Cloud Armor 可協助您保護 Google Cloud 部署作業,防範多種威脅,包括分散式阻斷服務 (DDoS) 攻擊,以及跨網站指令碼攻擊 (XSS) 和 SQL 植入 (SQLi) 等應用程式攻擊。Cloud Armor 功能提供自動防護機制,也提供手動設定選項。 本文將簡要介紹這些功能,其中有幾項功能僅適用於全域外部應用程式負載平衡器和傳統版應用程式負載平衡器。
安全性政策
使用 Cloud Armor 安全性政策,保護負載平衡器後方執行的應用程式,防範分散式阻斷服務 (DDoS) 及其他網路攻擊,無論應用程式是部署在 Google Cloud、混合式部署環境或多雲端架構中。 您可以手動設定安全性政策,並在安全性政策中設定相符條件和動作。Cloud Armor 也提供預先設定的安全政策,涵蓋各種用途。詳情請參閱 Cloud Armor 安全性政策總覽。規則語言
Cloud Armor 可讓您在安全性政策中定義優先順序規則,並設定可設定的比對條件和動作。如果規則的屬性與傳入要求的屬性相符,且該規則的優先順序最高,系統就會套用設定的動作,讓規則生效。詳情請參閱 Cloud Armor 自訂規則語言參考資料。
預先設定的網路應用程式防火牆規則
Cloud Armor 預先設定的 WAF 規則是複雜的網頁應用程式防火牆 (WAF) 規則,包含依開放原始碼業界標準編譯的數十個簽名。每個簽章都對應規則集中的攻擊偵測規則。這些規則是依現狀提供。規則會參照方便命名的規則,讓 Cloud Armor 評估數十種不同的流量特徵,而不需您手動定義每項特徵。
Cloud Armor 預先設定的規則可保護網頁應用程式和服務,防範網際網路上的常見攻擊,並降低 OWASP 前 10 大風險。規則來源為 OWASP 核心規則集 4.22。
您可以調整這些預先設定的規則,停用雜訊或其他不必要的簽章。詳情請參閱「調整 Cloud Armor WAF 規則」。
Google Cloud Armor Enterprise
Cloud Armor Enterprise 是代管的應用程式防護服務,可保護網頁應用程式和服務,防範分散式阻斷服務 (DDoS) 攻擊與其他網際網路威脅。Cloud Armor Enterprise 可為負載平衡器提供第 3 層和第 4 層 (L3 和 L4) 的巨流量和網路通訊協定 DDoS 攻擊防護,並透過使用者設定的安全政策,提供第 7 層 (L7) 應用程式層 DDoS 攻擊 (例如 HTTP Flood) 防護。
無論層級為何,全域外部應用程式負載平衡器、傳統版應用程式負載平衡器和外部 Proxy 網路負載平衡器都會自動受到 DDoS 保護。支援 HTTP、HTTPS、HTTP/2 和 QUIC 通訊協定。此外,Cloud Armor Enterprise 訂閱者可以存取 DDoS 攻擊可視性遙測資料。
詳情請參閱「Cloud Armor Enterprise 總覽」。
Google Threat Intelligence
Cloud Armor Google Threat Intelligence 可根據多種威脅情報資料類別,允許或封鎖全域外部應用程式負載平衡器和傳統版應用程式負載平衡器的流量,確保流量安全。如要進一步瞭解 Google Threat Intelligence,請參閱「套用 Google Threat Intelligence」。
Google Cloud Armor Adaptive Protection
Adaptive Protection 會分析後端服務的流量模式、偵測可疑攻擊並發出快訊,以及產生建議的 WAF 規則來減輕這類攻擊的影響,協助您保護應用程式和服務免受第 7 層分散式阻斷服務 (DDoS) 攻擊。您可以視需求調整這些規則。您可以針對個別安全性政策啟用自動調整式防護機制,但專案必須採用有效的 Cloud Armor Enterprise 訂閱方案。
詳情請參閱 Google Cloud Armor 自動調整式防護機制總覽。
進階的網路分散式阻斷服務防護功能
進階網路 DDoS 防護功能可為使用網路負載平衡器、通訊協定轉送或採用公開 IP 位址的 VM,提供額外防護措施,適用於 Cloud Armor Enterprise 訂閱者。進階網路 DDoS 防護功能提供全天候攻擊監控和快訊、針對性攻擊緩解措施,以及緩解遙測資料。詳情請參閱「設定進階網路 DDoS 防護功能」。
Cloud Armor 的運作方式
Cloud Armor 提供全天候防護,可抵禦 L3 和 L4 巨流量 DDoS 攻擊,以及以網路通訊協定為基礎的 DDoS 攻擊,並即時自動進行內嵌式緩解,不會影響延遲。這項防護措施適用於負載平衡器後方的應用程式或服務。Cloud Armor 可偵測及緩解網路攻擊,只允許格式正確的要求通過負載平衡 Proxy。
Cloud Armor 可防範 L7 (應用程式層) 威脅,包括 HTTP Flood 等 L7 DDoS 攻擊,但這項防護功能需要使用者設定安全性政策,並主動制定規則。安全性政策會強制執行自訂 L7 篩選政策,包括預先設定的網路應用程式防火牆規則,可防範 OWASP 公告的網路應用程式 10 大安全漏洞風險。您可以將安全性政策附加至下列負載平衡器的後端服務:
- 所有外部應用程式負載平衡器,包括傳統版應用程式負載平衡器
- 區域性內部應用程式負載平衡器
- 全域外部 Proxy 網路負載平衡器 (TCP/SSL)
- 傳統版 Proxy 網路負載平衡器 (TCP/SSL)
- 外部直通式網路負載平衡器 (TCP/UDP)
您可以透過 Cloud Armor 安全性政策,在 Google Cloud 邊緣允許或拒絕存取部署作業,盡可能靠近傳入流量的來源位置。這有助於防止不當流量消耗資源,或進入虛擬私有雲 (VPC) 網路。
下圖說明全域外部應用程式負載平衡器、傳統版應用程式負載平衡器、Google 聯播網和 Google 資料中心的位置。
您可以運用部分或所有這些功能保護應用程式。您可以運用安全性政策比對已知條件、建立 WAF 規則來防範常見攻擊 (例如 OWASP 核心規則集 4.22 中的攻擊),以及使用 Google Cloud Armor Enterprise 內建的 DDoS 攻擊防護機制。