Cloud Armor ti aiuta a proteggere i tuoi deployment Google Cloud da diversi tipi di minacce, inclusi attacchi distributed denial of service (DDoS) e attacchi alle applicazioni come cross-site scripting (XSS) e SQL injection (SQLi). Le funzionalità di Cloud Armor includono alcune protezioni automatiche e altre che devi configurare manualmente. Questo documento fornisce una panoramica generale di queste funzionalità, molte delle quali sono disponibili solo per i bilanciatori del carico delle applicazioni esterni globali e i bilanciatori del carico delle applicazioni classici.
Policy di sicurezza
Utilizza le policy di sicurezza di Cloud Armor per proteggere le applicazioni in esecuzione dietro un bilanciatore del carico da attacchi distributed denial of service (DDoS) e altri attacchi basati sul web, indipendentemente dal fatto che il deployment delle applicazioni sia eseguito su Google Cloud, in un deployment ibrido o in un'architettura multi-cloud. Puoi configurare le policy di sicurezza manualmente e specificare condizioni di corrispondenza e azioni nelle singole policy. Cloud Armor offre anche policy di sicurezza preconfigurate, che coprono una serie di casi d'uso. Per saperne di più, consulta Panoramica delle policy di sicurezza di Cloud Armor.Linguaggio delle regole
Cloud Armor consente di definire regole con priorità e condizioni di corrispondenza e azioni configurabili in una policy di sicurezza. Una regola ha effetto, ovvero l'azione configurata viene applicata, se è la regola con la priorità più alta i cui attributi corrispondono a quelli della richiesta in entrata. Per saperne di più, consulta Riferimento per il linguaggio delle regole personalizzate di Cloud Armor.
Regole WAF preconfigurate
Le regole WAF preconfigurate di Google Cloud Armor sono regole web application firewall (WAF) complesse con decine di firme compilate a partire da standard di settore open source. Ogni firma corrisponde a una regola di rilevamento degli attacchi nel set di regole. Queste regole vengono offerte così come sono. Le regole consentono a Cloud Armor di valutare decine di firme di traffico distinte facendo riferimento a regole con nomi pratici, anziché richiedere di definire manualmente ogni firma.
Le regole preconfigurate di Cloud Armor contribuiscono a proteggere le tue applicazioni e i tuoi servizi web da attacchi comuni provenienti da internet e a mitigare i rischi OWASP Top 10. L'origine delle regole è OWASP Core Rule Set 3.3.2 (CRS).
Queste regole preconfigurate possono essere ottimizzate per disattivare firme rumorose o altrimenti non necessarie. Per saperne di più, consulta Ottimizza le regole WAF di Cloud Armor.
Google Cloud Armor Enterprise
Cloud Armor Enterprise è il servizio di protezione gestita delle applicazioni che contribuisce a proteggere le tue applicazioni e i tuoi servizi web da attacchi distributed denial of service (DDoS) e altre minacce da internet. Le funzionalità di Cloud Armor Enterprise offrono protezioni sempre attive per il bilanciatore del carico e ti danno accesso alle regole WAF.
La protezione DDoS viene fornita automaticamente per i bilanciatori del carico delle applicazioni esterni globali, i bilanciatori del carico delle applicazioni classici e i bilanciatori del carico di rete proxy esterni, indipendentemente dal livello. Sono supportati i protocolli HTTP, HTTPS, HTTP/2 e QUIC. Inoltre, gli abbonati a Cloud Armor Enterprise possono accedere alla telemetria di visibilità degli attacchi DDoS.
Per saperne di più, consulta la panoramica di Cloud Armor Enterprise.
Google Threat Intelligence
Cloud Armor Google Threat Intelligence ti permette di proteggere il tuo traffico consentendo o bloccando il traffico verso i bilanciatori del carico delle applicazioni esterni globali e i bilanciatori del carico delle applicazioni classici in base a diverse categorie di dati di intelligence sulle minacce. Per saperne di più su Google Threat Intelligence, consulta Applica Google Threat Intelligence.
Google Cloud Armor Adaptive Protection
Adaptive Protection ti aiuta a proteggere le tue applicazioni e i tuoi servizi dagli attacchi distributed denial of service (DDoS) L7 analizzando i pattern di traffico verso i tuoi servizi di backend, rilevando e segnalando i potenziali attacchi e generando regole WAF suggerite per mitigare questi attacchi. Puoi ottimizzare queste regole in base alle tue esigenze. Puoi attivare Adaptive Protection per singole policy di sicurezza, ma devi avere un abbonamento Cloud Armor Enterprise attivo nel progetto.
Per saperne di più, consulta la panoramica di Google Cloud Armor Adaptive Protection.
Protezione DDoS di rete avanzata
La protezione DDoS di rete avanzata offre protezioni aggiuntive per gli abbonati a Managed Protection Plus che utilizzano bilanciatori del carico di rete, forwarding del protocollo o VM con indirizzi IP pubblici. La protezione DDoS di rete avanzata fornisce monitoraggio e avvisi continui sugli attacchi, mitigazioni degli attacchi mirati e telemetria di mitigazione. Per saperne di più, consulta Configura la protezione DDoS di rete avanzata.
Funzionamento di Cloud Armor
Cloud Armor offre una protezione DDoS sempre attiva contro gli attacchi DDoS volumetrici basati su rete o protocollo. Questa protezione è destinata ad applicazioni o servizi dietro bilanciatori del carico. È in grado di rilevare e mitigare gli attacchi di rete per consentire solo alle richieste nel formato corretto di passare attraverso i proxy di bilanciamento del carico. Le policy di sicurezza applicano policy di filtro personalizzate di livello 7, incluse regole WAF preconfigurate che mitigano i rischi legati alle 10 principali vulnerabilità delle applicazioni web OWASP. Puoi collegare policy di sicurezza ai servizi di backend dei seguenti bilanciatori del carico:- Tutti i bilanciatori del carico delle applicazioni esterni, inclusi i bilanciatori del carico delle applicazioni classici
- Bilanciatore del carico delle applicazioni interno regionale
- Bilanciatore del carico di rete proxy esterno globale (TCP/SSL)
- Bilanciatore del carico di rete proxy classico (TCP/SSL)
- Bilanciatore del carico di rete passthrough esterno (TCP/UDP)
Le policy di sicurezza di Cloud Armor ti permettono di consentire o negare l'accesso al tuo deployment lungo il perimetro di Google Cloud , il più vicino possibile all'origine del traffico in entrata. In questo modo è possibile impedire al traffico indesiderato di utilizzare risorse o di penetrare nelle reti VPC (Virtual Private Cloud).
Il seguente diagramma illustra la posizione dei bilanciatori del carico delle applicazioni esterni globali, dei bilanciatori del carico delle applicazioni classici, della rete Google e dei data center Google.
Puoi utilizzare alcune o tutte queste funzionalità per proteggere la tua applicazione. Puoi utilizzare policy di sicurezza per trovare corrispondenze con condizioni note, creare regole WAF per proteggerti da attacchi comuni come quelli presenti in OWASP Core Rule Set 3.3.2 e utilizzare le protezioni integrate di Google Cloud Armor Enterprise contro gli attacchi DDoS.
Passaggi successivi
- Esamina i casi d'uso comuni per Cloud Armor
- Scopri di più su Google Cloud Armor Enterprise
- Scopri di più su Google Cloud Armor Adaptive Protection