Threat Intelligence 구성

Google Cloud Armor Threat Intelligence를 사용하면 여러 카테고리의 위협 인텔리전스 데이터를 기반으로 외부 HTTP(S) 부하 분산기으로의 트래픽을 허용하거나 차단하여 트래픽을 보호할 수 있습니다. Threat Intel 데이터는 다음 카테고리로 분류됩니다.

  • Tor 종료 노드: Tor는 익명 통신을 사용 설정하는 오픈소스 소프트웨어입니다. ID를 숨기는 사용자를 제외하려면 Tor 종료 노드의 IP 주소(트래픽이 Tor 네트워크를 나가는 지점)를 잠급니다.
  • 알려진 악의적인 IP 주소: 웹 애플리케이션에서 공격이 발생한 것으로 알려져 있으므로 애플리케이션의 보안 상태를 개선하기 위해 차단해야 하는 IP 주소입니다.
  • 검색엔진: 사이트 색인 생성을 사용 설정할 수 있는 IP 주소입니다.
  • 퍼블릭 클라우드 IP 주소 범위: 이 카테고리는 악의적인 자동화 도구가 웹 애플리케이션을 탐색하지 못하도록 차단되거나 서비스가 다른 퍼블릭 클라우드를 사용하는 경우 허용될 수 있습니다.

Threat Intel을 사용하려면 다음 카테고리 중 하나를 나타내는 피드 이름과 함께 evaluateThreatIntelligence 일치 표현식을 사용하여 이러한 카테고리 일부 또는 전부를 기반으로 트래픽을 허용하거나 차단하는 보안 정책 규칙을 정의합니다.

Threat Intel 구성

Threat Intel을 사용하려면 허용하거나 차단하려는 카테고리를 기반으로 FEED_NAME을 제공하여 evaluateThreatIntelligence('FEED_NAME') 일치 표현식을 사용하여 보안 정책 규칙을 구성합니다. 각 피드 내의 정보는 지속적으로 업데이트되므로 추가 구성 단계 없이 새로운 위협으로부터 서비스를 보호합니다. 유효한 인수는 다음과 같습니다.

피드 이름 설명
iplist-tor-exit-nodes 종료 노드의 IP 주소와 일치
iplist-known-malicious-ips 웹 애플리케이션 공격에 알려진 IP 주소와 일치
iplist-search-engines-crawlers 검색엔진 크롤러의 IP 주소와 일치
iplist-public-clouds 퍼블릭 클라우드에 속한 IP 주소와 일치

이전 테이블의 FEED_NAMEACTION(예: allow 또는 deny)과 함께 다음 gcloud 명령어를 사용하여 새 보안 정책 규칙을 구성할 수 있습니다.

gcloud beta compute security-policies rules create 1000 \
    --security-policy=NAME \
    --expression="evaluateThreatIntelligence('FEED_NAME')" \
    --action="ACTION"

Threat Intel에서 평가를 차단할 수 있는 IP 주소 또는 IP 주소 범위를 제외하려면 다음 표현식에서 <var>ADDRESS</var>를 제외할 주소 또는 주소 범위로 바꾸어 사용하여 주소를 제외 목록에 추가할 수 있습니다.

evaluateThreatIntelligence('iplist-known-malicious-ips', ['ADDRESS'])

다음 단계