Threat Intelligence anwenden

Mit Google Cloud Armor Threat Intelligence können Google Cloud Armor Enterprise-Abonnenten ihren Traffic sichern, indem sie Traffic zu ihren externen Application Load Balancern basierend auf verschiedenen Kategorien von Bedrohungsdaten zulassen oder blockieren. Threat Intelligence-Daten sind in folgende Kategorien unterteilt:

Tor-Exit-Knoten: Tor ist eine Open-Source-Software, die eine anonyme Kommunikation ermöglicht. Wenn Sie Nutzer ausschließen möchten, die ihre Identität ausblenden, blockieren Sie die IP-Adressen der Tor-Ausgangsknoten (Punkte, an denen der Traffic das Tor-Netzwerk verlässt).
Bekannte schädliche IP-Adressen: IP-Adressen, die blockiert werden müssen, um die Sicherheit Ihrer Anwendung zu verbessern, da von ihnen bekannterweise Angriffe auf Webanwendungen ausgingen.
Suchmaschinen: IP-Adressen, denen Sie die Aktivierung der Websiteindexierung erlauben können.
VPN-Anbieter: IP-Adressbereiche, die von VPN-Anbietern mit niedrigem Ruf verwendet werden.
Anonyme Proxys: IP-Adressbereiche, die zu offenen anonymen Proxys gehören.
Crypto Mining: IP-Adressbereiche, die zu Krypto-Mining-Websites gehören.
IP-Adressbereiche der öffentlichen Cloud: Diese Kategorie kann entweder blockiert werden, damit schädliche automatisierte Tools nicht in Webanwendungen suchen, oder zugelassen werden, wenn Ihr Dienst andere öffentliche Clouds verwendet.

Zum Verwenden von Threat Intelligence definieren Sie Sicherheitsregeln, die Traffic basierend auf einigen oder allen diesen Kategorien über den Übereinstimmungsausdruck evaluateThreatIntelligence zulassen oder blockieren. Weiter wird dazu ein Feedname genutzt, der eine der vorherigen Kategorien darstellt. Darüber hinaus müssen Sie Cloud Armor Enterprise abonnieren. Weitere Informationen zu Cloud Armor Enterprise finden Sie in der Übersicht zu Cloud Armor Enterprise.

Threat Intelligence konfigurieren

Zur Verwendung von Threat Intelligence konfigurieren Sie Sicherheitsrichtlinienregeln mithilfe des Übereinstimmungsausdrucks evaluateThreatIntelligence('FEED_NAME') und geben dabei einen FEED_NAME basierend auf der Kategorie an, die Sie zulassen oder blockieren möchten. Die Informationen in den einzelnen Feeds werden kontinuierlich aktualisiert, um Dienste ohne zusätzliche Konfigurationsschritte vor neuen Bedrohungen zu schützen. Gültige Argumente:

Feedname	Beschreibung
`iplist-tor-exit-nodes`	Entspricht den IP-Adressen der Tor-Exit-Knoten
`iplist-known-malicious-ips`	Entspricht IP-Adressen, die bekanntermaßen Angriffe auf Webanwendungen ausführen
`iplist-search-engines-crawlers`	Entspricht IP-Adressen von Suchmaschinen-Crawlern
`iplist-vpn-providers`	Gleicht IP-Adressbereiche ab, die von VPN-Anbietern mit niedrigem Ruf verwendet werden
`iplist-anon-proxies`	Gleicht IP-Adressbereiche ab, die zu offenen anonymen Proxys gehören
`iplist-crypto-miners`	Gleicht IP-Adressbereiche ab, die zu Krypto-Mining-Websites gehören
`iplist-cloudflare`	Entspricht den IPv4 und IPv6 von Cloudflare-Proxydiensten
`iplist-fastly`	Entspricht den IP-Adressbereichen von Fastly Proxy-Diensten
`iplist-imperva`	Entspricht den IP-Adressbereichen von Imperva-Proxydiensten
`iplist-public-clouds` `iplist-public-clouds-aws` `iplist-public-clouds-azure` `iplist-public-clouds-gcp`	Entspricht IP-Adressen, die zu öffentlichen Clouds gehören Führt zu Übereinstimmung mit den IP-Adressbereichen, die von Amazon Web Services verwendet werden Entspricht den von Microsoft Azure verwendeten IP-Adressbereichen Führt zu Übereinstimmung mit den von Google Cloud verwendeten IP-Adressbereichen

Sie können eine neue Sicherheitsregel mit folgendem gcloud-Befehl, mit einem FEED_NAME aus der vorherigen Tabelle und einem beliebigen ACTION (wie allow, deny oder throttle) konfigurieren. Weitere Informationen zu Regelaktionen finden Sie unter Richtlinientypen.

gcloud compute security-policies rules create 1000 \
    --security-policy=NAME \
    --expression="evaluateThreatIntelligence('FEED_NAME')" \
    --action="ACTION"

