דוגמאות למדיניות אבטחה

בדף הזה מתוארות הגדרות לדוגמה של מדיניות אבטחה לסוגים שונים של מאזני עומסים ומדיניות אבטחה.

הגדרת מדיניות אבטחה למאזני עומסים חיצוניים של אפליקציות

אלה השלבים ברמה גבוהה להגדרת מדיניות אבטחה ב-Google Cloud Armor כדי להפעיל כללים שמאפשרים או חוסמים תנועה למאזן עומסים חיצוני גלובלי של אפליקציות (ALB) או למאזן עומסים קלאסי של אפליקציות (ALB):

  1. יוצרים כללי מדיניות אבטחה של Cloud Armor.
  2. להוסיף כללים למדיניות האבטחה על סמך רשימות של כתובות IP, ביטויים מותאמים אישית או קבוצות ביטויים שהוגדרו מראש.
  3. מצרפים את מדיניות האבטחה לשירות קצה עורפי של מאזן עומסים גלובלי חיצוני של אפליקציות (ALB) או של מאזן עומסים קלאסי של אפליקציות (ALB) שרוצים לשלוט בגישה אליו.
  4. מעדכנים את מדיניות האבטחה לפי הצורך.

בדוגמה הבאה, יוצרים שני כללי מדיניות אבטחה של Cloud Armor ומחילים אותם על שירותי קצה עורפי שונים.

דוגמה שבה שתי מדיניות אבטחה מוחלות על שירותי קצה עורפיים שונים.
דוגמה שבה שתי מדיניות אבטחה מוחלות על שירותי קצה עורפיים שונים (לחצו כדי להגדיל).

בדוגמה, אלה כללי מדיניות האבטחה של Cloud Armor:

  • mobile-clients-policy חל על משתמשים חיצוניים בשירותי games שלכם.
  • internal-users-policy חל על צוות test-network בארגון שלכם.

אתם מחילים את mobile-clients-policy על השירות games, שהשירות לקצה העורפי שלו נקרא games, ואתם מחילים את internal-users-policy על השירות הפנימי test של צוות הבדיקה, שהשירות לקצה העורפי שלו נקרא test-network.

אם המופעים של הקצה העורפי בשירות לקצה העורפי נמצאים בכמה אזורים, מדיניות האבטחה של Cloud Armor שמשויכת לשירות חלה על מופעים בכל האזורים. בדוגמה הקודמת, מדיניות האבטחה mobile-clients-policy חלה על מכונות 1, 2, 3 ו-4 ב-us-central ועל מכונות 5 ו-6 ב-us-east.

יצירת הדוגמה

כדי ליצור את תצורת הדוגמה שמוסברת בקטע הקודם, פועלים לפי ההוראות הבאות.

המסוף

הגדרת מדיניות האבטחה למשתמשים חיצוניים:

  1. נכנסים לדף Google Cloud Armor policies במסוף Google Cloud .

    מעבר אל כללי המדיניות של Google Cloud Armor

  2. לוחצים על Create policies.

  3. בשדה שם מזינים mobile-clients-policy.

  4. בשדה Description (תיאור) מזינים Policy for external users.

  5. בקטע פעולת ברירת מחדל של כלל, בוחרים באפשרות דחייה.

  6. בקטע סטטוס דחייה, בוחרים באפשרות 404 (לא נמצא).

  7. לוחצים על השלב הבא.

מוסיפים עוד כללים:

  1. לוחצים על הוספת כלל.
  2. בשדה Description (תיאור) מזינים allow traffic from 192.0.2.0/24.
  3. בקטע Mode (מצב), בוחרים באפשרות Basic mode (IP addresses/ranges only) (מצב בסיסי (כתובות IP או טווחי כתובות IP בלבד)).
  4. בשדה התאמה, מזינים 192.0.2.0/24.
  5. בקטע פעולה, בוחרים באפשרות אישור.
  6. בשדה עדיפות מזינים 1000.
  7. לוחצים על סיום.
  8. לוחצים על השלב הבא.

החלת המדיניות על יעדים:

  1. לוחצים על הוספת יעד.
  2. ברשימה יעד, בוחרים יעד.
  3. לוחצים על סיום.
  4. לוחצים על יצירת מדיניות.

