Threat Intelligence de Google Cloud Armor permite que los suscriptores de Google Cloud Armor Enterprise protejan su tráfico, ya que permite o bloquea el tráfico a sus balanceadores de cargas de aplicaciones externos según varias categorías de datos de inteligencia de amenazas. Los datos de Threat Intelligence se dividen en las siguientes categorías:
- Nodos de salida Tor: Tor es un software de código abierto que permite la comunicación anónima. Para excluir a los usuarios que ocultan su identidad, bloquea las direcciones IP de los nodos de salida de Tor (puntos en los que el tráfico sale de la red de Tor).
- Direcciones IP maliciosas conocidas: Las direcciones IP que deben bloquearse para mejorar la posición de seguridad de tu aplicación porque se sabe que los ataques en las aplicaciones web se originan allí.
- Motores de búsqueda: Direcciones IP que pueden habilitar la indexación de sitios.
- Proveedores de VPN: Direcciones IP que usan los proveedores de VPN de baja reputación. Esta categoría se puede bloquear para denegar los intentos de circunnavegación de las reglas basadas en la dirección IP.
- Proxies anónimos: direcciones IP que usan los proxies anónimos conocidos
- Mineros criptográficos: direcciones IP que usan los sitios web conocidos de minería de criptomonedas.
- Rangos de direcciones IP de la nube pública: Esta categoría puede bloquearse para evitar que herramientas automatizadas maliciosas naveguen por las aplicaciones web o se puede permitir si tu servicio usa otras nubes públicas.
Para usar Threat Intelligence, debes definir reglas de política de seguridad que permitan o bloqueen el tráfico en función de algunas o todas estas categorías mediante la expresión de coincidencia evaluateThreatIntelligence, junto con un nombre de feed que represente una de las categorías anteriores. Además, debes suscribirte a Cloud Armor Enterprise. Para obtener más información sobre Cloud Armor Enterprise, consulta la Descripción general de Cloud Armor Enterprise.
Configura Threat Intelligence
Para usar Threat Intelligence, configura las reglas de la política de seguridad con la expresión de coincidencia evaluateThreatIntelligence('FEED_NAME') y proporciona una FEED_NAME basada en la categoría que deseas permitir o bloquear. La información dentro de cada feed se actualiza de forma continua, lo que protege los servicios de amenazas nuevas sin pasos de configuración adicionales. Los argumentos válidos son los siguientes:
| Nombre del feed | Descripción |
|---|---|
iplist-tor-exit-nodes |
Coincide con las direcciones IP de los nodos de salida |
iplist-known-malicious-ips |
Coincide con las direcciones IP que se sabe que atacan aplicaciones web |
iplist-search-engines-crawlers |
Coincide con las direcciones IP de los rastreadores de los motores de búsqueda |
iplist-vpn-providers |
Coincide con los rangos de direcciones IP que utilizan los proveedores de VPN de baja reputación |
iplist-anon-proxies |
Coincide con los rangos de direcciones IP que pertenecen a proxies anónimos abiertos. |
iplist-crypto-miners |
Coincide con los rangos de direcciones IP que pertenecen a sitios de criptominería |
iplist-cloudflare |
Coincide con los rangos de direcciones IPv4 e IPv6 de los servicios de proxy de Cloudflare |
iplist-fastly |
Coincide con los rangos de direcciones IP de los servicios de proxy de Fastly |
iplist-imperva |
Coincide con los rangos de direcciones IP de los servicios de proxy de Imperva |
iplist-public-clouds
|
Coincide con las direcciones IP que pertenecen a nubes públicas
|
Puedes configurar una regla de política de seguridad nueva con el siguiente comando de gcloud, con un FEED_NAME de la tabla anterior y cualquier ACTION (como allow, deny o throttle). Para obtener más información sobre las acciones de las reglas, consulta los tipos de políticas.
