Applica Threat Intelligence

Google Cloud Armor Threat Intelligence consente agli abbonati a Google Cloud Armor Enterprise di proteggere il traffico consentendo o bloccando il traffico verso i bilanciatori del carico delle applicazioni esterni in base a diverse categorie di dati di intelligence sulle minacce. I dati di Threat Intelligence sono suddivisi nelle seguenti categorie:

  • Nodi di uscita Tor: Tor è un software open source che consente la comunicazione anonima. Per escludere gli utenti che nascondono la propria identità, blocca gli indirizzi IP dei nodi di uscita Tor (punti in cui il traffico esce dalla rete Tor).
  • Indirizzi IP dannosi noti: indirizzi IP che devono essere bloccati per migliorare la security posture dell'applicazione perché è noto che gli attacchi alle applicazioni web provengono da lì.
  • Motori di ricerca: indirizzi IP a cui puoi consentire di abilitare l'indicizzazione del sito.
  • Provider VPN: indirizzi IP utilizzati da provider VPN con bassa reputazione. Questa categoria può essere bloccata per negare i tentativi di elusione delle regole basate su indirizzi IP.
  • Proxy anonimi: indirizzi IP utilizzati da proxy anonimi noti.
  • Cryptominer: indirizzi IP utilizzati da siti web di mining di criptovaluta noti.
  • Intervalli di indirizzi IP del cloud pubblico: questa categoria può essere bloccata per evitare che strumenti automatizzati dannosi visitino le applicazioni web, oppure consentita se il tuo servizio utilizza altri cloud pubblici.

Per utilizzare Threat Intelligence, definisci le regole dei criteri di sicurezza che consentono o bloccano il traffico in base ad alcune o tutte queste categorie utilizzando l'espressione di corrispondenza evaluateThreatIntelligence insieme al nome di un feed che rappresenti una delle categorie precedenti. Inoltre, devi abbonarti a Cloud Armor Enterprise. Per ulteriori informazioni su Cloud Armor Enterprise, consulta la panoramica di Cloud Armor Enterprise.

Configura Threat Intelligence

Per utilizzare Threat Intelligence, configura le regole del criterio di sicurezza utilizzando l'espressione di corrispondenza evaluateThreatIntelligence('FEED_NAME'), fornendo un FEED_NAME in base alla categoria che vuoi consentire o bloccare. Le informazioni all'interno di ogni feed vengono aggiornate costantemente per proteggere i servizi da nuove minacce senza ulteriori passaggi di configurazione. Gli argomenti validi sono i seguenti.

Nome feed Descrizione
iplist-tor-exit-nodes Corrisponde agli indirizzi IP dei nodi di uscita Tor
iplist-known-malicious-ips Corrisponde agli indirizzi IP noti per gli attacchi alle applicazioni web
iplist-search-engines-crawlers Corrisponde agli indirizzi IP dei crawler dei motori di ricerca
iplist-vpn-providers Corrisponde agli intervalli di indirizzi IP utilizzati da provider VPN con bassa reputazione
iplist-anon-proxies Corrisponde agli intervalli di indirizzi IP che appartengono ai proxy anonimi aperti
iplist-crypto-miners Corrisponde agli intervalli di indirizzi IP che appartengono a siti di cryptomining
iplist-cloudflare Corrisponde agli intervalli di indirizzi IPv4 e IPv6 dei servizi proxy di Cloudflare
iplist-fastly Corrisponde agli intervalli di indirizzi IP dei servizi proxy Fastly
iplist-imperva Corrisponde agli intervalli di indirizzi IP dei servizi proxy Imperva
iplist-public-clouds
  • iplist-public-clouds-aws
  • iplist-public-clouds-azure
  • iplist-public-clouds-gcp
Corrisponde agli indirizzi IP che appartengono ai cloud pubblici
  • Corrisponde agli intervalli di indirizzi IP utilizzati da Amazon Web Services
  • Corrisponde agli intervalli di indirizzi IP utilizzati da Microsoft Azure
  • Corrisponde agli intervalli di indirizzi IP utilizzati da Google Cloud

Puoi configurare una nuova regola del criterio di sicurezza utilizzando il seguente comando gcloud, con un FEED_NAME della tabella precedente e qualsiasi ACTION come allow, deny o throttle. Per ulteriori informazioni sulle azioni relative alle regole, consulta i tipi di criteri.