Wenn Sie eine IP-Adresse oder einen IP-Adressbereich ausschließen möchten, die/der von Threat Intelligence ansonsten für die Auswertung blockiert werden könnte, fügen Sie die Adresse mit folgendem Ausdruck der Ausschlussliste hinzu. Ersetzen Sie dabei ADDRESS durch die Adresse oder den Adressbereich, den Sie ausschließen möchten.

evaluateThreatIntelligence('iplist-known-malicious-ips', ['ADDRESS'])

Benannte IP-Adresslisten verwenden

Mit IP-Adresslisten mit Namen von Google Cloud Armor können Sie auf Listen von IP-Adressen und IP-Bereichen von Drittanbietern verweisen. Sie können benannte IP-Adresslisten innerhalb einer Sicherheitsrichtlinie konfigurieren. Sie müssen nicht jede IP-Adresse oder jeden IP-Bereich einzeln manuell angeben.

In diesem Dokument bezeichnen die Begriffe IP-Adresse und IP-Adressliste auch IP-Adressbereiche.

Benannte IP-Adresslisten sind Listen von IP-Adressen, die unter verschiedenen Namen gruppiert werden. Der Name bezieht sich in der Regel auf den Anbieter. Benannte IP-Adresslisten unterliegen nicht dem Kontingentlimit für die Anzahl von IP-Adressen pro Regel.

Benannte IP-Adresslisten sind keine Sicherheitsrichtlinien. Sie binden sie in eine Sicherheitsrichtlinie ein, indem Sie mithilfe von Ausdrücken darauf verweisen, wie Sie es auch bei einer vorkonfigurierten Regel tun würden.

Wenn beispielsweise ein Drittanbieter die IP-Adresse {ip1, ip2, ip3....ip_N_} unter dem Namen provider-a hat, können Sie eine Sicherheitsregel erstellen, mit der alle IP-Adressen zugelassen werden, die in der provider-a-Liste enthalten sind, und IP-Adressen ausgeschlossen werden, die nicht in dieser Liste enthalten sind:

gcloud beta compute security-policies rules create 1000 \
    --security-policy POLICY_NAME \
    --expression "evaluatePreconfiguredExpr('provider-a')" \
    --action "allow"

Sie können keine eigenen benutzerdefinierten benannten IP-Adresslisten erstellen. Dieses Feature ist nur in Bezug auf benannte IP-Adresslisten verfügbar, die von Drittanbietern verwaltet werden, die eine Partnerschaft mit Google eingegangen sind. Wenn solche benannten IP-Adresslisten Ihren Anforderungen nicht entsprechen, können Sie eine Sicherheitsrichtlinie erstellen, in der die Regeln den Zugriff auf Ihre Ressourcen anhand der IP-Adresse, von der die Anfragen stammen, zulassen oder ablehnen. Weitere Informationen finden Sie unter Google Cloud Armor-Sicherheitsrichtlinien konfigurieren.

Wenn Sie benannte IP-Adresslisten verwenden möchten, müssen Sie Google Cloud Armor Enterprise abonnieren und Projekte in Cloud Armor Enterprise registrieren. Weitere Informationen finden Sie unter Verfügbarkeit benannter IP-Adresslisten.

Traffic nur von zulässigen Drittanbietern zulassen

Ein typischer Anwendungsfall ist die Erstellung einer Zulassungsliste mit den IP-Adressen eines zugelassenen Drittanbieters, damit nur Traffic von diesem Partner auf den Load-Balancer und die Back-Ends zugreifen kann.

CDN-Anbieter müssen beispielsweise regelmäßig Inhalte von Ursprungsservern abrufen, um sie an ihre eigenen Caches zu verteilen. Eine Partnerschaft mit Google bietet eine direkte Verbindung zwischen CDN-Anbietern und dem Edge-Netzwerk von Google. CDN-Nutzer in Google Cloud können diese direkte Verbindung bei Ursprungs-Pull-Vorgängen nutzen. In diesem Fall möchte der CDN-Nutzer vielleicht eine Sicherheitsrichtlinie erstellen, die nur Traffic von diesem bestimmten CDN-Anbieter zulässt.

In diesem Beispiel veröffentlicht ein CDN-Anbieter seine IP-Adressliste 23.235.32.0/20, 43.249.72.0/22, ⋯,. Ein CDN-Nutzer konfiguriert eine Sicherheitsregel, die nur Traffic von diesen IP-Adressen zulässt. Daher sind zwei Zugangspunkte für CDN-Anbieter zulässig (23.235.32.10 und 43.249.72.10) und ihr Traffic ist somit auch zulässig. Der Traffic vom nicht autorisierten Zugangspunkt 198.51.100.1 wird blockiert.

Benannte IP-Adresse in Google Cloud Armor. — Benannte IP-Adresse in Google Cloud Armor (zum Vergrößern klicken).

Konfiguration und Verwaltung durch vorkonfigurierte Regeln vereinfachen

CDN-Anbieter verwenden häufig bekannte IP-Adressen, die von vielen CDN-Nutzern verwendet werden müssen. Diese Listen ändern sich im Laufe der Zeit, wenn Anbieter IP-Adressen hinzufügen, entfernen und aktualisieren.