gcloud compute security-policies rules create 1000 \
--security-policy=NAME \
--expression="evaluateThreatIntelligence('FEED_NAME')" \
--action="ACTION"
Si deseas excluir una dirección IP o un rango de direcciones IP que Threat Intelligence podría bloquear de la evaluación, puedes agregarla a la lista de exclusiones con la siguiente expresión y reemplazar ADDRESS por la dirección o rango de IP que quieres excluir.
evaluateThreatIntelligence('iplist-known-malicious-ips', ['ADDRESS'])
Usa las listas de direcciones IP con nombre
Las listas de direcciones IP con nombres de Google Cloud Armor te permiten hacer referencia a listas de direcciones IP y rangos de IP que mantienen los proveedores de terceros. Puedes configurar listas de direcciones IP con nombre en una política de seguridad. No necesitas especificar de forma manual cada dirección IP o rango de IP de forma individual.
En este documento, los términos direcciones IP y listas de direcciones IP incluyen los rangos de direcciones IP.
Las listas de direcciones IP con nombre son listas de direcciones IP que se agruparon con nombres diferentes. Por lo general, el nombre hace referencia al proveedor. Las listas de direcciones IP con nombre no están sujetas al límite de cuota para la cantidad de direcciones IP por regla.
Las listas de direcciones IP con nombre no son políticas de seguridad. Para incorporarlas a una política de seguridad, debes hacer referencia a ellas como expresiones, de la misma manera en que haces referencia a una regla preconfigurada.
Por ejemplo, si un proveedor externo tiene una lista de direcciones IP de {ip1, ip2,
ip3....ip_N_} con el nombre provider-a, puedes crear una regla de seguridad que permita todas las direcciones IP que están en la lista provider-a y excluya las direcciones IP que no están en esa lista:
gcloud beta compute security-policies rules create 1000 \
--security-policy POLICY_NAME \
--expression "evaluatePreconfiguredExpr('provider-a')" \
--action "allow"
No puedes crear tus propias listas personalizadas de direcciones IP con nombre. Esta función solo está disponible con respecto a las listas de direcciones IP con nombre que mantienen los proveedores de terceros que se asocian con Google. Si estas listas de direcciones IP con nombre no satisfacen tus necesidades, puedes crear una política de seguridad en la que las reglas permitan o denieguen el acceso a tus recursos según la dirección IP desde la que se originan las solicitudes. Para obtener más información, consulta Configura las políticas de seguridad de Google Cloud Armor.
Para usar listas de direcciones IP con nombre, debes suscribirte a Google Cloud Armor Enterprise y, luego, inscribir los proyectos en Cloud Armor Enterprise. Para obtener más información, consulta Disponibilidad de las listas de direcciones IP con nombre.
Permite solo el tráfico proveniente de los proveedores externos permitidos
Un caso de uso típico consiste en crear una lista de admisión que contenga las direcciones IP de un socio externo permitido para garantizar que solo el tráfico proveniente de este socio pueda acceder al balanceador de cargas y a los backends.
Por ejemplo, los proveedores de CDN deben extraer contenido de los servidores de origen en intervalos regulares para distribuirlo en sus propias memorias caché. Una asociación con Google proporciona una conexión directa entre los proveedores de CDN y el perímetro de red de Google. Los usuarios de CDN en Google Cloud pueden usar esta conexión directa durante las extracciones del servidor de origen. En este caso, puede que el usuario de CDN quiera compilar una política de seguridad que solo permita el tráfico proveniente de ese proveedor de CDN en particular.
En este ejemplo, un proveedor de CDN publica su lista de direcciones IP 23.235.32.0/20, 43.249.72.0/22, ⋯,. Un usuario de CDN configura una regla de seguridad que solo permite el tráfico proveniente de estas direcciones IP. Como resultado, se permiten dos puntos de acceso del proveedor de CDN (23.235.32.10 y 43.249.72.10), de modo que se permite el tráfico de estos puntos. El tráfico del punto de acceso 198.51.100.1 no autorizado se bloquea.
