Desempenho mais rápido e melhor proteção na Web para balanceamento de carga

Este tutorial descreve a importância de adicionar o Cloud CDN e o Google Cloud Armor a uma implantação de balanceador de carga HTTP(S) externo existente. Ele contém instruções básicas para ativar o Cloud CDN e o Google Cloud Armor com um balanceador de carga HTTP(S) externo.

Como melhorar o desempenho na Web com o Cloud CDN

O uso do balanceador de carga HTTP(S) externo já melhora o desempenho da Web ao configurar conexões HTTP(S) na borda global do Google mais próxima do cliente solicitante e negociar conexões usando protocolos modernos, como QUIC, HTTP/2 e TLS 1.3 para reduzir o número de idas e voltas e melhorar a capacidade. Além disso, ao usar conexões persistentes com sua origem, o Google Cloud reduz a sobrecarga de cada conexão do cliente. Os locais de borda do Google estão conectados à nossa rede global de backbone particular, que permite ao Google Cloud otimizar o roteamento e reduzir a latência entre o cliente, a borda do Google e seus back-ends. É possível melhorar ainda mais o desempenho e reduzir os custos de serviço ativando o Cloud CDN como parte da implantação do balanceador de carga HTTP(S) externo.

O que é o Cloud CDN?

O Cloud CDN (rede de fornecimento de conteúdo) usa os pontos de presença de borda do Google, distribuídos globalmente, para armazenar em cache cópias de conteúdo com carga balanceada perto dos usuários.

Como o Cloud CDN pode melhorar o desempenho na Web

O Cloud CDN melhora o desempenho de várias maneiras.

Descarrega e escalona a infraestrutura de back-end por meio da redução de solicitações

Uma solicitação exibida pelo cache do Cloud CDN significa que o balanceador de carga não precisa enviar a solicitação para a infraestrutura de back-end de um elemento estático, como imagem, vídeo, JavaScript ou folha de estilo. Isso reduz a carga durante a operação normal e permite que a infraestrutura de borda do Google absorva picos de solicitações sem aumentar a carga na infraestrutura de exibição de back-ends. Isso garante que a infraestrutura de back-end se concentre em gerar respostas específicas do usuário, como HTML dinâmico para experiências da Web interativas.

Exibe recursos estáticos da borda

Como a borda global do Google envia solicitações armazenadas em cache, os tempos de resposta às solicitações do cliente podem ser reduzidos. Elementos estáticos da experiência da Web, como imagens, vídeos, JavaScript e folhas de estilo, podem ser enviados imediatamente sem a necessidade de encaminhar a solicitação aos sistemas de back-end e aguardar uma resposta e transferência de dados.

Reduz os custos da infraestrutura de back-end e saída

Ao usar o Cloud CDN com o balanceador de carga HTTP(S) externo, é possível reduzir os custos da infraestrutura de back-end com a redução do tráfego para o back-end. Além disso, é possível reduzir o número de ciclos para exibir conteúdo estático porque ele é enviado da borda do Google. O tráfego do Cloud CDN é faturado a um custo de saída mais baixo, com maior controle dos custos.

Como ativar o Cloud CDN para o balanceador de carga HTTP(S) externo

O Cloud CDN pode ser ativado para um balanceador de carga HTTP(S) externo existente ou ao configurar um novo balanceador.

Como ativar o Cloud CDN durante a configuração do balanceador de carga HTTP(S) externo

Durante a configuração do back-end, marque a caixa de seleção Ativar o Cloud CDN. Veja mais detalhes nos guias de instruções do Cloud CDN.

Como ativar o Cloud CDN para um balanceador de carga HTTP(S) externo existente

Na configuração do balanceador de carga HTTP(S) externo, na tela de detalhes Balanceador de carga, clique em Editar para alterar o balanceador de carga.

Em seguida, na seção Configuração de back-end, marque a caixa de seleção Ativar o Cloud CDN. Veja instruções detalhadas, incluindo comandos do gcloud, nos guias de instruções do Cloud CDN.

Como melhorar a proteção na Web com o Google Cloud Armor

O uso do balanceador de carga HTTP(S) externo já oferece uma boa proteção na Web ao configurar conexões HTTP(S) na borda global do Google, reduzindo a carga da infraestrutura de back-end no processo. Ao ativar o Google Cloud Armor como parte do balanceador de carga HTTP(S) externo, você aumenta a visibilidade e o controle contra ataques à infraestrutura e a aplicativos.

