סקירה כללית על המוצר

‫Cloud Armor עוזר לכם להגן על הפריסות שלכם מפני סוגים שונים של איומים, כולל התקפות מניעת שירות מבוזרות (DDoS) והתקפות על אפליקציות כמו פרצות אבטחה XSS‏ (cross-site scripting) והזרקות SQL‏ (SQLi). Google Cloud חלק מההגנות ב-Cloud Armor הן אוטומטיות וחלקן דורשות הגדרה ידנית. במסמך הזה מופיעה סקירה כללית של התכונות האלה. חלק מהן זמינות רק במאזני עומסים גלובליים חיצוניים של אפליקציות ובמאזני עומסים קלאסיים של אפליקציות.

מדיניות אבטחה

שימוש במדיניות אבטחה של Cloud Armor כדי להגן על אפליקציות שפועלות מאחורי מאזן עומסים מפני מתקפות מניעת שירות מבוזרות (DDoS) ומתקפות אחרות שמבוססות על האינטרנט, בין אם האפליקציות נפרסות ב- Google Cloud, בפריסה היברידית או בארכיטקטורה מרובת עננים. אפשר להגדיר מדיניות אבטחה באופן ידני, עם תנאי התאמה ופעולות שניתנים להגדרה במדיניות האבטחה. ב-Cloud Armor יש גם כללי מדיניות אבטחה שהוגדרו מראש, שמתאימים למגוון תרחישי שימוש. מידע נוסף זמין במאמר סקירה כללית על כללי מדיניות האבטחה של Cloud Armor.

שפת הכללים

‫Cloud Armor מאפשר להגדיר כללים עם עדיפות, עם תנאי התאמה ופעולות שניתנים להגדרה, במסגרת מדיניות אבטחה. כלל נכנס לתוקף, כלומר הפעולה שהוגדרה מוחלת, אם הכלל הוא הכלל בעדיפות הגבוהה ביותר שהמאפיינים שלו תואמים למאפיינים של הבקשה הנכנסת. מידע נוסף זמין במאמר בנושא הפניה לשפה של כללים בהתאמה אישית ב-Cloud Armor.

כללי WAF שהוגדרו מראש

כללי WAF שהוגדרו מראש ב-Cloud Armor הם כללים מורכבים של חומת אש לאפליקציות אינטרנט (WAF) עם עשרות חתימות שנאספו מתקנים בתעשייה שמבוססים על קוד פתוח. כל חתימה תואמת לכלל לזיהוי מתקפות בקבוצת הכללים. הכללים האלה מוצעים כמו שהם. הכללים מאפשרים ל-Cloud Armor להעריך עשרות חתימות תנועה שונות על ידי הפניה לכללים עם שמות נוחים, במקום לדרוש מכם להגדיר כל חתימה באופן ידני.

הכללים המוגדרים מראש ב-Cloud Armor עוזרים להגן על אפליקציות ושירותים באינטרנט מפני מתקפות נפוצות באינטרנט, ולצמצם את עשרת סיכוני האבטחה המובילים של OWASP. מקור הכלל הוא OWASP Core Rule Set 3.3.2 (CRS).

אפשר לשנות את הכללים המוגדרים מראש כדי להשבית חתימות רועשות או חתימות אחרות שלא נחוצות. מידע נוסף זמין במאמר בנושא התאמה של כללי WAF ב-Cloud Armor.

‫Google Cloud Armor Enterprise

‫Cloud Armor Enterprise הוא שירות מנוהל להגנה על אפליקציות, שעוזר להגן על אפליקציות ושירותי אינטרנט מפני התקפות מניעת שירות מבוזרות (DDoS) ואיומים אחרים באינטרנט. התכונות של Cloud Armor Enterprise מספקות הגנה שפועלת תמיד למאזן העומסים שלכם, ומאפשרות לכם גישה לכללי WAF.

הגנה מפני DDoS מסופקת באופן אוטומטי למאזני עומסים גלובליים חיצוניים של אפליקציות, למאזני עומסים קלאסיים של אפליקציות ולמאזני עומסי רשת חיצוניים לשרת proxy, ללא קשר לרמת השירות. כל הפרוטוקולים נתמכים: HTTP,‏ HTTPS,‏ HTTP/2 ו-QUIC. בנוסף, מנויי Cloud Armor Enterprise יכולים לגשת לטלמטריה של התקפות DDoS.

מידע נוסף זמין במאמר סקירה כללית על Cloud Armor Enterprise.

