Aplicar Threat Intelligence

O Threat Intelligence do Google Cloud Armor Enterprise permite que os assinantes protejam o tráfego, permitindo ou bloqueando o tráfego para os balanceadores de carga de aplicativo externos com base em várias categorias de dados de inteligência de ameaças. Os dados do Threat Intelligence são divididos nas seguintes categorias:

  • Nós de saída da Tor: o Tor é um software de código aberto que possibilita a comunicação anônima. Para excluir usuários que ocultam a identidade deles, bloqueie os endereços IP dos nós de saída do Tor (pontos em que o tráfego sai da rede).
  • Endereços IP maliciosos conhecidos: endereços IP que precisam ser bloqueados para melhorar a postura de segurança do seu aplicativo, porque os ataques a aplicativos da Web são originários deles.
  • Mecanismos de pesquisa: endereços IP que podem ser permitidos para ativar a indexação do site.
  • Provedores de VPN: endereços IP usados por provedores de VPN de baixa reputação. Esta categoria pode ser bloqueada para negar tentativas de evasão de IP baseadas em endereço.
  • Proxies anônimos: endereços IP usados por proxies anônimos conhecidos.
  • Mineradores de criptomoedas: endereços IP usados por minerações de criptomoedas conhecidas e sites.
  • Intervalos de endereços IP públicos da nuvem: esta categoria pode ser bloqueada para evitar que ferramentas automatizadas maliciosas procurem aplicativos da Web ou permitida se o serviço usar outras nuvens públicas.

Para usar o Threat Intelligence, defina regras de política de segurança que permitam ou bloqueiem o tráfego com base em algumas ou em todas essas categorias usando a expressão de correspondência evaluateThreatIntelligence e um nome de feed que representa uma das categorias acima. Além disso, você deve assinar o Cloud Armor Enterprise. Para mais informações sobre o Cloud Armor Enterprise, consulte a visão geral do Cloud Armor Enterprise.

Configurar o Threat Intelligence

Para usar o Threat Intelligence, configure regras de política de segurança usando a expressão de correspondência evaluateThreatIntelligence('FEED_NAME'), fornecendo um FEED_NAME com base na categoria que você quer permitir ou bloquear. As informações de cada feed são atualizadas constantemente, protegendo os serviços de novas ameaças sem etapas de configuração adicionais. Os argumentos válidos têm estas características.

Nome do feed Descrição
iplist-tor-exit-nodes Correspondem aos endereços IP dos nós de saída do Tor
iplist-known-malicious-ips Correspondem a endereços IP conhecidos por atacar apps da Web
iplist-search-engines-crawlers Correspondem aos endereços IP dos rastreadores dos mecanismos de pesquisa
iplist-vpn-providers Corresponde a intervalos de endereços IP usados por provedores de VPN de baixa reputação
iplist-anon-proxies Corresponde a intervalos de endereços IP que pertencem a proxies anônimos abertos
iplist-crypto-miners Corresponde a intervalos de endereços IP que pertencem a sites de mineração de criptomoedas
iplist-cloudflare Corresponde aos intervalos de endereços IPv4 e IPv6 dos serviços de proxy do Cloudflare
iplist-fastly Corresponde a intervalos de endereços IP dos serviços de proxy do Fastly
iplist-imperva Corresponde aos intervalos de endereços IP dos serviços de proxy do Imperva
iplist-public-clouds
  • iplist-public-clouds-aws
  • iplist-public-clouds-azure
  • iplist-public-clouds-gcp
Correspondem a endereços IP que pertencem às nuvens públicas
  • Corresponde aos intervalos de endereços IP usados pelo Amazon Web Services
  • Corresponde aos intervalos de endereços IP usados pelo Microsoft Azure
  • Corresponde aos intervalos de endereços IP usados pelo Google Cloud

É possível configurar uma nova regra de política de segurança usando o comando gcloud a seguir, com um FEED_NAME da tabela anterior e qualquer ACTION (como allow, deny ou throttle). Para mais informações sobre as ações de regras, consulte os tipos de política.

