Google Cloud Armor Threat Intelligence permet aux abonnés Google Cloud Armor Enterprise de sécuriser leur trafic en autorisant ou en bloquant le trafic vers leurs équilibreurs de charge d'application externes en fonction de plusieurs catégories de données issues de la Threat Intelligence. Les données de Threat Intelligence sont réparties dans les catégories suivantes :
- Nœuds de sortie Tor: Tor est un logiciel Open Source qui permet une communication anonyme. Pour exclure les utilisateurs qui masquent leur identité, bloquez les adresses IP des nœuds de sortie Tor (c'est-à-dire les points au niveau desquels le trafic quitte le réseau Tor).
- Adresses IP malveillantes connues : il s'agit des adresses IP à bloquer afin d'améliorer la stratégie de sécurité de votre application, car elles sont réputées constituer l'origine des attaques ciblant les applications Web.
- Moteurs de recherche : il s'agit des adresses IP que vous pouvez autoriser afin d'activer l'indexation des sites.
- Fournisseurs de VPN: adresses IP utilisées par des fournisseurs de VPN à faible réputation. Cette catégorie peut être bloquée pour refuser les tentatives de contournement des règles basées sur des adresses IP.
- Proxys anonymes: adresses IP utilisées par les proxys anonymes connus.
- Mineurs de cryptomonnaies: adresses IP utilisées par des sites Web de minage de cryptomonnaies connus.
- Plages d'adresses IP de cloud public: cette catégorie peut être bloquée pour éviter que des outils automatisés malveillants ne parcourent les applications Web ou être autorisées si votre service utilise d'autres clouds publics.
Pour utiliser Threat Intelligence, vous définissez des règles de stratégie de sécurité qui vont autoriser ou bloquer le trafic selon tout ou partie de ces catégories à l'aide de l'expression de correspondance evaluateThreatIntelligence, ainsi qu'un nom de flux représentant l'une des catégories précédentes. En outre, vous devez vous abonner à Cloud Armor Enterprise. Pour en savoir plus sur Cloud Armor Enterprise, consultez la présentation de Cloud Armor Enterprise.
Configurer Threat Intelligence
Pour utiliser la Threat Intelligence, vous devez configurer des règles de stratégie de sécurité à l'aide de l'expression de correspondance evaluateThreatIntelligence('FEED_NAME'), en fournissant un FEED_NAME basé sur la catégorie que vous souhaitez autoriser ou bloquer. Les informations de chaque flux sont constamment mises à jour, protégeant ainsi les services contre les nouvelles menaces sans étape de configuration supplémentaire. Les arguments valides sont les suivants.
| Nom de flux | Description |
|---|---|
iplist-tor-exit-nodes |
Correspond aux adresses IP des nœuds de sortie Tor |
iplist-known-malicious-ips |
Correspond aux adresses IP connues pour attaquer des applications Web |
iplist-search-engines-crawlers |
Correspond aux adresses IP des robots d'exploration des moteurs de recherche |
iplist-vpn-providers |
Correspond aux plages d'adresses IP utilisées par les fournisseurs de VPN à faible réputation |
iplist-anon-proxies |
Correspond aux plages d'adresses IP appartenant à des proxys anonymes ouverts |
iplist-crypto-miners |
Correspond aux plages d'adresses IP appartenant à des sites de minage de cryptomonnaie |
iplist-cloudflare |
Correspond aux plages d'adresses IPv4 et IPv6 des services proxy Cloudflare |
iplist-fastly |
Correspond aux plages d'adresses IP des services proxy Fastly |
iplist-imperva |
Correspond aux plages d'adresses IP des services proxy Imperva |
iplist-public-clouds
|
Correspond aux adresses IP appartenant à des clouds publics
|
Vous pouvez configurer une nouvelle règle de stratégie de sécurité à l'aide de la commande gcloud suivante,en spécifiant un nom de flux (FEED_NAME) parmi ceux du tableau précédent et un élément ACTION, tel que allow, deny ou throttle. Pour plus d'informations sur les actions des règles, consultez la page Types de stratégies.