אפשר גם להפעיל את התכונה 'הגנה דינמית' של Google Cloud Armor:

  1. כדי להפעיל את ההגנה הדינמית, מסמנים את התיבה הפעלה.

מגדירים את מדיניות האבטחה למשתמשים פנימיים:

  1. לוחצים על Create policies.
  2. בשדה שם מזינים internal-users-policy.
  3. בשדה Description (תיאור) מזינים Policy for internal test users.
  4. בקטע פעולת ברירת מחדל של כלל, בוחרים באפשרות דחייה.
  5. בשדה סטטוס הדחייה, בוחרים באפשרות 502 (שער שגוי).
  6. לוחצים על השלב הבא.

מוסיפים עוד כללים:

  1. לוחצים על הוספת כלל.
  2. בשדה Description (תיאור) מזינים allow traffic from 198.51.100.0/24.
  3. בקטע Mode (מצב), בוחרים באפשרות Basic mode (IP addresses/ranges only) (מצב בסיסי (כתובות IP או טווחי כתובות IP בלבד)).
  4. בשדה התאמה, מזינים 198.51.100.0/24.
  5. בקטע פעולה, בוחרים באפשרות אישור.
  6. כדי להפעיל את האפשרות תצוגה מקדימה בלבד, מסמנים את תיבת הסימון הפעלה.
  7. בשדה עדיפות מזינים 1000.
  8. לוחצים על סיום.
  9. לוחצים על השלב הבא.

החלת המדיניות על יעדים:

  1. לוחצים על הוספת יעד.
  2. ברשימה יעד, בוחרים יעד.
  3. לוחצים על סיום.
  4. לוחצים על יצירת מדיניות.

gcloud

  1. יוצרים את כללי מדיניות האבטחה של Cloud Armor:

    gcloud compute security-policies create mobile-clients-policy \
    --description "policy for external users"

    gcloud compute security-policies create internal-users-policy \
    --description "policy for internal test users"

  2. מעדכנים את כללי ברירת המחדל במדיניות האבטחה כדי לדחות תנועה:

    gcloud compute security-policies rules update 2147483647 \
    --security-policy mobile-clients-policy \
    --action "deny-404"

    gcloud compute security-policies rules update 2147483647 \
    --security-policy internal-users-policy \
    --action "deny-502"

  3. הוספת כללים למדיניות האבטחה:

    gcloud compute security-policies rules create 1000 \
    --security-policy mobile-clients-policy \
    --description "allow traffic from 192.0.2.0/24" \
    --src-ip-ranges "192.0.2.0/24" \
    --action "allow"

    gcloud compute security-policies rules create 1000 \
    --security-policy internal-users-policy \
    --description "allow traffic from 198.51.100.0/24" \
    --src-ip-ranges "198.51.100.0/24" \
    --action "allow"

  4. מצרפים את מדיניות האבטחה לשירותים לקצה העורפי:

    gcloud compute backend-services update games \
    --security-policy mobile-clients-policy

    gcloud compute backend-services update test-network \
    --security-policy internal-users-policy

  5. אופציונלי: מפעילים את ההגנה הדינמית:

    gcloud compute security-policies update mobile-clients-policy \
    --enable-layer7-ddos-defense

    gcloud compute security-policies update internal-users-policy \
    --enable-layer7-ddos-defense

יצירת מדיניות אבטחה

אפשר להשתמש במסוף Google Cloud או ב-CLI של gcloud כדי ליצור מדיניות אבטחה. ההוראות בקטע הזה מניחות שאתם מגדירים מדיניות אבטחה שתחול על מאזן עומסים חיצוני גלובלי קיים של אפליקציות או על מאזן עומסים קלאסי של אפליקציות ושירות לקצה העורפי. דוגמה לאופן מילוי השדות מופיעה בקטע יצירת הדוגמה.

המסוף

יצירת כללי מדיניות אבטחה וכללים ב-Cloud Armor וצירוף כללי מדיניות אבטחה לשירות קצה עורפי:

  1. נכנסים לדף Google Cloud Armor policies במסוף Google Cloud .

