Google Cloud Armor Threat Intelligence consente agli abbonati a Google Cloud Armor Enterprise Proteggi il traffico autorizzandolo o bloccandolo verso i bilanciatori del carico delle applicazioni esterni sulla base di diverse categorie di dati di threat intelligence. Dati di Threat Intelligence è suddiviso nelle seguenti categorie:
- Nodi di uscita Tor: Tor è un software open source che consente la comunicazione anonima. Per escludere gli utenti che nascondono la propria identità bloccano gli indirizzi IP dei nodi di uscita Tor (punti in cui il traffico esce dalla rete Tor).
- Indirizzi IP dannosi noti: indirizzi IP che devono essere bloccati per migliorare alla security posture della tua applicazione, perché gli attacchi alle applicazioni web di cui è noto l'origine.
- Motori di ricerca: indirizzi IP a cui puoi consentire di abilitare l'indicizzazione del sito.
- Provider VPN: indirizzi IP utilizzati da provider VPN con bassa reputazione. Questa categoria può essere bloccata per negare i tentativi di circumnavigare l'IP e regole basate su indirizzi.
- Proxy anonimi: indirizzi IP utilizzati da proxy anonimi noti.
- Cryptominer: indirizzi IP utilizzati dal mining di criptovalute noto siti web.
- Intervalli di indirizzi IP del cloud pubblico: questa categoria può essere bloccata per evitare che strumenti automatizzati dannosi navigano nelle applicazioni web o che se il servizio utilizza altri cloud pubblici.
Per utilizzare Threat Intelligence, devi definire le regole dei criteri di sicurezza che consentono o bloccano
il traffico in base ad alcune o a tutte queste categorie utilizzando
evaluateThreatIntelligence espressione di corrispondenza insieme a un nome del feed che
rappresenta una delle categorie precedenti. Inoltre, devi abbonarti a
con Cloud Armor Enterprise. Per saperne di più su Cloud Armor Enterprise,
vedi il
Panoramica di Cloud Armor Enterprise.
Configura Threat Intelligence
Per utilizzare Threat Intelligence, devi configurare le regole del criterio di sicurezza utilizzando
evaluateThreatIntelligence('FEED_NAME') corrispondenza
in modo da fornire un valore FEED_NAME basato su
la categoria da autorizzare o bloccare. Le informazioni all'interno di ogni feed sono
di continuo, per proteggere i servizi da nuove minacce senza
passaggi di configurazione. Gli argomenti validi sono i seguenti.
| Nome feed | Descrizione |
|---|---|
iplist-tor-exit-nodes |
Corrisponde ai nodi di uscita di Tor Indirizzi IP |
iplist-known-malicious-ips |
Corrisponde agli indirizzi IP noti per gli attacchi alle applicazioni web |
iplist-search-engines-crawlers |
Corrisponde agli indirizzi IP dei crawler dei motori di ricerca |
iplist-vpn-providers |
Corrisponde agli intervalli di indirizzi IP utilizzati da provider VPN con bassa reputazione |
iplist-anon-proxies |
Corrisponde agli intervalli di indirizzi IP che appartengono ai proxy anonimi aperti |
iplist-crypto-miners |
Corrisponde agli intervalli di indirizzi IP che appartengono a siti di cryptomining |
iplist-cloudflare |
Corrisponde a IPv4 e IPv6 dei servizi proxy di Cloudflare |
iplist-fastly |
Corrisponde all'indirizzo IP di servizi proxy Fastly |
iplist-imperva |
Corrisponde all'indirizzo IP di servizi proxy Imperva |
iplist-public-clouds
|
Corrisponde agli indirizzi IP che appartengono ai cloud pubblici
|
Puoi configurare una nuova regola del criterio di sicurezza utilizzando il seguente comando gcloud:
con FEED_NAME della tabella precedente e qualsiasi ACTION
ad esempio allow, deny o throttle. Per ulteriori informazioni
sulle azioni sulle regole,
consulta i tipi di criteri.