gcloud compute security-policies rules create 1000 \
--security-policy=NAME \
--expression="evaluateThreatIntelligence('FEED_NAME')" \
--action="ACTION"
Si vous souhaitez exclure une adresse IP ou une plage d'adresses IP que Threat Intelligence serait autrement susceptible de bloquer, vous pouvez l'ajouter à la liste d'exclusion à l'aide de l'expression suivante, en remplaçant ADDRESS par l'adresse ou que vous souhaitez exclure.
evaluateThreatIntelligence('iplist-known-malicious-ips', ['ADDRESS'])
Utiliser des listes d'adresses IP nommées
Les listes d'adresses IP nommées par Google Cloud Armor vous permettent de référencer des listes d'adresses IP et de plages d'adresses IP gérées par des fournisseurs tiers. Vous pouvez configurer des listes d'adresses IP nommées dans une stratégie de sécurité. Vous n'avez pas besoin de spécifier manuellement chaque adresse IP ou plage d'adresses IP individuellement.
Dans ce document, les termes adresse IP et liste d'adresses IP incluent les plages d'adresses IP.
Les listes d'adresses IP nommées sont des listes d'adresses IP regroupées sous des noms différents. Le nom fait généralement référence au fournisseur. Les listes d'adresses IP nommées ne sont pas soumises à la limite de quota sur le nombre d'adresses IP par règle.
Les listes d'adresses IP nommées ne sont pas des stratégies de sécurité. Pour les incorporer dans une stratégie de sécurité, vous devez les référencer en tant qu'expressions de la même manière que vous référencez une règle préconfigurée.
Par exemple, si un fournisseur tiers possède une liste d'adresses IP {ip1, ip2,
ip3....ip_N_} sous le nom provider-a, vous pouvez créer une règle de sécurité qui autorise toutes les adresses IP figurant dans la liste provider-a et exclut les adresses IP qui n'y figurent pas :
gcloud beta compute security-policies rules create 1000 \
--security-policy POLICY_NAME \
--expression "evaluatePreconfiguredExpr('provider-a')" \
--action "allow"
Vous ne pouvez pas créer vos propres listes d'adresses IP nommées personnalisées. Cette fonctionnalité n'est disponible que pour les listes d'adresses IP nommées qui sont gérées par des fournisseurs tiers qui s'associent à Google. Si ces listes d'adresses IP nommées ne répondent pas à vos besoins, vous pouvez créer une règle de sécurité selon laquelle les règles autorisent ou refusent l'accès à vos ressources en fonction de l'adresse IP d'origine des requêtes. Pour en savoir plus, consultez la page Configurer des stratégies de sécurité Google Cloud Armor.
Pour utiliser des listes d'adresses IP nommées, vous devez vous abonner à Google Cloud Armor Enterprise et enregistrer les projets dans Cloud Armor Enterprise. Pour en savoir plus, consultez la section Disponibilité des listes d'adresses IP nommées.
Autoriser uniquement le trafic provenant de fournisseurs tiers autorisés
Un cas d'utilisation courant consiste à créer une liste d'autorisation contenant les adresses IP d'un partenaire tiers autorisé pour s'assurer que seul le trafic provenant de ce partenaire peut accéder à l'équilibreur de charge et aux backends.
Par exemple, les fournisseurs CDN doivent extraire le contenu des serveurs d'origine à intervalles réguliers pour le distribuer dans leurs propres caches. Un partenariat avec Google permet d'établir une connexion directe entre les fournisseurs CDN et le réseau périphérique de Google. Les utilisateurs CDN sur Google Cloud peuvent utiliser cette connexion directe lors de l'extraction de données d'origine. Dans ce cas, l'utilisateur CDN peut souhaiter créer une stratégie de sécurité autorisant uniquement le trafic provenant de ce fournisseur CDN.
Dans cet exemple, un fournisseur CDN publie sa liste d'adresses IP 23.235.32.0/20, 43.249.72.0/22, ⋯,. Un utilisateur CDN configure une règle de sécurité qui n'autorise que le trafic provenant de ces adresses IP. Par conséquent, deux points d'accès du fournisseur CDN sont autorisés (23.235.32.10 et 43.249.72.10), et leur trafic est donc autorisé. Le trafic provenant du point d'accès non autorisé 198.51.100.1 est bloqué.