Simplifica la configuración y la administración mediante reglas preconfiguradas
Los proveedores de CDN suelen usar direcciones IP que son conocidas y que muchos usuarios de CDN necesitan usar. Estas listas cambian con el tiempo, a medida que los proveedores agregan, quitan y actualizan las direcciones IP.
El uso de una lista de direcciones IP con nombre en una regla de una política de seguridad simplifica el proceso de configuración y administración de las direcciones IP, ya que Google Cloud Armor sincroniza la información de los proveedores de CDN a diario de forma automática. De este modo, se elimina el proceso de mantener una lista larga de direcciones IP de forma manual, que es lento y propenso a errores.
El siguiente es un ejemplo de una regla preconfigurada que permite todo el tráfico de un proveedor:
evaluatePreconfiguredExpr('provider-a') => allow traffic
Proveedores de listas de direcciones IP
Los proveedores de listas de direcciones IP de la siguiente tabla son compatibles con Google Cloud Armor. Estos son proveedores de CDN que se asociaron con Google. Sus listas de direcciones IP se publican a través de URL públicas individuales.
Estos socios proporcionan distintas listas de direcciones IPv4 y direcciones IPv6. Google Cloud Armor usa las URL proporcionadas para recuperar listas y, luego, convertirlas en listas de direcciones IP con nombre. Debes usar los nombres en la tabla para hacer referencia a las listas.
Por ejemplo, mediante el siguiente código se crea una regla en la política de seguridad POLICY_NAME con una prioridad de 750, que incorpora la lista de direcciones IP con nombre proveniente de Cloudflare y permite el acceso desde esas direcciones IP:
gcloud beta compute security-policies rules create 750 \
--security-policy POLICY_NAME \
--expression "evaluatePreconfiguredExpr('sourceiplist-cloudflare')" \
--action "allow"
| Proveedor | URLs | Nombre de la lista de direcciones IP |
|---|---|---|
| Fastly | https://api.fastly.com/public-ip-list |
sourceiplist-fastly |
| Cloudflare |
|
sourceiplist-cloudflare |
| Imperva |
El acceso a la lista de Imperva requiere una solicitud
|
sourceiplist-imperva |
Para enumerar las listas de direcciones IP con nombre preconfiguradas, usa este comando de gcloud CLI:
gcloud compute security-policies list-preconfigured-expression-sets \
--filter="id:sourceiplist"
El resultado es el siguiente:
EXPRESSION_SET sourceiplist-fastly sourceiplist-cloudflare sourceiplist-imperva
Sincroniza listas de direcciones IP
Google Cloud Armor sincroniza las listas de direcciones IP con cada proveedor solo cuando detecta cambios que tienen un formato válido. Google Cloud Armor realiza una validación básica de la sintaxis de las direcciones IP que se incluyen en todas las listas.
Disponibilidad de las listas de direcciones IP con nombre
Google Cloud Armor Enterprise tiene disponibilidad general. La disponibilidad de listas de direcciones IP con nombre de terceros es la siguiente:
- Si estás suscrito al nivel Enterprise de Google Cloud Armor, tienes licencia para usar listas de direcciones IP con nombre en proyectos inscritos. Puedes crear, actualizar y borrar reglas con listas de direcciones IP con nombre.
- Si vence tu suscripción al nivel Enterprise de Google Cloud Armor, o si regresas al nivel Estándar, no podrás agregar ni modificar reglas con listas de direcciones IP con nombre, pero puedes borrar las existentes y actualizarlas para quitar una lista de IP con nombre.
- Para los proyectos que ya incluyen reglas con listas de direcciones IP con nombre y que no inscribiste en Google Cloud Armor Enterprise, puedes seguir usando, actualizando y borrando las reglas existentes con listas de direcciones IP con nombre. En esos proyectos, puedes crear reglas nuevas que incorporen listas de direcciones IP con nombre.
¿Qué sigue?
- Configura las políticas de seguridad de Google Cloud Armor
- Ver los precios de los niveles de Cloud Armor Enterprise
- Soluciona problemas