gcloud compute security-policies rules create 1000 \
    --security-policy=NAME \
    --expression="evaluateThreatIntelligence('FEED_NAME')" \
    --action="ACTION"

Se vuoi escludere un indirizzo IP o un intervallo di indirizzi IP che Threat Intelligence potrebbe altrimenti bloccare dalla valutazione, puoi aggiungere l'indirizzo all'elenco di esclusione utilizzando la seguente espressione, sostituendo ADDRESS con l'indirizzo o l'intervallo di indirizzi che vuoi escludere.

evaluateThreatIntelligence('iplist-known-malicious-ips', ['ADDRESS'])

Utilizzo di elenchi di indirizzi IP denominati

Gli elenchi di indirizzi IP denominati Google Cloud Armor consentono di fare riferimento a elenchi di indirizzi IP e intervalli IP gestiti da provider di terze parti. Puoi configurare elenchi di indirizzi IP denominati all'interno di un criterio di sicurezza. Non è necessario specificare manualmente ogni indirizzo IP o intervallo IP singolarmente.

In questo documento, i termini Indirizzo IP ed Elenco indirizzi IP includono Intervalli di indirizzi IP.

Gli elenchi di indirizzi IP denominati sono elenchi di indirizzi IP raggruppati con nomi diversi. In genere il nome si riferisce al provider. Gli elenchi di indirizzi IP denominati non sono soggetti al limite di quota relativo al numero di indirizzi IP per regola.

Gli elenchi di indirizzi IP denominati non sono criteri di sicurezza. Puoi incorporarli in un criterio di sicurezza facendo riferimento a loro come espressioni nello stesso modo in cui fai riferimento a una regola preconfigurata.

Ad esempio, se un provider di terze parti ha un elenco di indirizzi IP {ip1, ip2, ip3....ip_N_} sotto il nome provider-a, puoi creare una regola di sicurezza che consenta tutti gli indirizzi IP presenti nell'elenco provider-a ed escluda gli indirizzi IP non presenti nell'elenco:

gcloud beta compute security-policies rules create 1000 \
    --security-policy POLICY_NAME \
    --expression "evaluatePreconfiguredExpr('provider-a')" \
    --action "allow"

Non puoi creare elenchi di indirizzi IP denominati personalizzati. Questa funzionalità è disponibile solo in relazione agli elenchi di indirizzi IP denominati gestiti da provider di terze parti che collaborano con Google. Se questi elenchi di indirizzi IP denominati non soddisfano le tue esigenze, puoi creare un criterio di sicurezza in cui le regole consentono o negano l'accesso alle risorse in base all'indirizzo IP da cui hanno origine le richieste. Per ulteriori informazioni, consulta Configurare i criteri di sicurezza di Google Cloud Armor.

Per utilizzare gli elenchi di indirizzi IP denominati, devi abbonarti a Google Cloud Armor Enterprise e registrare i progetti in Cloud Armor Enterprise. Per maggiori informazioni, consulta Disponibilità degli elenchi di indirizzi IP denominati.

Autorizzazione del traffico solo da fornitori di terze parti consentiti

Un caso d'uso tipico consiste nel creare una lista consentita contenente gli indirizzi IP di un partner di terze parti consentito per garantire che solo il traffico proveniente da questo partner possa accedere al bilanciatore del carico e ai backend.

Ad esempio, i provider CDN devono estrarre i contenuti dai server di origine a intervalli regolari per distribuirli alle proprie cache. Una partnership con Google fornisce una connessione diretta tra i provider CDN e il perimetro della rete Google. Gli utenti CDN su Google Cloud possono usare questa connessione diretta durante i pull dell'origine. In questo caso, l'utente CDN potrebbe voler creare un criterio di sicurezza che consenta solo il traffico proveniente da quel determinato provider CDN.

In questo esempio, un provider CDN pubblica il proprio elenco di indirizzi IP 23.235.32.0/20, 43.249.72.0/22, ⋯,. Un utente CDN configura una regola di sicurezza che consente solo il traffico proveniente da questi indirizzi IP. Di conseguenza, sono consentiti due punti di accesso del provider CDN (23.235.32.10 e 43.249.72.10) e il relativo traffico è quindi consentito. Il traffico proveniente dal punto di accesso non autorizzato 198.51.100.1 è bloccato.