    מעבר אל כללי המדיניות של Google Cloud Armor

  2. לוחצים על Create policies.

  3. בשדה Name, מזינים את שם המדיניות.

  4. אופציונלי: מזינים תיאור של המדיניות.

  5. בקטע סוג המדיניות בוחרים באפשרות מדיניות אבטחה של ה-Backend או מדיניות אבטחה של Edge.

  6. בקטע פעולת ברירת מחדל של כלל, בוחרים באפשרות אישור כדי להגדיר כלל ברירת מחדל שמאפשר גישה, או באפשרות דחייה כדי להגדיר כלל ברירת מחדל שאוסר גישה לכתובת IP או לטווח כתובות IP.

    כלל ברירת המחדל הוא כלל בעדיפות הכי נמוכה, והוא נכנס לתוקף רק אם אף כלל אחר לא חל.

  7. אם מגדירים כלל Deny, בוחרים הודעה לDeny status. זו הודעת השגיאה שמוצגת ב-Cloud Armor אם משתמש ללא גישה מנסה לקבל גישה.

  8. לא משנה איזה סוג כלל מגדירים, לוחצים על השלב הבא.

מוסיפים עוד כללים:

  1. לוחצים על הוספת כלל.
  2. אופציונלי: מזינים תיאור לכלל.

  3. בוחרים מצב:

    • מצב בסיסי: מאפשר או דוחה תנועה על סמך כתובות IP או טווחי כתובות IP.
    • מצב מתקדם: מאפשר או דוחה תנועה על סמך ביטויי כללים.

  4. בשדה התאמה, מציינים את התנאים שבהם הכלל חל:

    • מצב בסיסי: מזינים כתובות IP או טווחי כתובות IP שצריכים להתאים לכלל.
    • מצב מתקדם: מזינים ביטוי או ביטויי משנה כדי לבצע הערכה של בקשות נכנסות. במאמר הגדרת מאפייני שפה של כללים מותאמים אישית מוסבר איך לכתוב את הביטויים.

  5. בקטע פעולה, בוחרים באפשרות אישור או דחייה כדי לאשר או לדחות תנועה אם הכלל תואם.

  6. כדי להפעיל את מצב התצוגה המקדימה, מסמנים את תיבת הסימון הפעלה. במצב תצוגה מקדימה, אפשר לראות איך הכלל מתנהג, אבל הכלל לא מופעל.

  7. מזינים את העדיפות של הכלל. הערך יכול להיות כל מספר שלם חיובי בין 0 ל-2,147,483,646, כולל. מידע נוסף על סדר ההערכה מופיע במאמר סדר ההערכה של הכללים.

  8. לוחצים על סיום.

  9. כדי להוסיף עוד כללים, לוחצים על הוספת כלל וחוזרים על השלבים הקודמים. אחרת, לוחצים על השלב הבא.

החלת המדיניות על יעדים:

  1. לוחצים על הוספת יעד.
  2. ברשימה יעד, בוחרים יעד.
  3. כדי להוסיף עוד יעדים, לוחצים על הוספת יעד.
  4. לוחצים על סיום.
  5. לוחצים על יצירת מדיניות.

gcloud

  1. כדי ליצור כללי מדיניות אבטחה חדשים ב-Cloud Armor, משתמשים בפקודה gcloud compute security-policies create.

    בשדה type, משתמשים ב-CLOUD_ARMOR כדי ליצור מדיניות אבטחה של קצה העורפי או ב-CLOUD_ARMOR_EDGE כדי ליצור מדיניות אבטחה של קצה הרשת. הדגל type הוא אופציונלי. אם לא מציינים סוג, נוצרת כברירת מחדל מדיניות אבטחה של ה-Backend:

    gcloud compute security-policies create NAME \
   [--type=CLOUD_ARMOR|CLOUD_ARMOR_EDGE] \
   [--file-format=FILE_FORMAT | --description=DESCRIPTION] \
   [--file-name=FILE_NAME]

    מחליפים את מה שכתוב בשדות הבאים:

    • NAME: השם של מדיניות האבטחה
    • DESCRIPTION: תיאור מדיניות האבטחה

    הפקודה הבאה מעדכנת מדיניות שיצרתם קודם, מפעילה ניתוח של JSON ומשנה את רמת היומן ל-VERBOSE:

    gcloud compute security-policies update my-policy \
    --json-parsing=STANDARD \
    --log-level=VERBOSE

