla categoria che vuoi consentire o bloccare. Le informazioni all'interno di ogni feed vengono aggiornate continuamente, proteggendo i servizi da nuove minacce senza ulteriori passaggi di configurazione. Gli argomenti validi sono i seguenti:

Nome del feed Descrizione
iplist-tor-exit-nodes Corrisponde ai nodi di uscita Tor' indirizzi IP
iplist-known-malicious-ips Corrisponde agli indirizzi IP noti per attaccare le applicazioni web
iplist-search-engines-crawlers Corrisponde agli indirizzi IP dei crawler dei motori di ricerca
iplist-cloudflare Corrisponde agli intervalli di indirizzi IPv4 e IPv6 dei servizi proxy di Cloudflare
iplist-fastly Corrisponde agli intervalli di indirizzi IP dei servizi proxy Fast
iplist-imperva Corrisponde agli intervalli di indirizzi IP dei servizi proxy Imperva
iplist-public-clouds
  • iplist-public-clouds-aws
  • iplist-public-clouds-azure
  • iplist-public-clouds-gcp
Corrisponde agli indirizzi IP appartenenti a cloud pubblici
  • Corrisponde agli intervalli di indirizzi IP utilizzati da Amazon Web Services
  • Corrisponde agli intervalli di indirizzi IP utilizzati da Microsoft Azure
  • Corrisponde agli intervalli di indirizzi IP utilizzati da Google Cloud

Puoi configurare una nuova regola del criterio di sicurezza utilizzando il seguente comando gcloud, con un FEED_NAME dalla tabella precedente e qualsiasi ACTION (ad esempio allow o deny).

gcloud beta compute security-policies rules create 1000 \
    --security-policy=NAME \
    --expression="evaluateThreatIntelligence('FEED_NAME')" \
    --action="ACTION"

Se vuoi escludere un indirizzo IP o un intervallo di indirizzi IP che Threat Intel potrebbe bloccare in altro modo dalla valutazione, puoi aggiungere l'indirizzo all'elenco di esclusione utilizzando la seguente espressione, sostituendo <var>ADDRESS</var> con l'indirizzo o l'intervallo di indirizzi che vuoi escludere.

evaluateThreatIntelligence('iplist-known-malicious-ips', ['ADDRESS'])

Passaggi successivi