Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

סקירה כללית על המוצר

‫Cloud Armor עוזר לכם להגן על הפריסות שלכם מפני סוגים שונים של איומים, כולל התקפות מניעת שירות מבוזרות (DDoS) והתקפות על אפליקציות כמו פרצות אבטחה XSS‏ (cross-site scripting) והזרקות SQL‏ (SQLi). Google Cloud חלק מההגנות ב-Cloud Armor הן אוטומטיות וחלקן דורשות הגדרה ידנית. במסמך הזה מופיעה סקירה כללית של התכונות האלה. חלק מהתכונות האלה זמינות רק במאזני עומסים גלובליים חיצוניים של אפליקציות ובמאזני עומסים קלאסיים של אפליקציות.

מדיניות אבטחה

אפשר להשתמש במדיניות האבטחה של Cloud Armor כדי להגן על אפליקציות שפועלות מאחורי מאזן עומסים מפני מתקפות מניעת שירות מבוזרות (DDoS) ומתקפות אחרות שמבוססות על אינטרנט, בין אם האפליקציות פרוסות ב- Google Cloud, בפריסה היברידית או בארכיטקטורה מרובת עננים. אפשר להגדיר מדיניות אבטחה באופן ידני, עם תנאי התאמה ופעולות שניתנים להגדרה במדיניות האבטחה. ב-Cloud Armor יש גם כללי מדיניות אבטחה שהוגדרו מראש, שמתאימים למגוון תרחישי שימוש. מידע נוסף זמין במאמר סקירה כללית על כללי מדיניות האבטחה של Cloud Armor.

שפת הכללים

‫Cloud Armor מאפשר להגדיר כללים עם עדיפות, עם תנאי התאמה ופעולות שניתנים להגדרה במדיניות אבטחה. כלל נכנס לתוקף, כלומר הפעולה שהוגדרה מוחלת, אם הכלל הוא הכלל בעדיפות הגבוהה ביותר שהמאפיינים שלו תואמים למאפיינים של הבקשה הנכנסת. מידע נוסף מופיע במאמר בנושא הפניה לשפה של כללים בהתאמה אישית ב-Cloud Armor.

כללי WAF שהוגדרו מראש

כללי WAF שהוגדרו מראש ב-Cloud Armor הם כללים מורכבים של חומת אש לאפליקציות אינטרנט (WAF) עם עשרות חתימות שנאספות מתקנים בתעשייה שמבוססים על קוד פתוח. כל חתימה תואמת לכלל לזיהוי מתקפות בקבוצת הכללים. הכללים האלה מוצעים כמו שהם. הכללים מאפשרים ל-Cloud Armor להעריך עשרות חתימות שונות של תנועה על ידי הפניה לכללים עם שמות נוחים, במקום לדרוש מכם להגדיר כל חתימה באופן ידני.

הכללים המוגדרים מראש ב-Cloud Armor עוזרים להגן על אפליקציות ושירותים באינטרנט מפני מתקפות נפוצות באינטרנט, ולצמצם את עשרת סיכוני האבטחה המובילים של OWASP. מקור הכלל הוא OWASP Core Rule Set 4.22.

אפשר לשנות את הכללים המוגדרים מראש כדי להשבית חתימות רועשות או חתימות אחרות שלא נחוצות. מידע נוסף זמין במאמר בנושא התאמת הכללים של Cloud Armor WAF.

‫Google Cloud Armor Enterprise

‫Cloud Armor Enterprise הוא שירות מנוהל להגנה על אפליקציות, שעוזר להגן על אפליקציות ושירותים באינטרנט מפני מתקפות מניעת שירות (DDoS) מבוזרות ואיומים אחרים מהאינטרנט. השירות כולל הגנה שפועלת ללא הפסקה מפני מתקפות DDoS נפחיות ומבוססות פרוטוקול רשת בשכבות 3 ו-4 (L3 ו-L4) של מאזן העומסים, ומאפשר גישה נוספת להגנה מפני מתקפות DDoS בשכבת האפליקציה (L7) (כמו הצפת HTTP) באמצעות מדיניות אבטחה שמוגדרת על ידי המשתמש.

הגנת DDoS מסופקת באופן אוטומטי למאזני עומסים חיצוניים גלובליים של אפליקציות, למאזני עומסים קלאסיים של אפליקציות ולמאזני עומסים חיצוניים של רשתות מסוג proxy, ללא קשר לרמת השירות. כל הפרוטוקולים HTTP,‏ HTTPS,‏ HTTP/2 ו-QUIC נתמכים. בנוסף, מנויי Cloud Armor Enterprise יכולים לגשת לטלמטריה של נראות מתקפות DDoS.

מידע נוסף זמין במאמר סקירה כללית על Cloud Armor Enterprise.

