Appliquer les renseignements sur les menaces

Google Cloud Armor Threat Intelligence permet aux abonnés Google Cloud Armor Enterprise sécuriser leur trafic en autorisant ou en bloquant le trafic vers leurs équilibreurs de charge d'application externes ; s'appuient sur plusieurs catégories de données de Threat Intelligence. Les données de Threat Intelligence sont réparties dans les catégories suivantes :

  • Nœuds de sortie Tor: Tor est un logiciel open source qui permet une communication anonyme. Pour exclure les utilisateurs qui masquent leur identité, bloquez les adresses IP des nœuds de sortie Tor (c'est-à-dire les points au niveau desquels le trafic quitte le réseau Tor).
  • Adresses IP malveillantes connues : il s'agit des adresses IP à bloquer afin d'améliorer la stratégie de sécurité de votre application, car elles sont réputées constituer l'origine des attaques ciblant les applications Web.
  • Moteurs de recherche : il s'agit des adresses IP que vous pouvez autoriser afin d'activer l'indexation des sites.
  • Fournisseurs de VPN : adresses IP utilisées par des fournisseurs de VPN dont la réputation est faible. Cette catégorie peut être bloquée pour refuser les tentatives de contourner les règles basées sur les adresses IP.
  • Proxys anonymes: adresses IP utilisées par des proxys anonymes connus
  • Mineurs de cryptomonnaies: adresses IP utilisées par des opérations connues de minage de cryptomonnaie sites Web.
  • Plages d'adresses IP du cloud public : cette catégorie peut être bloquée, pour éviter que des outils automatisés malveillants ne parcourent des applications Web, ou bien autorisée, si votre service utilise d'autres clouds publics.

Pour utiliser Threat Intelligence, vous définissez des règles de stratégie de sécurité qui vont autoriser ou bloquer le trafic selon tout ou partie de ces catégories à l'aide de l'expression de correspondance evaluateThreatIntelligence, ainsi qu'un nom de flux représentant l'une des catégories précédentes. Vous devez également vous abonner à Cloud Armor Enterprise. Pour en savoir plus sur Cloud Armor Enterprise, consultez la présentation de Cloud Armor Enterprise.

Configurer Threat Intelligence

Pour utiliser Threat Intelligence, vous devez configurer des règles de stratégie de sécurité à l'aide de l'expression de correspondance evaluateThreatIntelligence('FEED_NAME'), en spécifiant un nom de flux (FEED_NAME) basé sur la catégorie que vous souhaitez autoriser ou bloquer. Les informations de chaque flux sont constamment mises à jour, protégeant ainsi les services contre les nouvelles menaces sans étape de configuration supplémentaire. Les arguments valides sont les suivants :

Nom de flux Description
iplist-tor-exit-nodes Correspond aux adresses IP des nœuds de sortie Tor
iplist-known-malicious-ips Correspond aux adresses IP connues pour attaquer des applications Web
iplist-search-engines-crawlers Correspond aux adresses IP des robots d'exploration des moteurs de recherche
iplist-vpn-providers Correspond aux plages d'adresses IP utilisées par des fournisseurs de VPN dont la réputation est faible
iplist-anon-proxies Correspond aux plages d'adresses IP appartenant à des proxys anonymes ouverts
iplist-crypto-miners Correspond aux plages d'adresses IP appartenant à des sites de minage de cryptomonnaie
iplist-cloudflare Correspond aux plages d'adresses IPv4 et IPv6 des services proxy Cloudflare
iplist-fastly Correspond aux plages d'adresses IP des services proxy Fastly
iplist-imperva Correspond aux plages d'adresses IP des services proxy Imperva
iplist-public-clouds
  • iplist-public-clouds-aws
  • iplist-public-clouds-azure
  • iplist-public-clouds-gcp
Correspond aux adresses IP appartenant à des clouds publics
  • Correspond aux plages d'adresses IP utilisées par Amazon Web Services
  • Correspond aux plages d'adresses IP utilisées par Microsoft Azure
  • Correspond aux plages d'adresses IP utilisées par Google Cloud

Vous pouvez configurer une nouvelle règle de stratégie de sécurité à l'aide de la commande gcloud suivante,en spécifiant un nom de flux (FEED_NAME) parmi ceux du tableau précédent et un élément ACTION, tel que allow, deny ou throttle. Pour plus d'informations sur les actions des règles, consultez la page Types de stratégies.