Google Threat Intelligence

‫Google Threat Intelligence ב-Cloud Armor מאפשרת לכם לאבטח את התנועה על ידי אישור או חסימה של תנועה למאזני עומסים חיצוניים גלובליים של אפליקציות ולמאזני עומסים קלאסיים של אפליקציות, על סמך כמה קטגוריות של נתוני מודיעין איומי סייבר. מידע נוסף על Google Threat Intelligence זמין במאמר בנושא החלת Google Threat Intelligence.

Google Cloud Armor Adaptive Protection

הגנה אדפטיבית עוזרת לכם להגן על האפליקציות והשירותים מפני התקפות מניעת שירות מבוזרות (DDoS) ברמה 7. היא עושה זאת על ידי ניתוח דפוסי התעבורה לשירותי הקצה העורפיים, זיהוי התקפות חשודות ושליחת התראות עליהן, ויצירת כללי WAF מוצעים לצמצום ההשפעה של התקפות כאלה. אפשר לשנות את הכללים האלה בהתאם לצרכים שלכם. אפשר להפעיל את Adaptive Protection בכל כללי מדיניות האבטחה, אבל צריך מינוי פעיל ל-Cloud Armor Enterprise בפרויקט.

מידע נוסף זמין במאמר סקירה כללית על הגנה אדפטיבית ב-Google Cloud Armor.

הגנה מתקדמת מפני התקפות DDoS ברשת

הגנה מתקדמת מפני DDoS ברשת מספקת הגנות נוספות למנויי Managed Protection Plus שמשתמשים במאזני עומסים ברשת, בהעברת פרוטוקולים או במכונות וירטואליות עם כתובות IP ציבוריות. הגנה מתקדמת מפני מתקפות DDoS ברשת מספקת מעקב והתראות על מתקפות שפועלים ללא הפסקה, אמצעים לצמצום מתקפות ממוקדות וטלמטריה לצמצום מתקפות. מידע נוסף זמין במאמר בנושא הגדרת הגנה מתקדמת מפני מתקפות DDoS ברשת.

איך Cloud Armor פועל

שירות Cloud Armor מספק הגנה מפני התקפות DDoS נפחיות שמבוססות על רשת או על פרוטוקול, שפועלת ללא הפסקה. ההגנה הזו מיועדת לאפליקציות או לשירותים שמופעלים מאחורי מאזני עומסים. הוא יכול לזהות מתקפות על הרשת ולצמצם את ההשפעה שלהן, כדי לאפשר רק לבקשות תקינות לעבור דרך שרתי ה-proxy של איזון העומסים. מדיניות האבטחה אוכפת מדיניות סינון מותאמת אישית בשכבה 7, כולל כללי WAF שהוגדרו מראש ומצמצמים את הסיכונים של 10 נקודות החולשה העיקריות של OWASP באפליקציות אינטרנט. אפשר לצרף מדיניות אבטחה לשירותי הקצה העורפי של מאזני העומסים הבאים:

כל מאזני העומסים החיצוניים של אפליקציות (ALB), כולל מאזני עומסים קלאסיים של אפליקציות (ALB)
מאזן עומסים פנימי אזורי של אפליקציות (ALB)
מאזן עומסי רשת גלובלי חיצוני בשרת proxy‏ (TCP/SSL)
מאזן עומסי רשת קלאסי בשרת proxy‏ (TCP/SSL)
מאזן עומסי רשת חיצוני להעברת סיגנל ללא שינוי (TCP/UDP)

כללי מדיניות האבטחה של Cloud Armor מאפשרים לכם לאשר או לדחות גישה לפריסה שלכם ב- Google Cloud edge, קרוב ככל האפשר למקור התנועה הנכנסת. כך נמנעת תעבורה לא רצויה שצורכת משאבים או נכנסת לרשתות של הענן הווירטואלי הפרטי (VPC).

הדיאגרמה הבאה ממחישה את המיקום של מאזני עומסים חיצוניים גלובליים של אפליקציות, מאזני עומסים של אפליקציות בגרסה הקלאסית, רשת Google ומרכזי הנתונים של Google.

מדיניות Cloud Armor בקצה הרשת. — מדיניות Cloud Armor בקצה הרשת (לחצו כדי להגדיל)

אתם יכולים להשתמש בחלק מהתכונות האלה או בכולן כדי להגן על האפליקציה שלכם. אתם יכולים להשתמש במדיניות אבטחה כדי להתאים לתנאים מוכרים, ליצור כללי WAF כדי להגן מפני מתקפות נפוצות כמו אלה שמופיעות בקבוצת הכללים המרכזית של OWASP‏ 3.3.2, ולהשתמש בהגנות המובנות של Google Cloud Armor Enterprise מפני מתקפות DDoS.