  2. כדי להוסיף כללים למדיניות אבטחה, משתמשים בפקודה gcloud compute security-policies rules create PRIORITY.

    gcloud compute security-policies rules create PRIORITY  \
    [--security-policy POLICY_NAME] \
    [--description DESCRIPTION] \
    --src-ip-ranges IP_RANGE,... | --expression EXPRESSION \
    --action=[ allow | deny-403 | deny-404 | deny-502 ] \
    [--preview]

    מחליפים את PRIORITY בעדיפות שהוקצתה לכלל במדיניות. מידע על אופן הפעולה של עדיפות הכללים זמין במאמר סדר ההערכה של הכללים.

    לדוגמה, הפקודה הבאה מוסיפה כלל לחסימת תעבורה מטווח כתובות ה-IP‏ 192.0.2.0/24 ו-198.51.100.0/24. לכלל יש עדיפות 1000, והוא כלל במדיניות שנקראת my-policy.

    gcloud compute security-policies rules create 1000 \
    --security-policy my-policy \
    --description "block traffic from 192.0.2.0/24 and 198.51.100.0/24" \
    --src-ip-ranges "192.0.2.0/24","198.51.100.0/24" \
    --action "deny-403"

    אם מוסיפים את הדגל --preview, הכלל נוסף למדיניות אבל לא נאכף, וכל תנועה שמפעילה את הכלל רק נרשמת ביומן.

    gcloud compute security-policies rules create 1000 \
    --security-policy my-policy \
    --description "block traffic from 192.0.2.0/24 and 198.51.100.0/24" \
    --src-ip-ranges "192.0.2.0/24","198.51.100.0/24" \
    --action "deny-403" \
    --preview

    משתמשים בדגל --expression כדי לציין תנאי בהתאמה אישית. מידע נוסף זמין במאמר בנושא הגדרת מאפייני שפה של כללים מותאמים אישית. הפקודה הבאה מוסיפה כלל שמאפשר תנועה מכתובת ה-IP‏ 1.2.3.4 ומכילה את המחרוזת example בכותרת user-agent:

    gcloud compute security-policies rules create 1000 \
    --security-policy my-policy \
    --expression "inIpRange(origin.ip, '1.2.3.4/32') && has(request.headers['user-agent']) && request.headers['user-agent'].contains('example')" \
    --action allow \
    --description "Block User-Agent 'example'"

    הפקודה הבאה מוסיפה כלל לחסימת בקשות אם קובץ ה-Cookie של הבקשה מכיל ערך ספציפי:

    gcloud compute security-policies rules create 1000 \
    --security-policy my-policy \
    --expression "has(request.headers['cookie']) && request.headers['cookie'].contains('cookie_name=cookie_value')" \
    --action "deny-403" \
    --description "Cookie Block"

    הפקודה הבאה מוסיפה כלל לחסימת בקשות מהאזור AU:

    gcloud compute security-policies rules create 1000 \
    --security-policy my-policy \
    --expression "origin.region_code == 'AU'" \
    --action "deny-403" \
    --description "AU block"

    הפקודה הבאה מוסיפה כלל לחסימת בקשות מהאזור AU שלא נמצאות בטווח כתובות ה-IP שצוין:

    gcloud compute security-policies rules create 1000 \
    --security-policy my-policy \
    --expression "origin.region_code == 'AU' && !inIpRange(origin.ip, '1.2.3.0/24')" \
    --action "deny-403" \
    --description "country and IP block"

    הפקודה הבאה מוסיפה כלל לחסימת בקשות עם URI שתואם לביטוי רגולרי:

    gcloud compute security-policies rules create 1000 \
    --security-policy my-policy \
    --expression "request.path.matches('/example_path/')" \
    --action "deny-403" \
    --description "regex block"

    הפקודה הבאה מוסיפה כלל לחסימת בקשות אם הערך המפוענח ב-Base64 של הכותרת user-id מכיל ערך ספציפי:

    gcloud compute security-policies rules create 1000 \
    --security-policy my-policy \
    --expression "has(request.headers['user-id']) && request.headers['user-id'].base64Decode().contains('myValue')" \
    --action "deny-403" \
    --description "country and IP block"