gcloud compute security-policies rules create 1000 \
    --security-policy=NAME \
    --expression="evaluateThreatIntelligence('FEED_NAME')" \
    --action="ACTION"

Se você quiser excluir um endereço IP ou um intervalo de endereços IP que o Threat Intelligence possa bloquear da avaliação, adicione o endereço à lista de exclusão usando a seguinte expressão, substituindo ADDRESS pelo endereço ou intervalo de endereços que você quer excluir.

evaluateThreatIntelligence('iplist-known-malicious-ips', ['ADDRESS'])

Usar listas de endereços IP nomeada

As listas de endereços IP nomeados do Google Cloud Armor permitem que você faça referência a listas de endereços IP e intervalos de IP que são mantidos por provedores terceirizados. É possível configurar listas de endereços IP nomeados em uma política de segurança. Não é necessário especificar manualmente cada endereço IP ou intervalo de IP individualmente.

Neste documento, os termos endereço IP e lista de endereços IP incluem intervalos de endereços IP.

As listas de endereços IP nomeadas são listas de endereços IP agrupadas em nomes diferentes. O nome geralmente se refere ao provedor. As listas de endereços IP nomeadas não estão sujeitas ao limite de cota quanto ao número de endereços IP por regra.

As listas de endereços IP nomeadas não são políticas de segurança. Você as incorpora a uma política de segurança fazendo referência a elas como expressões da mesma forma que faz referência a uma regra pré-configurada.

Por exemplo, se um provedor terceirizado tiver uma lista de endereços IP de {ip1, ip2, ip3....ip_N_} com o nome provider-a, você poderá criar uma regra de segurança que permita todos os endereços IP que estão na lista provider-a. e exclui os endereços IP que não estão nessa lista:

gcloud beta compute security-policies rules create 1000 \
    --security-policy POLICY_NAME \
    --expression "evaluatePreconfiguredExpr('provider-a')" \
    --action "allow"

Não é possível criar listas de endereços IP personalizadas. Esse recurso está disponível apenas em relação às listas de endereços IP nomeadas, mantidas por provedores terceirizados que fazem parceria com o Google. Se essas listas não atenderem às suas necessidades, crie uma política de segurança em que as regras permitam ou neguem acesso aos recursos com base no endereço IP de origem das solicitações. Saiba mais em Configurar políticas de segurança do Google Cloud Armor.

Para usar listas de endereços IP nomeados, você precisa se inscrever em Google Cloud Armor Enterprise e inscrever projetos no Cloud Armor Enterprise. Para mais informações, consulte Disponibilidade de listas de endereços IP nomeadas.

Como permitir tráfego apenas de provedores de terceiros autorizados

Um caso de uso típico é criar uma lista de permissões contendo os endereços IP de um parceiro terceirizado permitido para garantir que apenas o tráfego proveniente desse parceiro possa acessar o balanceador de carga e os back-ends.

Por exemplo, os provedores de CDN precisam receber conteúdo dos servidores de origem em intervalos regulares para distribuí-los aos próprios caches. Uma parceria com o Google fornece uma conexão direta entre provedores de CDN e a borda de rede do Google. Os usuários da CDN no Google Cloud podem usar essa conexão direta durante pulls de origem. Nesse caso, o usuário da CDN pode querer criar uma política de segurança que permita apenas o tráfego proveniente desse provedor de CDN específico.

Neste exemplo, um provedor de CDN publica a lista de endereços IP 23.235.32.0/20, 43.249.72.0/22, ⋯,. Um usuário do CDN configura uma regra de segurança que permite apenas o tráfego proveniente desses endereços IP. Como resultado, dois pontos de acesso do provedor de CDN são permitidos (23.235.32.10 e 43.249.72.10). Assim, o tráfego deles é permitido. O tráfego do ponto de acesso não autorizado 198.51.100.1 fica bloqueado.