Indirizzo IP denominato di Google Cloud Armor.
Indirizzo IP denominato Google Cloud Armor (fai clic per ingrandire).

Semplificare la configurazione e la gestione tramite l'uso di regole preconfigurate

I provider CDN spesso utilizzano indirizzi IP noti che molti utenti CDN devono utilizzare. Questi elenchi cambiano nel tempo, man mano che i provider aggiungono, rimuovono e aggiornano gli indirizzi IP.

L'utilizzo di un elenco di indirizzi IP denominati in una regola del criterio di sicurezza semplifica il processo di configurazione e gestione degli indirizzi IP poiché Google Cloud Armor sincronizza automaticamente le informazioni dei provider CDN ogni giorno. In questo modo si elimina il lungo processo e soggetto a errori di gestione manuale di un ampio elenco di indirizzi IP.

Di seguito è riportato un esempio di regola preconfigurata che consente tutto il traffico proveniente da un provider:

evaluatePreconfiguredExpr('provider-a') => allow traffic

Provider dell'elenco di indirizzi IP

I provider dell'elenco di indirizzi IP nella seguente tabella sono supportati per Google Cloud Armor. Questi sono i fornitori CDN che hanno collaborato con Google. I relativi elenchi di indirizzi IP vengono pubblicati tramite singoli URL pubblici.

Questi partner forniscono elenchi separati di indirizzi IPv4 e indirizzi IPv6. Google Cloud Armor utilizza gli URL forniti per recuperare gli elenchi e poi li converte in elenchi di indirizzi IP denominati. Puoi fare riferimento agli elenchi con i nomi nella tabella.

Ad esempio, il seguente codice crea una regola nel criterio di sicurezza POLICY_NAME con priorità 750 che incorpora l'elenco di indirizzi IP denominati da Cloudflare e consente l'accesso da questi indirizzi IP:

gcloud beta compute security-policies rules create 750 \
    --security-policy POLICY_NAME \
    --expression "evaluatePreconfiguredExpr('sourceiplist-cloudflare')" \
    --action "allow"
Provider URL Nome elenco indirizzi IP
Fastly https://api.fastly.com/public-ip-list sourceiplist-fastly
Cloudflare

https://www.cloudflare.com/ips-v4

https://www.cloudflare.com/ips-v6

sourceiplist-cloudflare
Imperva

https://my.imperva.com/api/integration/v1/ips

Per accedere all'elenco di Imperva è necessaria una richiesta POST. Puoi utilizzare anche il comando seguente:

curl -d "" https://my.imperva.com/api/integration/v1/ips

sourceiplist-imperva

Per elencare gli elenchi di indirizzi IP denominati preconfigurati, utilizza questo comando gcloud CLI:

gcloud compute security-policies list-preconfigured-expression-sets \
    --filter="id:sourceiplist"

che restituisce:

EXPRESSION_SET
sourceiplist-fastly
sourceiplist-cloudflare
sourceiplist-imperva

Sincronizzazione degli elenchi di indirizzi IP

Google Cloud Armor sincronizza gli elenchi di indirizzi IP con ciascun provider solo quando rileva modifiche in un formato valido. Google Cloud Armor esegue la convalida della sintassi di base sugli indirizzi IP in tutti gli elenchi.

Disponibilità di elenchi di indirizzi IP denominati

Google Cloud Armor Enterprise è in disponibilità generale. La disponibilità di elenchi di indirizzi IP denominati da terze parti è la seguente:

  1. Se hai un abbonamento al livello Google Cloud Armor Enterprise, disponi della licenza per utilizzare elenchi di indirizzi IP denominati nei progetti registrati. Puoi creare, aggiornare ed eliminare regole con elenchi di indirizzi IP denominati.
  2. Se l'abbonamento al livello Google Cloud Armor Enterprise scade o se torni al livello Standard, non puoi aggiungere o modificare regole con elenchi di indirizzi IP denominati, ma puoi eliminare le regole esistenti e aggiornare le regole per rimuovere un elenco IP denominato.
  3. Per i progetti che includono già regole con elenchi di indirizzi IP denominati e che non hai registrato in Google Cloud Armor Enterprise, puoi continuare a utilizzare, aggiornare ed eliminare le regole esistenti con elenchi di indirizzi IP denominati. In questi progetti, puoi creare nuove regole che incorporano elenchi di indirizzi IP denominati.

Passaggi successivi