gcloud compute security-policies rules create 1000 \
--security-policy=NAME \
--expression="evaluateThreatIntelligence('FEED_NAME')" \
--action="ACTION"
Se vuoi escludere un indirizzo IP o un intervallo di indirizzi IP che Threat Intelligence
potrebbe bloccare la valutazione, puoi aggiungere l'indirizzo all'elenco di esclusione utilizzando
seguente espressione, sostituendo ADDRESS con l'indirizzo o l'indirizzo
che vuoi escludere.
evaluateThreatIntelligence('iplist-known-malicious-ips', ['ADDRESS'])
Utilizzo di elenchi di indirizzi IP denominati
Gli elenchi di indirizzi IP con nome Google Cloud Armor ti consentono di fare riferimento a elenchi di indirizzi IP e gli intervalli IP gestiti da provider di terze parti. Tu può configurare elenchi di indirizzi IP denominati all'interno di un criterio di sicurezza. Non è necessario specificare manualmente ogni indirizzo IP o intervallo IP singolarmente.
In questo documento, i termini indirizzo IP ed elenco indirizzi IP includono IP di indirizzi IP esterni.
Gli elenchi di indirizzi IP denominati sono elenchi di indirizzi IP raggruppati in nomi diversi. In genere il nome si riferisce al provider. Indirizzo IP denominato non sono soggetti al limite di quota previsto per il numero di indirizzi IP per regola.
Gli elenchi di indirizzi IP denominati non sono criteri di sicurezza. Li incorpori in un criterio di sicurezza, menzionandole come espressioni nello stesso modo fare riferimento a una regola preconfigurata.
Ad esempio, se un provider di terze parti ha un elenco di indirizzi IP {ip1, ip2,
ip3....ip_N_} sotto il nome provider-a, puoi creare una regola di sicurezza che
consente tutti gli indirizzi IP nell'elenco provider-a ed esclude IP
indirizzi non presenti nell'elenco:
gcloud beta compute security-policies rules create 1000 \
--security-policy POLICY_NAME \
--expression "evaluatePreconfiguredExpr('provider-a')" \
--action "allow"
Non puoi creare elenchi di indirizzi IP denominati personalizzati. Questa funzionalità è disponibile solo in relazione agli elenchi di indirizzi IP denominati gestiti da da fornitori di terze parti che collaborano con Google. Se tali elenchi di indirizzi IP denominati non soddisfano le tue esigenze, puoi creare un criterio di sicurezza in cui le regole o negare l'accesso alle risorse in base all'indirizzo IP da cui vengono richieste hanno origine. Per ulteriori informazioni, vedi Configura i criteri di sicurezza di Google Cloud Armor.
Per utilizzare gli elenchi di indirizzi IP denominati, devi sottoscrivere un abbonamento Google Cloud Armor Enterprise e registrare i progetti in Cloud Armor Enterprise. Per ulteriori informazioni, vedi Disponibilità di elenchi di indirizzi IP denominati.
Autorizzazione del traffico solo da fornitori di terze parti consentiti
Un caso d'uso tipico è creare una lista consentita contenente gli indirizzi IP un partner terzo autorizzato per garantire che solo il traffico proveniente il partner può accedere al bilanciatore del carico e ai backend.
Ad esempio, i provider CDN devono estrarre i contenuti dai server di origine a intervalli regolari per distribuirli nelle rispettive cache. Una partnership con Google fornisce un collegamento diretto tra i fornitori CDN e Google sul perimetro della rete. Gli utenti CDN su Google Cloud possono utilizzare questa connessione diretta durante il pull dell'origine. In questo caso, l'utente CDN potrebbe voler creare una che consente solo il traffico proveniente da quel determinato provider CDN.
In questo esempio, un provider CDN pubblica il proprio elenco di indirizzi IP
23.235.32.0/20, 43.249.72.0/22, ⋯,. Un utente CDN configura una regola di sicurezza
che consente solo il traffico proveniente da questi indirizzi IP. Di conseguenza,
Sono consentiti punti di accesso del provider CDN (23.235.32.10 e 43.249.72.10) e
il loro traffico è quindi consentito. Traffico proveniente dal punto di accesso non autorizzato
L'app 198.51.100.1 è bloccata.