Endereço IP nomeado do Google Cloud Armor
Endereço IP nomeado do Google Cloud Armor (clique para ampliar)

Como simplificar a configuração e o gerenciamento usando regras pré-configuradas

Os provedores de CDN geralmente usam endereços IP conhecidos e que muitos usuários de CDN precisam usar. Essas listas mudam com o tempo, à medida que os provedores adicionam, removem e atualizam os endereços IP.

O uso de uma lista de endereços IP nomeados em uma regra de política de segurança simplifica o processo de configuração e gerenciamento de endereços IP porque o Google Cloud Armor sincroniza automaticamente informações de provedores da CDN diariamente. Isso elimina o processo demorado e propenso a erros de manter uma grande lista de endereços IP manualmente.

Veja a seguir um exemplo de regra pré-configurada que permite todo o tráfego de um provedor:

evaluatePreconfiguredExpr('provider-a') => allow traffic

Provedores de lista de endereços IP

Os provedores de lista de endereços IP na tabela a seguir são compatíveis com o Google Cloud Armor. Estes são provedores de CDN que firmaram parceria com o Google. As listas de endereços IP deles são publicadas por meio de URLs públicos individuais.

Esses parceiros fornecem listas separadas de endereços IPv4 e de endereços IPv6. O Google Cloud Armor usa os URLs fornecidos para buscar listas e, em seguida, converte-as em listas de endereços IP nomeados. Você fará referência às listas pelos nomes da tabela.

Por exemplo, o código a seguir cria uma regra na política de segurança POLICY_NAME com prioridade 750, incorporando a lista de endereços IP nomeada do Cloudflare e permitindo o acesso desses endereços IP:

gcloud beta compute security-policies rules create 750 \
    --security-policy POLICY_NAME \
    --expression "evaluatePreconfiguredExpr('sourceiplist-cloudflare')" \
    --action "allow"
Provedor URLs Nome da lista de endereços IP
Fastly https://api.fastly.com/public-ip-list sourceiplist-fastly
Cloudflare

https://www.cloudflare.com/ips-v4

https://www.cloudflare.com/ips-v6

sourceiplist-cloudflare
Imperva

https://my.imperva.com/api/integration/v1/ips

O acesso à lista do Imperva requer uma solicitação POST. Também é possível usar o seguinte comando:

curl -d "" https://my.imperva.com/api/integration/v1/ips

sourceiplist-imperva

Para listar as listas de endereços IP nomeadas pré-configuradas, use este comando da CLI gcloud:

gcloud compute security-policies list-preconfigured-expression-sets \
    --filter="id:sourceiplist"

Isso retorna:

EXPRESSION_SET
sourceiplist-fastly
sourceiplist-cloudflare
sourceiplist-imperva

Como sincronizar listas de endereços IP

O Google Cloud Armor sincroniza listas de endereços IP com cada provedor somente quando detecta alterações em um formato válido. O Google Cloud Armor realiza uma validação de sintaxe básica nos endereços IP de todas as listas.

Disponibilidade de listas de endereços IP nomeadas

Em geral, o Google Cloud Armor Enterprise disponibilidade. A disponibilidade das listas de endereços IP nomeados de terceiros é a seguinte:

  1. Se você for assinante do nível Enterprise do Google Cloud Armor, usar listas de endereços IP nomeados em projetos inscritos. É possível criar, atualizar e excluir regras com listas de endereços IP nomeadas.
  2. Se a assinatura do nível Enterprise do Google Cloud Armor expirar ou você retornar ao nível Standard, não será possível adicionar ou modificar regras com listas de endereços IP nomeadas. No entanto, será possível excluir regras existentes e atualizar regras para remover uma lista de IPs nomeada.
  3. Para projetos que já incluem regras com listas de endereços IP nomeadas você não se inscreveu no Google Cloud Armor Enterprise, pode continuar a usar, atualizar e excluir regras com listas de endereços IP nomeadas. Nesses projetos, é possível criar novas regras que incorporam listas de endereços IP nomeadoa.

A seguir