    הפקודה הבאה מוסיפה כלל שמשתמש בקבוצת ביטויים שהוגדרה מראש כדי לצמצם את הסיכון להתקפות SQLi:

    gcloud compute security-policies rules create 1000 \
    --security-policy my-policy \
    --expression "evaluatePreconfiguredWaf('sqli-stable')" \
    --action "deny-403"

    הפקודה הבאה מוסיפה כלל שמשתמש בביטוי שהוגדר מראש כדי לאפשר גישה מכל כתובות ה-IP ברשימת כתובות IP עם שם:

    gcloud compute security-policies rules create 1000 \
    --security-policy my-policy \
    --expression "evaluatePreconfiguredWaf('sourceiplist-fastly')" \
    --action "allow"

הגדרת מדיניות אבטחה למאזני עומסים חיצוניים אזוריים של אפליקציות (ALB)

בקטע הזה מוסבר איך להגדיר מדיניות אבטחה של Cloud Armor בהיקף אזורי למאזני עומסים חיצוניים אזוריים של אפליקציות.

הגנה על עומסי עבודה (workload) מאוזנים אזורית

כדי להגדיר מדיניות אבטחה להגנה על שירות קצה עורפי בהיקף אזורי:

  1. יוצרים מדיניות אבטחה בהיקף אזורי.

    gcloud compute security-policies create POLICY_NAME \
   --type=CLOUD_ARMOR \
   --region=REGION

  2. מצרפים את מדיניות האבטחה בהיקף אזורי לשירות לקצה העורפי בהיקף אזורי. מחליפים את BACKEND_NAME בשם של שירות הקצה העורפי הקיים בהיקף אזורי.

    gcloud compute backend-services update BACKEND_NAME \
   --security-policy=POLICY_NAME \
   --region=REGION

החלת מדיניות אבטחה של Cloud Armor בהיקף אזורי

נניח שאתם אדמינים של אבטחה שרוצים לעמוד בדרישה של מיקום נתונים, שלפיה כל עומסי העבודה של ה-Backend וכללי ה-WAF צריכים להיות פרוסים באזור ספציפי. נניח שביצעתם את הפעולות הבאות מראש:

  1. יצרתם שירותים לקצה עורפי עם איזון עומסים בהיקף אזורי באזור.
  2. השבתתם כללי מדיניות קיימים לאבטחה בהיקף גלובלי בפריסה.
  3. יצרתם מדיניות אבטחה בהיקף אזורי וצירפתם אותה לאותו אזור (כמו בקטע הקודם).

אפשר להוסיף כללי WAF וכללים מתקדמים אחרים למדיניות, תוך עמידה בדרישה, באמצעות פקודות הדוגמה הבאות:

  • הוספת כלל WAF למדיניות:

    gcloud compute security-policies rules create 1000 --action=deny-404 \
  --expression="evaluatePreconfiguredWaf('xss-v33-stable', ['owasp-crs-v030301-id941100-xss', 'owasp-crs-v030301-id941160-xss'])" \
  --security-policy=POLICY_NAME \
  --region=REGION

  • מוסיפים כלל מתקדם למדיניות:

    gcloud compute security-policies rules create 1000 --action=allow \
  --expression="has(request.headers['cookie']) && request.headers['cookie'].contains('80=EXAMPLE')" \
  --security-policy=POLICY_NAME \
  --region=REGION

  • מוסיפים כלל להגבלת קצב של יצירת בקשות למדיניות:

    gcloud compute security-policies rules create 1000 --action=throttle \
  --src-ip-ranges="1.1.1.1/32" \
  --rate-limit-threshold-count=1000 \
  --rate-limit-threshold-interval-sec=120 \
  --conform-action="allow" \
  --exceed-action="deny-429" \
  --enforce-on-key=IP \
  --ban-duration-sec=999 \
  --ban-threshold-count=5000 \
  --ban-threshold-interval-sec=60 \
  --security-policy=POLICY_NAME \
  --region=REGION

המאמרים הבאים