Die Verwendung einer benannten IP-Adressliste in einer Sicherheitsrichtlinie vereinfacht den Vorgang der Konfiguration und Verwaltung der IP-Adresse, da Google Cloud Armor automatisch die Informationen von CDN-Anbietern täglich synchronisiert. Dadurch entfällt die zeitaufwendige und fehleranfällige manuelle Verwaltung einer großen IP-Adressliste.

Das folgende Beispiel zeigt eine vorkonfigurierte Regel, die den gesamten Traffic von einem Anbieter zulässt:

evaluatePreconfiguredExpr('provider-a') => allow traffic

Anbieter von IP-Adresslisten

Die in der folgenden Tabelle aufgeführten Anbieter von IP-Adressenlisten werden bei Google Cloud Armor unterstützt. Dies sind CDN-Provider, die eine Partnerschaft mit Google eingegangen sind. Die IP-Adresslisten werden über einzelne öffentliche URLs veröffentlicht.

Diese Partner stellen separate Listen mit IPv4- und IPv6-Adressen bereit. Google Cloud Armor verwendet die bereitgestellten URLs zum Abrufen von Listen und konvertiert die Listen dann in benannte IP-Adresslisten. Auf die Listen verweisen Sie nach den Namen in der Tabelle.

Im folgenden Beispiel wird in der Sicherheitsrichtlinie POLICY_NAME eine Regel mit der Priorität 750 erstellt, die die benannte IP-Liste von Cloudflare enthält und den Zugriff von diesen IP-Adressen aus zulässt:

gcloud beta compute security-policies rules create 750 \
    --security-policy POLICY_NAME \
    --expression "evaluatePreconfiguredExpr('sourceiplist-cloudflare')" \
    --action "allow"

Anbieter URLs Name der IP-Adressliste

Fastly https://api.fastly.com/public-ip-list sourceiplist-fastly

Cloudflare

Anbieter	URLs	Name der IP-Adressliste
Fastly	`https://api.fastly.com/public-ip-list`	`sourceiplist-fastly`
Cloudflare	`https://www.cloudflare.com/ips-v4` `https://www.cloudflare.com/ips-v6`	`sourceiplist-cloudflare`
Imperva	`https://my.imperva.com/api/integration/v1/ips` Der Zugriff auf die Liste von Imperva erfordert eine `POST`-Anfrage. Sie können auch den folgenden Befehl verwenden: `curl -d "" https://my.imperva.com/api/integration/v1/ips`	`sourceiplist-imperva`

https://www.cloudflare.com/ips-v4

https://www.cloudflare.com/ips-v6

sourceiplist-cloudflare

Imperva

https://my.imperva.com/api/integration/v1/ips

Der Zugriff auf die Liste von Imperva erfordert eine POST-Anfrage. Sie können auch den folgenden Befehl verwenden:

curl -d "" https://my.imperva.com/api/integration/v1/ips

sourceiplist-imperva

Verwenden Sie den folgenden gcloud CLI-Befehl, um die vorkonfigurierten benannten IP-Adresslisten aufzulisten:

gcloud compute security-policies list-preconfigured-expression-sets \
    --filter="id:sourceiplist"

Dadurch wird Folgendes zurückgegeben:

EXPRESSION_SET
sourceiplist-fastly
sourceiplist-cloudflare
sourceiplist-imperva

IP-Adresslisten synchronisieren

Google Cloud Armor synchronisiert IP-Adresslisten nur dann mit jedem Anbieter, wenn Änderungen in einem gültigen Format erkannt werden. Google Cloud Armor führt für die IP-Adressen in allen Listen eine grundlegende Syntaxvalidierung durch.

Verfügbarkeit benannter IP-Adresslisten

Google Cloud Armor Enterprise ist allgemein verfügbar. Folgende Listen sind für benannte IP-Adresslisten von Drittanbietern verfügbar:

Wenn Sie die Google Cloud Armor Enterprise-Stufe abonniert haben, sind Sie zur Verwendung benannter IP-Adresslisten in registrierten Projekten lizenziert. Sie können Regeln mit benannten IP-Adresslisten erstellen, aktualisieren und löschen.
Wenn Ihr Abo der Google Cloud Armor Enterprise-Stufe abläuft oder Sie anderweitig zur Standardstufe zurückkehren, können Sie keine Regeln mit benannten IP-Adresslisten hinzufügen oder ändern. Sie können jedoch vorhandene Regeln löschen und Regeln aktualisieren, um eine benannte IP-Liste zu entfernen.
Bei Projekten, die bereits Regeln mit benannten IP-Adresslisten enthalten und die Sie nicht in Google Cloud Armor Enterprise registriert haben, können Sie vorhandene Regeln mit benannten IP-Adresslisten weiterhin verwenden, aktualisieren und löschen. In solchen Projekten können Sie neue Regeln erstellen, die benannte IP-Adresslisten enthalten.