配置威胁情报

借助 Google Cloud Armor 威胁情报,您可以根据多种类别的威胁情报数据允许或阻止流向外部 HTTP(S) 负载均衡器的流量,从而保护流量。威胁情报数据分为以下几类:

  • Tor 退出节点:Tor 是一种开源软件,可实现匿名通信。如需排除隐藏其身份的用户,请锁定 Tor 退出节点(流量离开 Tor 网络的点)的 IP 地址。
  • 已知的恶意 IP 地址:需要屏蔽以改善应用安全状况的 IP 地址,因为针对 Web 应用的攻击通常来自于这些地址。
  • 搜索引擎:您可以允许以启用网站索引的 IP 地址。
  • 公有云 IP 地址范围:您可以阻止此类别以免恶意自动化工具浏览 Web 应用;或者,如果您的服务使用其他公有云,则您可以允许此类别。

如需使用威胁情报,您可以使用 evaluateThreatIntelligence 匹配表达式以及表示上述类别之一的 Feed 名称来定义安全政策规则,用于根据这些类别的一部分或全部来允许或阻止流量。

配置威胁情报

如需使用威胁情报,您可以使用 evaluateThreatIntelligence('FEED_NAME') 匹配表达式来配置安全政策规则,并根据您要允许或阻止的类别提供 FEED_NAME。每个 Feed 中的信息都会不断更新,从而保护服务免受新威胁的影响,而无需执行额外的配置步骤。有效参数如下:

Feed 名称 说明
iplist-tor-exit-nodes 匹配 Tor 退出节点的 IP 地址
iplist-known-malicious-ips 匹配已知用于攻击 Web 应用的 IP 地址
iplist-search-engines-crawlers 匹配搜索引擎抓取工具的 IP 地址
iplist-public-clouds 匹配属于公有云的 IP 地址

您可以使用以下 gcloud 命令以及上表中的 FEED_NAME 和任何 ACTION(如 allowdeny)来配置新的安全政策规则。

gcloud beta compute security-policies rules create 1000 \
    --security-policy=NAME \
    --expression="evaluateThreatIntelligence('FEED_NAME')" \
    --action="ACTION"

如果您要排除威胁情报可能阻止评估的 IP 地址或 IP 地址范围,则可以使用以下表达式将地址添加到排除列表中,注意将 <var>ADDRESS</var> 替换为您要排除的地址或地址范围。

evaluateThreatIntelligence('iplist-known-malicious-ips', ['ADDRESS'])

后续步骤