gcloud compute security-policies rules create 1000 \
    --security-policy=NAME \
    --expression="evaluateThreatIntelligence('FEED_NAME')" \
    --action="ACTION"

Si vous souhaitez exclure une adresse IP ou une plage d'adresses IP que Threat Intelligence serait autrement susceptible de bloquer, vous pouvez l'ajouter à la liste d'exclusion à l'aide de l'expression suivante, en remplaçant ADDRESS par l'adresse ou que vous souhaitez exclure.

evaluateThreatIntelligence('iplist-known-malicious-ips', ['ADDRESS'])

Utiliser des listes d'adresses IP nommées

Les listes d'adresses IP nommées par Google Cloud Armor vous permettent de référencer des listes d'adresses IP et plages d'adresses IP gérées par des fournisseurs tiers. Vous pouvez configurer des listes d'adresses IP nommées dans une stratégie de sécurité. Vous n'avez pas besoin de spécifier manuellement chaque adresse IP ou plage d'adresses IP individuellement.

Dans ce document, les termes adresse IP et liste d'adresses IP incluent les plages d'adresses IP.

Les listes d'adresses IP nommées sont des listes d'adresses IP regroupées sous des noms différents. Le nom fait généralement référence au fournisseur. Les listes d'adresses IP nommées ne sont pas soumises à la limite de quota sur le nombre d'adresses IP par règle.

Les listes d'adresses IP nommées ne sont pas des stratégies de sécurité. Pour les incorporer dans une stratégie de sécurité, vous devez les référencer en tant qu'expressions de la même manière que vous référencez une règle préconfigurée.

Par exemple, si un fournisseur tiers possède une liste d'adresses IP {ip1, ip2, ip3....ip_N_} sous le nom provider-a, vous pouvez créer une règle de sécurité qui autorise toutes les adresses IP figurant dans la liste provider-a et exclut les adresses IP qui n'y figurent pas :

gcloud beta compute security-policies rules create 1000 \
    --security-policy POLICY_NAME \
    --expression "evaluatePreconfiguredExpr('provider-a')" \
    --action "allow"

Vous ne pouvez pas créer vos propres listes d'adresses IP nommées personnalisées. Cette fonctionnalité n'est disponible que pour les listes d'adresses IP nommées qui sont gérées par des fournisseurs tiers qui s'associent à Google. Si ces listes ne répondent pas à vos besoins, vous pouvez créer une stratégie de sécurité dans laquelle les règles autorisent ou refusent l'accès à vos ressources en fonction de l'adresse IP d'origine des requêtes. Pour en savoir plus, consultez Configurez des stratégies de sécurité Google Cloud Armor.

Pour utiliser des listes d'adresses IP nommées, vous devez vous abonner à Google Cloud Armor Enterprise et enregistrer des projets dans Cloud Armor Enterprise. Pour en savoir plus, consultez la section Disponibilité des listes d'adresses IP nommées.

Autoriser uniquement le trafic provenant de fournisseurs tiers autorisés

Un cas d'utilisation courant consiste à créer une liste d'autorisation contenant les adresses IP d'un partenaire tiers autorisé pour s'assurer que seul le trafic provenant de ce partenaire peut accéder à l'équilibreur de charge et aux backends.

Par exemple, les fournisseurs CDN doivent extraire le contenu des serveurs d'origine à intervalles réguliers pour le distribuer dans leurs propres caches. Un partenariat avec Google permet d'établir une connexion directe entre les fournisseurs CDN et le réseau périphérique de Google. Les utilisateurs CDN sur Google Cloud peuvent utiliser cette connexion directe lors de l'extraction de données d'origine. Dans ce cas, l'utilisateur CDN peut souhaiter créer une stratégie de sécurité autorisant uniquement le trafic provenant de ce fournisseur CDN.

Dans cet exemple, un fournisseur CDN publie sa liste d'adresses IP 23.235.32.0/20, 43.249.72.0/22, ⋯,. Un utilisateur CDN configure une règle de sécurité qui n'autorise que le trafic provenant de ces adresses IP. Par conséquent, deux points d'accès du fournisseur CDN sont autorisés (23.235.32.10 et 43.249.72.10), et leur trafic est donc autorisé. Le trafic provenant du point d'accès non autorisé 198.51.100.1 est bloqué.

