Mit Google Cloud Armor Threat Intelligence können Abonnenten von Google Cloud Armor Managed Protection Plus ihren Traffic schützen, indem sie Traffic zu ihren externen HTTP(S)-Load-Balancern anhand verschiedener Kategorien von Bedrohungsinformationen zulassen oder blockieren. Threat Intelligence-Daten sind in folgende Kategorien unterteilt:
- Tor-Exit-Knoten: Tor ist Open-Source-Software, die anonyme Kommunikation ermöglicht. Wenn Sie Nutzer ausschließen möchten, die ihre Identität ausblenden, blockieren Sie die IP-Adressen der Tor-Ausgangsknoten (Punkte, an denen der Traffic das Tor-Netzwerk verlässt).
- Bekannte schädliche IP-Adressen: IP-Adressen, die blockiert werden müssen, um die Sicherheit Ihrer Anwendung zu verbessern, da von ihnen bekannterweise Angriffe auf Webanwendungen ausgingen.
- Suchmaschinen: IP-Adressen, denen Sie die Aktivierung der Websiteindexierung erlauben können.
- Öffentliche Cloud-IP-Adressbereiche: Diese Kategorie kann entweder blockiert werden, um zu verhindern, dass schädliche automatisierte Tools Webanwendungen durchsuchen, oder zulässig, wenn Ihr Dienst andere öffentliche Clouds verwendet.
Zum Verwenden von Threat Intelligence definieren Sie Sicherheitsregeln, die Traffic basierend auf einigen oder allen diesen Kategorien über den Übereinstimmungsausdruck evaluateThreatIntelligence zulassen oder blockieren. Weiter wird dazu ein Feedname genutzt, der eine der vorherigen Kategorien darstellt. Darüber hinaus müssen Sie Managed Protection Plus abonnieren. Weitere Informationen zu Managed Protection finden Sie in der Übersicht zu Managed Protection.
Threat Intelligence konfigurieren
Um Threat Intelligence zu verwenden, konfigurieren Sie Sicherheitsrichtlinienregeln mithilfe des evaluateThreatIntelligence('FEED_NAME')-Übereinstimmungsausdrucks und geben eine FEED_NAME basierend auf der Kategorie an, die Sie zulassen oder blockieren möchten. Die Informationen in den einzelnen Feeds werden kontinuierlich aktualisiert, um Dienste ohne zusätzliche Konfigurationsschritte vor neuen Bedrohungen zu schützen. Gültige Argumente:
| Feedname | Beschreibung |
|---|---|
iplist-tor-exit-nodes |
Entspricht den IP-Adressen der Tor-Exit-Knoten |
iplist-known-malicious-ips |
Entspricht IP-Adressen, die bekanntermaßen Angriffe auf Webanwendungen ausführen |
iplist-search-engines-crawlers |
Entspricht IP-Adressen von Suchmaschinen-Crawlern |
iplist-cloudflare |
Entspricht den IPv4-Adressbereichen und IPv6-Adressbereichen von Cloudflare-Proxydiensten |
iplist-fastly |
Entspricht den IP-Adressbereichen von Fastly Proxy-Diensten |
iplist-imperva |
Entspricht den IP-Adressbereichen von Imperva-Proxydiensten |
iplist-public-clouds
|
Entspricht IP-Adressen, die zu öffentlichen Clouds gehören
|
Mit dem folgenden gcloud-Befehl können Sie eine neue Sicherheitsrichtlinienregel mit einem FEED_NAME aus der vorherigen Tabelle und einem beliebigen ACTION wie allow, deny oder throttle konfigurieren.
Weitere Informationen zu Regelaktionen finden Sie unter Richtlinientypen.
gcloud compute security-policies rules create 1000 \
--security-policy=NAME \
--expression="evaluateThreatIntelligence('FEED_NAME')" \
--action="ACTION"
Wenn Sie eine IP-Adresse oder einen IP-Adressbereich ausschließen möchten, die von Threat Intelligence ansonsten möglicherweise blockiert werden, können Sie die Adresse mit dem folgenden Ausdruck der Ausschlussliste hinzufügen. Ersetzen Sie ADDRESS durch die Adresse oder den Adressbereich, den Sie ausschließen möchten.
evaluateThreatIntelligence('iplist-known-malicious-ips', ['ADDRESS'])
Nächste Schritte
- Google Cloud Armor-Sicherheitsrichtlinien konfigurieren
- Preise für Managed Protection-Stufen
- Fehlerbehebung