Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Cloud Armor 總覽

Google Cloud Armor 可協助您保護 Google Cloud 部署作業，防範多種威脅，包括分散式阻斷服務 (DDoS) 攻擊，以及跨網站指令碼攻擊 (XSS) 和 SQL 植入 (SQLi) 等應用程式攻擊。Cloud Armor 提供自動防護功能，也提供需要手動設定的功能。本文將簡要介紹這些功能，其中有幾項功能僅適用於全域外部應用程式負載平衡器和傳統版應用程式負載平衡器。

安全性政策

使用 Cloud Armor 安全性政策，保護負載平衡器後方執行的應用程式，防範分散式阻斷服務 (DDoS) 及其他網路攻擊，無論應用程式是部署在 Google Cloud、混合式部署環境或多雲架構中，都能受到保護。您可以手動設定安全性政策，並在政策中設定相符條件和動作。Cloud Armor 也提供預先設定的安全政策，涵蓋各種用途。詳情請參閱 Cloud Armor 安全性政策總覽。

規則語言

Cloud Armor 可讓您在安全性政策中，定義具有可設定比對條件和動作的優先規則。如果規則是屬性與傳入要求屬性相符的最高優先順序規則，就會生效，也就是套用設定的動作。詳情請參閱 Cloud Armor 自訂規則語言參考資料。

預先設定的網路應用程式防火牆規則

Cloud Armor 預先設定的 WAF 規則是複雜的網頁應用程式防火牆 (WAF) 規則，包含依開放原始碼業界標準編譯的數十個簽名。每個簽章都對應規則集中的攻擊偵測規則。這些規則是依現狀提供。規則可讓 Cloud Armor 參照方便命名的規則，評估數十種不同的流量特徵，而不需手動定義每項特徵。

Cloud Armor 預先設定的規則可保護網頁應用程式和服務，防範網際網路上的常見攻擊，並降低 OWASP 前 10 大風險。規則來源為 OWASP 核心規則集 4.22。

您可以調整這些預先設定的規則，停用雜訊或其他不必要的簽章。詳情請參閱「調整 Cloud Armor WAF 規則」。

Google Cloud Armor Enterprise

Cloud Armor Enterprise 是受管理的應用程式防護服務，可保護網頁應用程式和服務，防範網際網路的分散式阻斷服務 (DDoS) 攻擊及其他威脅。Cloud Armor Enterprise 具備全天候防護功能，可保護負載平衡器免受第 3 層和第 4 層 (L3 和 L4) 的大量和網路通訊協定 DDoS 攻擊，並透過使用者設定的安全政策，提供第 7 層 (L7) 應用程式層 DDoS 攻擊 (例如 HTTP Flood) 的額外防護。

無論級別為何，全域外部應用程式負載平衡器、傳統應用程式負載平衡器和外部 Proxy 網路負載平衡器都會自動提供 DDoS 防護。這些負載平衡器支援 HTTP、HTTPS、HTTP/2 和 QUIC 通訊協定。此外，Cloud Armor Enterprise 訂閱者可以存取 DDoS 攻擊可視性遙測資料。

詳情請參閱「Cloud Armor Enterprise 總覽」。

Google Threat Intelligence

您可以根據幾種威脅情報資料類別，允許或封鎖傳送至全域外部應用程式負載平衡器和傳統版應用程式負載平衡器的流量，藉此透過 Cloud Armor Google Threat Intelligence 保護流量。如要進一步瞭解 Google Threat Intelligence，請參閱「套用 Google Threat Intelligence」。

Google Cloud Armor Adaptive Protection

Adaptive Protection 會分析後端服務的流量模式、偵測可疑攻擊並發出快訊，以及產生建議的網頁應用程式防火牆規則來降低這類攻擊的風險，協助您保護應用程式和服務，免受第 7 層分散式阻斷服務 (DDoS) 攻擊。您可以視需求調整這些規則。Adaptive Protection 可針對每個安全性政策啟用，但專案必須有有效的 Cloud Armor Enterprise 訂閱方案。

詳情請參閱「適應性保護總覽」。

進階的網路分散式阻斷服務防護功能

進階網路 DDoS 防護功能可為使用網路負載平衡器、通訊協定轉送或採用公開 IP 位址的 VM，提供額外防護措施，適用於 Cloud Armor Enterprise 訂閱者。進階網路 DDoS 防護功能提供全天候攻擊監控和快訊、針對性攻擊緩解措施，以及緩解遙測資料。詳情請參閱「設定進階網路 DDoS 防護功能」。

Cloud Armor 的運作方式

Cloud Armor 提供全天候防護，可抵禦 L3 和 L4 巨流量及以網路通訊協定為基礎的 DDoS 攻擊，並即時自動進行內嵌式緩解，不會影響延遲。這項防護機制適用於負載平衡器後方的應用程式或服務。Cloud Armor 可偵測及緩解網路攻擊，確保只有格式正確的要求能通過負載平衡 Proxy。

Cloud Armor 可防範 L7 (應用程式層) 威脅，包括 HTTP Flood 等 L7 DDoS 攻擊，但這項防護功能需要使用者設定安全性政策，並採用主動式規則。安全性政策會強制執行自訂 L7 篩選政策，包括預先設定的 WAF 規則，可減輕 OWASP Top 10 網頁應用程式安全漏洞風險。您可以將安全性政策附加至下列負載平衡器的後端服務：

所有外部應用程式負載平衡器，包括傳統版應用程式負載平衡器
區域性內部應用程式負載平衡器
全域外部 Proxy 網路負載平衡器 (TCP/SSL)
傳統版 Proxy 網路負載平衡器 (TCP/SSL)
外部直通式網路負載平衡器 (TCP/UDP)

您可以透過 Cloud Armor 安全性政策，在 Google Cloud 邊緣允許或拒絕存取部署項目，盡可能靠近傳入流量的來源位置。防止不當流量耗用資源或進入虛擬私有雲 (VPC) 網路。

下圖說明全域外部應用程式負載平衡器、傳統版應用程式負載平衡器、Google 網路和 Google 資料中心的位置。

網路邊緣的 Cloud Armor 政策。 — 網路邊緣的 Cloud Armor 政策 (按一下可放大)

您可以運用部分或所有這些功能來保護應用程式。您可以運用安全性政策比對已知條件、建立 WAF 規則來防範常見攻擊 (例如 OWASP Core Rule Set 4.22 中的攻擊)，以及使用 Cloud Armor Enterprise 的內建 DDoS 攻擊防護功能。