Google Threat Intelligence

‫Google Threat Intelligence ב-Cloud Armor מאפשרת לכם לאבטח את תעבורת הנתונים על ידי אישור או חסימה של תעבורת נתונים למאזני עומסים חיצוניים גלובליים של אפליקציות ולמאזני עומסים קלאסיים של אפליקציות, על סמך כמה קטגוריות של נתוני מודיעין איומי סייבר. מידע נוסף על Google Threat Intelligence זמין במאמר בנושא הפעלת Google Threat Intelligence.

Google Cloud Armor Adaptive Protection

התכונה 'הגנה דינמית' עוזרת לכם להגן על האפליקציות והשירותים שלכם מפני התקפות מניעת שירות מבוזרות (DDoS) בשכבה 7. היא עושה זאת על ידי ניתוח דפוסי התנועה לשירותי ה-Backend שלכם, זיהוי התקפות חשודות ושליחת התראות עליהן, ויצירת כללי WAF מוצעים לצמצום ההשפעה של התקפות כאלה. אפשר לשנות את הכללים האלה בהתאם לצרכים שלכם. אפשר להפעיל את ההגנה הדינמית על בסיס מדיניות אבטחה, אבל נדרש מינוי פעיל ל-Cloud Armor Enterprise בפרויקט.

מידע נוסף זמין במאמר סקירה כללית על הגנה אדפטיבית ב-Google Cloud Armor.

הגנה מתקדמת מפני התקפות DDoS ברשת

הגנה מתקדמת מפני DDoS ברשת מספקת הגנות נוספות למנויי Cloud Armor Enterprise שמשתמשים במאזני עומסים ברשת, בהעברת פרוטוקולים או במכונות וירטואליות עם כתובות IP ציבוריות. הגנה מתקדמת מפני מתקפות DDoS ברשת מספקת ניטור והתראות על מתקפות שפועלים ללא הפסקה, אמצעים לצמצום מתקפות ממוקדות וטלמטריה לצמצום מתקפות. מידע נוסף זמין במאמר בנושא הגדרת הגנה מתקדמת מפני מתקפות DDoS ברשת.

איך Cloud Armor פועל

‫Cloud Armor מספק הגנה שפועלת ללא הפסקה מפני מתקפות DDoS מסוג L3 ו-L4, שהן מתקפות נפחיות ומבוססות פרוטוקול רשת, עם אמצעי הגנה אוטומטיים בזמן אמת וללא השפעה על זמן האחזור. ההגנה הזו מיועדת לאפליקציות או לשירותים שמוצבים מאחורי מאזני עומסים. ‏Cloud Armor יכול לזהות מתקפות על הרשת ולנטרל אותן כדי לאפשר רק לבקשות תקינות לעבור דרך שרתי ה-proxy של מאזן העומסים.

‫Cloud Armor יכול להגן מפני איומים בשכבה 7 (שכבת האפליקציה), כולל מתקפות DDoS בשכבה 7 כמו הצפות HTTP, אבל כדי להשתמש בהגנה הזו צריך להגדיר מדיניות אבטחה עם כללים פרואקטיביים. מדיניות האבטחה אוכפת מדיניות סינון מותאמת אישית ברמה 7, כולל כללי WAF שהוגדרו מראש ומצמצמים את הסיכונים של 10 נקודות החולשה העיקריות באפליקציות אינטרנט של OWASP. אפשר לצרף מדיניות אבטחה לשירותים לקצה העורפי של מאזני העומסים הבאים:

כל מאזני העומסים החיצוניים של אפליקציות, כולל מאזני עומסים קלאסיים של אפליקציות
מאזן עומסים פנימי אזורי של אפליקציות (ALB)
מאזן עומסי רשת גלובלי חיצוני בשרת proxy‏ (TCP/SSL)
מאזן עומסי רשת קלאסי בשרת proxy‏ (TCP/SSL)
מאזן עומסי רשת חיצוני להעברת סיגנל ללא שינוי (TCP/UDP)

כללי מדיניות האבטחה של Cloud Armor מאפשרים לכם לאשר או לדחות גישה לפריסה שלכם ב- Google Cloud edge, קרוב ככל האפשר למקור של התעבורה הנכנסת. כך נמנעת תעבורה לא רצויה שצורכת משאבים או נכנסת לרשתות של הענן הווירטואלי הפרטי (VPC).

בתרשים הבא מוצגים המיקום של מאזני עומסים חיצוניים גלובליים של אפליקציות (ALB), מאזני עומסים של אפליקציות (ALB) בגרסה הקלאסית, הרשת של Google ומרכזי הנתונים של Google.

מדיניות Cloud Armor בקצה הרשת. — מדיניות Cloud Armor בקצה הרשת (לחצו כדי להגדיל)

אתם יכולים להשתמש בחלק מהתכונות האלה או בכולן כדי להגן על האפליקציה. אתם יכולים להשתמש במדיניות אבטחה כדי להתאים לתנאים מוכרים, ליצור כללי WAF כדי להגן מפני מתקפות נפוצות כמו אלה שנמצאות ב-OWASP Core Rule Set 4.22, ולהשתמש בהגנות המובנות של Google Cloud Armor Enterprise מפני מתקפות DDoS.