Simplifier la configuration et la gestion à l'aide de règles préconfigurées
Les fournisseurs CDN utilisent souvent des adresses IP qui sont bien connues et que de nombreux utilisateurs CDN doivent utiliser. Ces listes évoluent avec le temps, à mesure que les fournisseurs ajoutent, suppriment et mettent à jour les adresses IP.
L'utilisation d'une liste d'adresses IP nommée dans une règle de stratégie de sécurité simplifie le processus de configuration et de gestion des adresses IP, car Google Cloud Armor synchronise automatiquement les informations des fournisseurs CDN au quotidien. Le processus fastidieux et source d'erreurs consistant à gérer manuellement une longue liste d'adresses IP est ainsi éliminé.
Voici un exemple de règle préconfigurée qui autorise tout le trafic provenant d'un fournisseur :
evaluatePreconfiguredExpr('provider-a') => allow traffic
Fournisseurs de listes d'adresses IP
Les fournisseurs de listes d'adresses IP répertoriés dans le tableau suivant sont compatibles avec Google Cloud Armor. Il s'agit des fournisseurs de CDN qui se sont associés à Google. Leurs listes d'adresses IP sont publiées via des URL publiques individuelles.
Ces partenaires fournissent des listes d'adresses IPv4 et IPv6 distinctes. Google Cloud Armor utilise les URL fournies pour extraire les listes, puis les convertit en listes d'adresses IP nommées. Les listes sont référencées par leur nom dans le tableau.
Par exemple, la commande suivante crée une règle dans la stratégie de sécurité POLICY_NAME avec la priorité 750, en intégrant la liste d'adresses IP nommée de Cloudflare et en autorisant l'accès à partir de ces adresses IP :
gcloud beta compute security-policies rules create 750 \
--security-policy POLICY_NAME \
--expression "evaluatePreconfiguredExpr('sourceiplist-cloudflare')" \
--action "allow"
| Fournisseur | URL | Nom de la liste d'adresses IP |
|---|---|---|
| Fastly | https://api.fastly.com/public-ip-list |
sourceiplist-fastly |
| Cloudflare |
|
sourceiplist-cloudflare |
| Imperva |
L'accès à la liste d'Imperva nécessite une requête
|
sourceiplist-imperva |
Pour répertorier les listes d'adresses IP nommées préconfigurées, utilisez la commande gcloud CLI:
gcloud compute security-policies list-preconfigured-expression-sets \
--filter="id:sourceiplist"
Cette opération renvoie les valeurs :
EXPRESSION_SET sourceiplist-fastly sourceiplist-cloudflare sourceiplist-imperva
Synchroniser les listes d'adresses IP
Google Cloud Armor synchronise les listes d'adresses IP avec chaque fournisseur uniquement lorsqu'il détecte des modifications dans un format valide. Google Cloud Armor effectue une validation de syntaxe de base sur les adresses IP de toutes les listes.
Disponibilité des listes d'adresses IP nommées
Google Cloud Armor Enterprise est en disponibilité générale. La disponibilité des listes d'adresses IP nommées provenant de tiers est la suivante:
- Si vous êtes abonné au niveau Google Cloud Armor Enterprise, vous disposez d'une licence vous permettant d'utiliser des listes d'adresses IP nommées dans les projets enregistrés. Vous pouvez créer, mettre à jour et supprimer des règles avec des listes d'adresses IP nommées.
- Si votre abonnement au niveau Enterprise de Google Cloud Armor expire, ou si vous revenez au niveau Standard, vous ne pouvez pas ajouter ni modifier de règles avec des listes d'adresses IP nommées. Toutefois, vous pouvez supprimer des règles existantes et mettre à jour des règles pour supprimer une liste d'adresses IP nommée.
- Pour les projets qui incluent déjà des règles avec des listes d'adresses IP nommées et que vous n'avez pas enregistrés dans Google Cloud Armor Enterprise, vous pouvez continuer à utiliser, mettre à jour et supprimer des règles existantes avec des listes d'adresses IP nommées. Dans de tels projets, vous pouvez créer des règles qui intègrent des listes d'adresses IP nommées.
Étapes suivantes
- Configurer les stratégies de sécurité Google Cloud Armor
- Consulter les tarifs des niveaux Cloud Armor Enterprise
- Résoudre les problèmes