借助 Google Cloud Armor 威胁情报,您可以根据多种类别的威胁情报数据允许或阻止流向外部 HTTP(S) 负载均衡器的流量,从而保护流量。威胁情报数据分为以下几类:
- Tor 退出节点:Tor 是一种开源软件,可实现匿名通信。如需排除隐藏其身份的用户,请阻止 Tor 退出节点的 IP 地址(流量离开 Tor 网络的点)。
- 已知的恶意 IP 地址:需要屏蔽以改善应用安全状况的 IP 地址,因为针对 Web 应用的攻击通常来自于这些地址。
- 搜索引擎:您可以允许以启用网站索引的 IP 地址。
- 公有云 IP 地址范围:您可以阻止此类别以免恶意自动化工具浏览 Web 应用;或者,如果您的服务使用其他公有云,则您可以允许此类别。
如需使用威胁情报,您可以使用 evaluateThreatIntelligence 匹配表达式以及表示上述类别之一的 Feed 名称来定义安全政策规则,用于根据这些类别的一部分或全部来允许或阻止流量。
配置威胁情报
如需使用威胁情报,请使用 evaluateThreatIntelligence('FEED_NAME') 匹配表达式配置安全政策规则,并根据您要允许或阻止的类别提供 FEED_NAME。每个 Feed 中的信息都会不断更新,从而保护服务免受新威胁的影响,而无需额外的配置步骤。有效的参数如下:
| Feed 名称 | 说明 |
|---|---|
iplist-tor-exit-nodes |
匹配 Tor 退出节点的 IP 地址 |
iplist-known-malicious-ips |
匹配已知用于攻击 Web 应用的 IP 地址 |
iplist-search-engines-crawlers |
匹配搜索引擎抓取工具的 IP 地址 |
iplist-cloudflare |
匹配 Cloudflare 代理服务的 IPv4 和 IPv6 地址范围 |
iplist-fastly |
匹配 Fastly 代理服务的 IP 地址范围 |
iplist-imperva |
匹配 Imperva 代理服务的 IP 地址范围 |
iplist-public-clouds
|
匹配属于公有云的 IP 地址
|
您可以使用以下 gcloud 命令以及上表中的 FEED_NAME 和任何 ACTION(如 allow 或 deny)来配置新的安全政策规则。
gcloud beta compute security-policies rules create 1000 \
--security-policy=NAME \
--expression="evaluateThreatIntelligence('FEED_NAME')" \
--action="ACTION"
如果您要排除威胁情报可能阻止评估的 IP 地址或 IP 地址范围,则可以使用以下表达式将地址添加到排除列表中,注意将 <var>ADDRESS</var> 替换为您要排除的地址或地址范围。
evaluateThreatIntelligence('iplist-known-malicious-ips', ['ADDRESS'])