Com o Threat Intelligence do Google Cloud Armor, os assinantes do serviço de proteção gerenciada podem proteger ou permitir o tráfego nos balanceadores de carga HTTP(S) externos com base em várias categorias de dados de inteligência de ameaças. Os dados do Threat Intelligence são divididos nas seguintes categorias:
- Nós de saída da Tor: o Tor é um software de código aberto que possibilita a comunicação anônima. Para excluir usuários que ocultam a identidade deles, bloqueie os endereços IP dos nós de saída do Tor (pontos em que o tráfego sai da rede).
- Endereços IP maliciosos conhecidos: endereços IP que precisam ser bloqueados para melhorar a postura de segurança do seu aplicativo, porque os ataques a aplicativos da Web são originários deles.
- Mecanismos de pesquisa: endereços IP que podem ser permitidos para ativar a indexação do site.
- Intervalos de endereços IP públicos da nuvem: esta categoria pode ser bloqueada para evitar que ferramentas automatizadas maliciosas procurem aplicativos da Web ou permitida se o serviço usar outras nuvens públicas.
Para usar o Threat Intelligence, defina regras de política de segurança que permitam ou bloqueiem o tráfego com base em algumas ou em todas essas categorias usando a expressão de correspondência evaluateThreatIntelligence e um nome de feed que representa uma das categorias acima. Além disso, você precisa se inscrever no
nível Plus da proteção gerenciada. Para mais informações
sobre a Proteção gerenciada, consulte a
Visão geral da Proteção gerenciada.
Configurar o Threat Intelligence
Para usar o Threat Intelligence, configure regras de política de segurança usando a
expressão de correspondência evaluateThreatIntelligence('FEED_NAME'), fornecendo um FEED_NAME com base na
categoria que você quer permitir ou bloquear. As informações de cada feed são
atualizadas constantemente, protegendo os serviços de novas ameaças sem etapas
de configuração adicionais. Os argumentos válidos têm estas características.
| Nome do feed | Descrição |
|---|---|
iplist-tor-exit-nodes |
Correspondem aos endereços IP dos nós de saída do Tor |
iplist-known-malicious-ips |
Correspondem a endereços IP conhecidos por atacar apps da Web |
iplist-search-engines-crawlers |
Correspondem aos endereços IP dos rastreadores dos mecanismos de pesquisa |
iplist-cloudflare |
Corresponde aos intervalos de endereços IPv4 e IPv6 dos serviços de proxy do Cloudflare |
iplist-fastly |
Corresponde a intervalos de endereços IP dos serviços de proxy do Fastly |
iplist-imperva |
Corresponde aos intervalos de endereços IP dos serviços de proxy do Imperva |
iplist-public-clouds
|
Correspondem a endereços IP que pertencem às nuvens públicas
|
É possível configurar uma nova regra de política de segurança usando o comando gcloud a seguir, com um FEED_NAME da tabela anterior e qualquer ACTION (como allow, deny ou throttle).
Para mais informações sobre as ações de regras,
consulte os tipos de política.
gcloud compute security-policies rules create 1000 \
--security-policy=NAME \
--expression="evaluateThreatIntelligence('FEED_NAME')" \
--action="ACTION"
Se você quiser excluir um endereço IP ou um intervalo de endereços IP que o Threat Intelligence possa
bloquear da avaliação, adicione o endereço à lista de exclusão usando a
seguinte expressão, Substitua ADDRESS pelo endereço ou intervalo de endereços que você quer excluir.
evaluateThreatIntelligence('iplist-known-malicious-ips', ['ADDRESS'])
A seguir
- Configurar políticas de segurança do Google Cloud Armor
- Ver os preços dos níveis de proteção gerenciada
- Resolver problemas