Threat Intelligence konfigurieren

Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.

Mit Google Cloud Armor Threat Intelligence können Abonnenten von Google Cloud Armor Managed Protection Plus ihren Traffic schützen, indem sie Traffic zu ihren externen HTTP(S)-Load-Balancern anhand verschiedener Kategorien von Bedrohungsinformationen zulassen oder blockieren. Threat Intelligence-Daten sind in folgende Kategorien unterteilt:

  • Tor-Exit-Knoten: Tor ist Open-Source-Software, die anonyme Kommunikation ermöglicht. Wenn Sie Nutzer ausschließen möchten, die ihre Identität ausblenden, blockieren Sie die IP-Adressen der Tor-Ausgangsknoten (Punkte, an denen der Traffic das Tor-Netzwerk verlässt).
  • Bekannte schädliche IP-Adressen: IP-Adressen, die blockiert werden müssen, um die Sicherheit Ihrer Anwendung zu verbessern, da von ihnen bekannterweise Angriffe auf Webanwendungen ausgingen.
  • Suchmaschinen: IP-Adressen, denen Sie die Aktivierung der Websiteindexierung erlauben können.
  • Öffentliche Cloud-IP-Adressbereiche: Diese Kategorie kann entweder blockiert werden, um zu verhindern, dass schädliche automatisierte Tools Webanwendungen durchsuchen, oder zulässig, wenn Ihr Dienst andere öffentliche Clouds verwendet.

Zum Verwenden von Threat Intelligence definieren Sie Sicherheitsregeln, die Traffic basierend auf einigen oder allen diesen Kategorien über den Übereinstimmungsausdruck evaluateThreatIntelligence zulassen oder blockieren. Weiter wird dazu ein Feedname genutzt, der eine der vorherigen Kategorien darstellt. Darüber hinaus müssen Sie Managed Protection Plus abonnieren. Weitere Informationen zu Managed Protection finden Sie in der Übersicht zu Managed Protection.

Threat Intelligence konfigurieren

Um Threat Intelligence zu verwenden, konfigurieren Sie Sicherheitsrichtlinienregeln mithilfe des evaluateThreatIntelligence('FEED_NAME')-Übereinstimmungsausdrucks und geben eine FEED_NAME basierend auf der Kategorie an, die Sie zulassen oder blockieren möchten. Die Informationen in den einzelnen Feeds werden kontinuierlich aktualisiert, um Dienste ohne zusätzliche Konfigurationsschritte vor neuen Bedrohungen zu schützen. Gültige Argumente:

Feedname Beschreibung
iplist-tor-exit-nodes Entspricht den IP-Adressen der Tor-Exit-Knoten
iplist-known-malicious-ips Entspricht IP-Adressen, die bekanntermaßen Angriffe auf Webanwendungen ausführen
iplist-search-engines-crawlers Entspricht IP-Adressen von Suchmaschinen-Crawlern
iplist-cloudflare Entspricht den IPv4-Adressbereichen und IPv6-Adressbereichen von Cloudflare-Proxydiensten
iplist-fastly Entspricht den IP-Adressbereichen von Fastly Proxy-Diensten
iplist-imperva Entspricht den IP-Adressbereichen von Imperva-Proxydiensten
iplist-public-clouds
  • iplist-public-clouds-aws
  • iplist-public-clouds-azure
  • iplist-public-clouds-gcp
Entspricht IP-Adressen, die zu öffentlichen Clouds gehören
  • Führt zu Übereinstimmung mit den IP-Adressbereichen, die von Amazon Web Services verwendet werden
  • Entspricht den von Microsoft Azure verwendeten IP-Adressbereichen
  • Führt zu Übereinstimmung mit den von Google Cloud verwendeten IP-Adressbereichen

Mit dem folgenden gcloud-Befehl können Sie eine neue Sicherheitsrichtlinienregel mit einem FEED_NAME aus der vorherigen Tabelle und einem beliebigen ACTION wie allow, deny oder throttle konfigurieren. Weitere Informationen zu Regelaktionen finden Sie unter Richtlinientypen.

gcloud compute security-policies rules create 1000 \
    --security-policy=NAME \
    --expression="evaluateThreatIntelligence('FEED_NAME')" \
    --action="ACTION"

Wenn Sie eine IP-Adresse oder einen IP-Adressbereich ausschließen möchten, die von Threat Intelligence ansonsten möglicherweise blockiert werden, können Sie die Adresse mit dem folgenden Ausdruck der Ausschlussliste hinzufügen. Ersetzen Sie ADDRESS durch die Adresse oder den Adressbereich, den Sie ausschließen möchten.

evaluateThreatIntelligence('iplist-known-malicious-ips', ['ADDRESS'])

Nächste Schritte