.

O que é o Google Cloud Armor?

O Google Cloud Armor oferece defesa de camadas de aplicativo e DDoS, trabalhando em conjunto com balanceadores de carga HTTP(S) externos. Ele oferece visibilidade sobre ataques e permite implantar regras pré-configuradas e personalizadas para mitigar ataques contra seus aplicativos e serviços da Web. Assim como o balanceador de carga HTTP(S) externo, o Google Cloud Armor é fornecido na borda da rede do Google, ajudando na proteção contra ataques à infraestrutura e aos aplicativos próximos à origem deles.

Como o Google Cloud Armor pode melhorar a proteção na Web

O Google Cloud Armor melhora a proteção de várias maneiras.

Bloqueia automaticamente a maioria dos ataques volumétricos de DDoS

O Google Cloud Armor trabalha com o balanceador de carga HTTP(S) externo para bloquear automaticamente ataques volumétricos de DDoS, como inundações de protocolo (SYN, TCP, HTTP e ICMP), e de protocolos de rede, além de ataques de expansão (NTP, UDP, DNS). O Google Cloud Armor é baseado em tecnologias desenvolvidas originalmente para defender os próprios serviços da Web do Google, como pesquisa, Gmail e Maps.

Tem regras WAF pré-configuradas para ajudar a detectar e mitigar ataques comuns a aplicativos

O Google Cloud Armor fornece uma biblioteca de regras de firewall de aplicativos da Web (WAF, na sigla em inglês) pré-configuradas que ajudam a detectar e, opcionalmente, reduzir ataques comuns da Web, como injeção de SQL, scripting em vários locais e ataques de injeção de comando contra a infraestrutura da Web.

Detecta e bloqueia por origem geográfica e endereços IP ou intervalos de IP

O Google Cloud Armor usa o banco de dados Geo-IP do Google para identificar a região geográfica das solicitações de entrada destinadas à sua infraestrutura da Web e permite bloquear o tráfego com base em códigos de país de dois caracteres. Por exemplo, um site de comércio on-line que não envia para fora de um determinado país pode bloquear solicitações de fontes comuns de tráfego de ataque. Além disso, o Google Cloud Armor permite o bloqueio rápido de endereços IP específicos ou intervalos de endereços IP que fazem solicitações mal-intencionadas.

Oferece visibilidade para monitorar e mitigar ataques HTTP(S) de camada de aplicativo

O Google Cloud Armor também fornece uma linguagem de regras personalizadas que permite corresponder padrões complexos a partir de solicitações recebidas usando uma grande variedade de semântica HTTP(S). Isso inclui cabeçalhos, cookies, URLs, elementos de string de consulta, padrões de user agent e métodos HTTP.

Como ativar o Google Cloud Armor para o balanceador de carga HTTP(S) externo

As políticas de segurança impulsionam a configuração do Google Cloud Armor. Essas políticas ativam regras integradas e aceitam regras de proteção personalizadas. Para implantar o Google Cloud Armor, é preciso criar uma política de segurança, adicionar regras e atrelar essa política a um ou mais serviços de back-end de balanceamento de carga HTTP(S). Cada regra especifica os parâmetros que serão detectados no tráfego, a ação a ser tomada em caso de correspondência a eles e um valor de prioridade que determina a posição da regra na hierarquia de políticas.

Como criar uma política de segurança do Google Cloud Armor

Em linhas gerais, estas são as etapas para configurar as políticas de segurança do Google Cloud Armor e ativar regras que permitem ou negam tráfego para o balanceador de carga HTTP(S) externo.

  1. Crie uma política de segurança do Google Cloud Armor na tela "Segurança da rede - Google Cloud Armor".
  2. Adicione regras à política com base em listas de IP, expressões personalizadas ou regras WAF pré-configuradas, como injeção de SQL ou scripting em vários locais.
  3. Atrele a política de segurança do Google Cloud Armor a um serviço de back-end do balanceador de carga HTTP(S) externo em que você quer controlar o acesso.
  4. Atualize a política de segurança do Google Cloud Armor, conforme necessário.

Veja instruções detalhadas nos guias de instruções do Google Cloud Armor.

Próximas etapas