Liste d'adresses IP nommée de Google Cloud Armor.
Adresse IP nommée Google Cloud Armor (cliquez pour agrandir).

Simplifier la configuration et la gestion à l'aide de règles préconfigurées

Les fournisseurs CDN utilisent souvent des adresses IP qui sont bien connues et que de nombreux utilisateurs CDN doivent utiliser. Ces listes évoluent avec le temps, à mesure que les fournisseurs ajoutent, suppriment et mettent à jour les adresses IP.

L'utilisation d'une liste d'adresses IP nommée dans une règle de stratégie de sécurité simplifie le processus de configuration et de gestion des adresses IP, car Google Cloud Armor synchronise automatiquement les informations des fournisseurs CDN au quotidien. Le processus fastidieux et source d'erreurs consistant à gérer manuellement une longue liste d'adresses IP est ainsi éliminé.

Voici un exemple de règle préconfigurée qui autorise tout le trafic provenant d'un fournisseur :

evaluatePreconfiguredExpr('provider-a') => allow traffic

Fournisseurs de listes d'adresses IP

Les fournisseurs de listes d'adresses IP répertoriés dans le tableau suivant sont compatibles avec Google Cloud Armor. Il s'agit des fournisseurs de CDN qui se sont associés à Google. Leurs listes d'adresses IP sont publiées via des URL publiques individuelles.

Ces partenaires fournissent des listes d'adresses IPv4 et IPv6 distinctes. Google Cloud Armor utilise les URL fournies pour extraire les listes, puis les convertit en listes d'adresses IP nommées. Les listes sont référencées par leur nom dans le tableau.

Par exemple, la commande suivante crée une règle dans la stratégie de sécurité POLICY_NAME avec la priorité 750, en intégrant la liste d'adresses IP nommée de Cloudflare et en autorisant l'accès à partir de ces adresses IP :

gcloud beta compute security-policies rules create 750 \
    --security-policy POLICY_NAME \
    --expression "evaluatePreconfiguredExpr('sourceiplist-cloudflare')" \
    --action "allow"
Fournisseur URL Nom de la liste d'adresses IP
Fastly https://api.fastly.com/public-ip-list sourceiplist-fastly
Cloudflare

https://www.cloudflare.com/ips-v4

https://www.cloudflare.com/ips-v6

sourceiplist-cloudflare
Imperva

https://my.imperva.com/api/integration/v1/ips

L'accès à la liste d'Imperva nécessite une requête POST. Vous pouvez également exécuter la commande suivante :

curl -d "" https://my.imperva.com/api/integration/v1/ips

sourceiplist-imperva

Pour répertorier les listes d'adresses IP nommées préconfigurées, exécutez la commande gcloud CLI suivante :

gcloud compute security-policies list-preconfigured-expression-sets \
    --filter="id:sourceiplist"

Cette opération renvoie les valeurs :

EXPRESSION_SET
sourceiplist-fastly
sourceiplist-cloudflare
sourceiplist-imperva

Synchroniser les listes d'adresses IP

Google Cloud Armor synchronise les listes d'adresses IP avec chaque fournisseur uniquement lorsqu'il détecte des modifications dans un format valide. Google Cloud Armor effectue une validation de syntaxe de base sur les adresses IP de toutes les listes.

Disponibilité des listes d'adresses IP nommées

Google Cloud Armor Enterprise est en général la disponibilité. La disponibilité des listes d'adresses IP nommées tierces est la suivante :

  1. Si vous êtes abonné au niveau Google Cloud Armor Enterprise, vous disposez d'une licence pour utiliser des listes d'adresses IP nommées dans les projets enregistrés. Vous pouvez créer, mettre à jour et supprimer des règles avec des listes d'adresses IP nommées.
  2. Si votre abonnement au niveau Google Cloud Armor Enterprise arrive à expiration, ou si vous au niveau Standard, vous ne pouvez pas ajouter ni modifier de règles avec une adresse IP nommée , mais vous pouvez supprimer des règles existantes et les mettre à jour pour supprimer liste d'adresses IP.
  3. Pour les projets qui incluent déjà des règles avec des listes d'adresses IP nommées que vous n'avez pas enregistré dans Google Cloud Armor Enterprise, vous pouvez continuer à utiliser, mettre à jour et supprimer des règles existantes avec des listes d'adresses IP nommées. Dans de tels projets, vous pouvez créer des règles qui intègrent des listes d'adresses IP nommées.

Étape suivante