Configurazione di Threat Intelligence

Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

Google Cloud Armor Threat Intelligence consente ai sottoscrittori di Google Cloud Armor Managed Protection di proteggere il proprio traffico consentendo o bloccando il traffico verso i bilanciatori del carico HTTP(S) esterni in base a diverse categorie di dati di threat intelligence. I dati di Threat Intelligence sono suddivisi nelle seguenti categorie:

  • Nodi di uscita Tor: Tor è un software open source che consente la comunicazione anonima. Per escludere gli utenti che nascondono la propria identità, blocca gli indirizzi IP dei nodi di uscita di Tor (punti in cui il traffico esce dalla rete Tor).
  • Indirizzi IP dannosi noti: indirizzi IP che devono essere bloccati per migliorare il livello di sicurezza della tua applicazione perché è noto che gli attacchi alle applicazioni web abbiano origine.
  • Motori di ricerca: indirizzi IP a cui puoi consentire l'attivazione dell'indicizzazione dei siti.
  • Intervalli di indirizzi IP pubblici del cloud: questa categoria può essere bloccata per evitare che strumenti automatizzati dannosi possano navigare nelle applicazioni web o sia consentita se il servizio utilizza altri cloud pubblici.

Per utilizzare Threat Intelligence, puoi definire le regole dei criteri di sicurezza che consentono o bloccano il traffico in base ad alcune o a tutte le categorie utilizzando l'espressione di corrispondenza evaluateThreatIntelligence insieme al nome di un feed che rappresenta una delle categorie precedenti. Inoltre, devi abbonarti a Managed Protection Plus. Per maggiori informazioni sulla protezione gestita, consulta la panoramica sulla protezione gestita.

Configura Threat Intelligence

Per utilizzare Threat Intelligence, devi configurare le regole dei criteri di sicurezza utilizzando l'espressione di corrispondenza evaluateThreatIntelligence('FEED_NAME'), fornendo un valore FEED_NAME in base alla categoria da consentire o bloccare. Le informazioni contenute in ogni feed vengono costantemente aggiornate, proteggendo i servizi da nuove minacce senza ulteriori passaggi di configurazione. Gli argomenti validi sono i seguenti.

Nome del feed Descrizione
iplist-tor-exit-nodes Corrisponde agli indirizzi IP dei nodi di uscita Tor
iplist-known-malicious-ips Corrisponde a indirizzi IP noti per attaccare le applicazioni web
iplist-search-engines-crawlers Corrisponde agli indirizzi IP dei crawler dei motori di ricerca
iplist-cloudflare Corrisponde agli intervalli di indirizzi IPv4 e IPv6 dei servizi proxy Cloudflare
iplist-fastly Corrisponde a intervalli di indirizzi IP di servizi proxy rapidi
iplist-imperva Corrisponde agli intervalli di indirizzi IP dei servizi proxy Imperva
iplist-public-clouds
  • iplist-public-clouds-aws
  • iplist-public-clouds-azure
  • iplist-public-clouds-gcp
Corrisponde agli indirizzi IP appartenenti a cloud pubblici
  • Corrisponde agli intervalli di indirizzi IP utilizzati da Amazon Web Services
  • Corrisponde agli intervalli di indirizzi IP utilizzati da Microsoft Azure
  • Corrisponde agli intervalli di indirizzi IP utilizzati da Google Cloud

Puoi configurare una nuova regola del criterio di sicurezza utilizzando il seguente comando gcloud, con un FEED_NAME nella tabella precedente e qualsiasi ACTION come allow, deny o throttle. Per ulteriori informazioni sulle azioni relative alle regole, consulta i tipi di criteri.

gcloud compute security-policies rules create 1000 \
    --security-policy=NAME \
    --expression="evaluateThreatIntelligence('FEED_NAME')" \
    --action="ACTION"

Se vuoi escludere un indirizzo IP o un intervallo di indirizzi IP che Threat Intelligence potrebbe altrimenti bloccare dalla valutazione, puoi aggiungere l'indirizzo all'elenco di esclusione utilizzando la seguente espressione. Sostituisci ADDRESS con l'indirizzo o l'intervallo di indirizzi da escludere.

evaluateThreatIntelligence('iplist-known-malicious-ips', ['ADDRESS'])

Passaggi successivi