Configura Threat Intelligence

Organiza tus páginas con colecciones Guarda y categoriza el contenido según tus preferencias.

Google Cloud Armor Threat Intelligence permite a los suscriptores de Google Cloud Armor Managed Protection Plus proteger su tráfico, ya que permite o bloquea el tráfico a sus balanceadores de cargas de HTTP(S) externos según varias categorías de datos de inteligencia de amenazas. Los datos de Threat Intelligence se dividen en las siguientes categorías:

  • Nodos de salida de Tor: Tor es un software de código abierto que permite la comunicación anónima. Para excluir a los usuarios que ocultan su identidad, bloquea las direcciones IP de los nodos de salida de Tor (puntos en los que el tráfico sale de la red de Tor).
  • Direcciones IP maliciosas conocidas: Las direcciones IP que deben bloquearse para mejorar la posición de seguridad de tu aplicación porque se sabe que los ataques en las aplicaciones web se originan allí.
  • Motores de búsqueda: Direcciones IP que pueden habilitar la indexación de sitios.
  • Rangos de direcciones IP de la nube pública: se puede bloquear esta categoría para evitar que las herramientas automatizadas maliciosas exploren las aplicaciones web o se permita si tu servicio usa otras nubes públicas.

Para usar Threat Intelligence, debes definir reglas de política de seguridad que permitan o bloqueen el tráfico en función de algunas o todas estas categorías mediante la expresión de coincidencia evaluateThreatIntelligence, junto con un nombre de feed que represente una de las categorías anteriores. Además, debes suscribirte a Managed Protection Plus. Para obtener más información sobre la protección administrada, consulta Descripción general de la protección administrada.

Configura Threat Intelligence

Para usar Threat Intelligence, debes configurar las reglas de la política de seguridad mediante la expresión de coincidencia evaluateThreatIntelligence('FEED_NAME'), que proporciona un FEED_NAME basado en la categoría que deseas permitir o bloquear. La información dentro de cada feed se actualiza de forma continua, lo que protege los servicios de amenazas nuevas sin pasos de configuración adicionales. Los argumentos válidos son los siguientes.

Nombre del feed Descripción
iplist-tor-exit-nodes Coincide con las direcciones IP de los nodos de salida
iplist-known-malicious-ips Coincide con las direcciones IP que se sabe que atacan aplicaciones web
iplist-search-engines-crawlers Coincide con las direcciones IP de los rastreadores de los motores de búsqueda
iplist-cloudflare Coincide con los rangos de direcciones IPv4 e IPv6 de los servicios de proxy de Cloudflare
iplist-fastly Coincide con los rangos de direcciones IP de los servicios de proxy de Fastly
iplist-imperva Coincide con los rangos de direcciones IP de los servicios de proxy de Imperva
iplist-public-clouds
  • iplist-public-clouds-aws
  • iplist-public-clouds-azure
  • iplist-public-clouds-gcp
Coincide con las direcciones IP que pertenecen a nubes públicas
  • Coincide con los rangos de direcciones IP que usa Amazon Web Services
  • Coincide con los rangos de direcciones IP que usa Microsoft Azure
  • Coincide con los rangos de direcciones IP que usa Google Cloud

Puedes configurar una regla de política de seguridad nueva con el siguiente comando de gcloud, con un FEED_NAME de la tabla anterior y cualquier ACTION como allow, deny o throttle. Para obtener más información sobre las acciones de las reglas, consulta los tipos de políticas.

gcloud compute security-policies rules create 1000 \
    --security-policy=NAME \
    --expression="evaluateThreatIntelligence('FEED_NAME')" \
    --action="ACTION"

Si deseas excluir una dirección IP o un rango de direcciones IP que, de lo contrario, Threat Intelligence bloquearía de la evaluación, puedes agregar la dirección a la lista de exclusiones mediante la siguiente expresión. Reemplaza ADDRESS por la dirección o el rango de direcciones que deseas excluir.

evaluateThreatIntelligence('iplist-known-malicious-ips', ['ADDRESS'])

¿Qué sigue?