Google Cloud Armor Threat Intelligence consente ai sottoscrittori di Google Cloud Armor Managed Protection di proteggere il proprio traffico consentendo o bloccando il traffico verso i bilanciatori del carico HTTP(S) esterni in base a diverse categorie di dati di threat intelligence. I dati di Threat Intelligence sono suddivisi nelle seguenti categorie:
- Nodi di uscita Tor: Tor è un software open source che consente la comunicazione anonima. Per escludere gli utenti che nascondono la propria identità, blocca gli indirizzi IP dei nodi di uscita di Tor (punti in cui il traffico esce dalla rete Tor).
- Indirizzi IP dannosi noti: indirizzi IP che devono essere bloccati per migliorare il livello di sicurezza della tua applicazione perché è noto che gli attacchi alle applicazioni web abbiano origine.
- Motori di ricerca: indirizzi IP a cui puoi consentire l'attivazione dell'indicizzazione dei siti.
- Intervalli di indirizzi IP pubblici del cloud: questa categoria può essere bloccata per evitare che strumenti automatizzati dannosi possano navigare nelle applicazioni web o sia consentita se il servizio utilizza altri cloud pubblici.
Per utilizzare Threat Intelligence, puoi definire le regole dei criteri di sicurezza che consentono o bloccano il traffico in base ad alcune o a tutte le categorie utilizzando l'espressione di corrispondenza evaluateThreatIntelligence insieme al nome di un feed che rappresenta una delle categorie precedenti. Inoltre, devi abbonarti a Managed Protection Plus. Per maggiori informazioni sulla protezione gestita, consulta la panoramica sulla protezione gestita.
Configura Threat Intelligence
Per utilizzare Threat Intelligence, devi configurare le regole dei criteri di sicurezza utilizzando l'espressione di corrispondenza evaluateThreatIntelligence('FEED_NAME'), fornendo un valore FEED_NAME in base alla categoria da consentire o bloccare. Le informazioni contenute in ogni feed vengono costantemente aggiornate, proteggendo i servizi da nuove minacce senza ulteriori passaggi di configurazione. Gli argomenti validi sono i seguenti.
| Nome del feed | Descrizione |
|---|---|
iplist-tor-exit-nodes |
Corrisponde agli indirizzi IP dei nodi di uscita Tor |
iplist-known-malicious-ips |
Corrisponde a indirizzi IP noti per attaccare le applicazioni web |
iplist-search-engines-crawlers |
Corrisponde agli indirizzi IP dei crawler dei motori di ricerca |
iplist-cloudflare |
Corrisponde agli intervalli di indirizzi IPv4 e IPv6 dei servizi proxy Cloudflare |
iplist-fastly |
Corrisponde a intervalli di indirizzi IP di servizi proxy rapidi |
iplist-imperva |
Corrisponde agli intervalli di indirizzi IP dei servizi proxy Imperva |
iplist-public-clouds
|
Corrisponde agli indirizzi IP appartenenti a cloud pubblici
|
Puoi configurare una nuova regola del criterio di sicurezza utilizzando il seguente comando gcloud,
con un FEED_NAME nella tabella precedente e qualsiasi
ACTION come allow, deny o throttle.
Per ulteriori informazioni sulle azioni relative alle regole, consulta i tipi di criteri.
gcloud compute security-policies rules create 1000 \
--security-policy=NAME \
--expression="evaluateThreatIntelligence('FEED_NAME')" \
--action="ACTION"
Se vuoi escludere un indirizzo IP o un intervallo di indirizzi IP che Threat Intelligence potrebbe altrimenti bloccare dalla valutazione, puoi aggiungere l'indirizzo all'elenco di esclusione utilizzando la seguente espressione. Sostituisci ADDRESS con l'indirizzo o l'intervallo di indirizzi da escludere.
evaluateThreatIntelligence('iplist-known-malicious-ips', ['ADDRESS'])
Passaggi successivi
- Configurare i criteri di sicurezza di Google Cloud Armor
- Visualizza i prezzi per i livelli di protezione gestita
- Risolvere i problemi