Semplificare la configurazione e la gestione tramite l'uso di regole preconfigurate
I provider CDN spesso utilizzano indirizzi IP noti e molti che gli utenti devono utilizzare. Questi elenchi cambiano nel tempo, man mano che i fornitori aggiungono, rimuovono e aggiornare gli indirizzi IP.
L'utilizzo di un elenco di indirizzi IP denominati in una regola del criterio di sicurezza semplifica il processo delle configurazioni e della gestione degli indirizzi IP grazie a Google Cloud Armor sincronizza automaticamente ogni giorno le informazioni dei provider CDN. In questo modo si elimina il lungo processo, che è soggetto a errori, per gestire di un elenco di indirizzi IP più lunghi.
Di seguito è riportato un esempio di regola preconfigurata che consente tutto il traffico di un fornitore:
evaluatePreconfiguredExpr('provider-a') => allow traffic
Provider dell'elenco di indirizzi IP
I provider dell'elenco di indirizzi IP riportati nella seguente tabella sono supportati per Google Cloud Armor. Questi sono i provider CDN che hanno collaborato in tutti i canali Google. I relativi elenchi di indirizzi IP vengono pubblicati tramite singoli URL pubblici.
Questi partner forniscono elenchi separati di indirizzi IPv4 e indirizzi IPv6. Google Cloud Armor utilizza gli URL forniti per recuperare gli elenchi, quindi converte il valore in elenchi di indirizzi IP denominati. Puoi fare riferimento agli elenchi utilizzando i nomi .
Ad esempio, il codice seguente crea una regola nel criterio di sicurezza
POLICY_NAME con priorità 750, incorporando l'IP denominato
di indirizzi IP da Cloudflare e consentire l'accesso da questi indirizzi IP:
gcloud beta compute security-policies rules create 750 \
--security-policy POLICY_NAME \
--expression "evaluatePreconfiguredExpr('sourceiplist-cloudflare')" \
--action "allow"
| Provider | URL | Nome elenco indirizzi IP |
|---|---|---|
| Fastly | https://api.fastly.com/public-ip-list |
sourceiplist-fastly |
| Cloudflare |
|
sourceiplist-cloudflare |
| Imperva |
Per accedere all'elenco di Imperva è necessaria una richiesta
|
sourceiplist-imperva |
Per elencare gli elenchi di indirizzi IP denominati preconfigurati, utilizza questa gcloud CLI :
gcloud compute security-policies list-preconfigured-expression-sets \
--filter="id:sourceiplist"
che restituisce:
EXPRESSION_SET sourceiplist-fastly sourceiplist-cloudflare sourceiplist-imperva
Sincronizzazione degli elenchi di indirizzi IP
Google Cloud Armor sincronizza gli elenchi di indirizzi IP solo con ciascun provider quando rileva modifiche in un formato valido. Google Cloud Armor esegue la convalida della sintassi di base sugli indirizzi IP di tutti gli elenchi.
Disponibilità di elenchi di indirizzi IP denominati
Google Cloud Armor Enterprise è in generale la disponibilità del servizio. La disponibilità di elenchi di indirizzi IP denominati di terze parti è come segue:
- Se disponi di un abbonamento al livello Google Cloud Armor Enterprise, disponi della licenza. per utilizzare gli elenchi di indirizzi IP denominati nei progetti registrati. Puoi creare, aggiornare ed eliminare le regole con elenchi di indirizzi IP denominati.
- Se l'abbonamento a Google Cloud Armor Enterprise scade o in altro modo torni al livello Standard, non puoi aggiungere o modificare regole con un indirizzo IP denominato ma puoi eliminare le regole esistenti e aggiornare le regole per rimuovere elenco IP.
- Per i progetti che includono già regole con elenchi di indirizzi IP denominati e che non hai effettuato la registrazione a Google Cloud Armor Enterprise, puoi continuare a utilizzare, aggiornare ed eliminare le regole esistenti con elenchi di indirizzi IP denominati. In tale progetti, puoi creare nuove regole che incorporano elenchi di indirizzi IP denominati.
Passaggi successivi
- Configura i criteri di sicurezza di Google Cloud Armor
- Visualizza i prezzi per i livelli di Cloud Armor Enterprise
- Risolvere i problemi