Applica Google Threat Intelligence

Google Threat Intelligence consente agli abbonati a Google Cloud Armor Enterprise di proteggere il proprio traffico consentendo o bloccando il traffico verso i propri bilanciatori del carico delle applicazioni esterni in base a diverse categorie di dati di threat intelligence. I dati di Google Threat Intelligence sono suddivisi nelle seguenti categorie:

Nodi di uscita Tor: Tor è un software open source che consente la comunicazione anonima. Per escludere gli utenti che nascondono la propria identità, blocca gli indirizzi IP dei nodi di uscita Tor (i punti in cui il traffico esce dalla rete Tor).
Indirizzi IP dannosi noti: indirizzi IP da bloccare per migliorare la security posture dell'applicazione perché è noto che gli attacchi alle applicazioni web hanno origine da questi indirizzi.
Motori di ricerca: indirizzi IP che puoi consentire per abilitare l'indicizzazione del sito.
Provider VPN: indirizzi IP utilizzati da provider VPN con reputazione bassa. Questa categoria può essere bloccata per impedire tentativi di aggirare le regole basate sugli indirizzi IP.
Proxy anonimi: indirizzi IP utilizzati da proxy anonimi noti.
Miner di criptovalute: indirizzi IP utilizzati da siti web di mining di criptovalute noti.
Intervalli di indirizzi IP cloud pubblici: questa categoria può essere bloccata per impedire a strumenti automatizzati dannosi di navigare nelle applicazioni web o consentita se il tuo servizio utilizza altri cloud pubblici.

Per utilizzare Google Threat Intelligence, definisci regole delle policy di sicurezza che consentono o bloccano il traffico in base ad alcune o a tutte di queste categorie utilizzando l'espressione di corrispondenza evaluateThreatIntelligence insieme a un nome feed che rappresenta una delle categorie precedenti. Inoltre, devi abbonarti a Cloud Armor Enterprise. Per saperne di più su Cloud Armor Enterprise, consulta la Panoramica di Cloud Armor Enterprise.

Configura Google Threat Intelligence

Per utilizzare Google Threat Intelligence, configura le regole delle policy di sicurezza utilizzando l'espressione di corrispondenza evaluateThreatIntelligence('FEED_NAME'), fornendo un FEED_NAME in base alla categoria che vuoi consentire o bloccare. Le informazioni all'interno di ogni feed vengono aggiornate continuamente, proteggendo i servizi da nuove minacce senza necessità di ulteriori passaggi di configurazione. Gli argomenti validi sono i seguenti.

Nome feed	Descrizione
`iplist-tor-exit-nodes`	Corrisponde agli indirizzi IP dei nodi di uscita Tor
`iplist-known-malicious-ips`	Corrisponde agli indirizzi IP noti per gli attacchi alle applicazioni web
`iplist-search-engines-crawlers`	Corrisponde agli indirizzi IP dei crawler dei motori di ricerca
`iplist-vpn-providers`	Corrisponde agli intervalli di indirizzi IP utilizzati da provider VPN con reputazione bassa
`iplist-anon-proxies`	Corrisponde agli intervalli di indirizzi IP appartenenti a proxy anonimi aperti
`iplist-crypto-miners`	Corrisponde agli intervalli di indirizzi IP appartenenti a siti di cryptomining
`iplist-cloudflare`	Corrisponde agli intervalli di indirizzi IPv4 e IPv6 dei servizi di proxy Cloudflare
`iplist-fastly`	Corrisponde agli intervalli di indirizzi IP dei servizi di proxy Fastly
`iplist-imperva`	Corrisponde agli intervalli di indirizzi IP dei servizi di proxy Imperva
`iplist-public-clouds` `iplist-public-clouds-aws` `iplist-public-clouds-azure` `iplist-public-clouds-gcp`	Corrisponde agli indirizzi IP appartenenti ai cloud pubblici Corrisponde agli intervalli di indirizzi IP utilizzati da Amazon Web Services Corrisponde agli intervalli di indirizzi IP utilizzati da Microsoft Azure Corrisponde agli intervalli di indirizzi IP utilizzati da Google Cloud

Puoi configurare una nuova regola delle policy di sicurezza utilizzando il comando gcloud, con un FEED_NAME della tabella precedente e qualsiasi ACTION come allow, deny o throttle. Per saperne di più sulle azioni delle regole, consulta i tipi di policy.

gcloud compute security-policies rules create 1000 \
    --security-policy=NAME \
    --expression="evaluateThreatIntelligence('FEED_NAME')" \
    --action="ACTION"

Sostituisci quanto segue:

NAME: il nome della policy di sicurezza che vuoi configurare
FEED_NAME: il nome del feed della tabella precedente
ACTION: l'azione da intraprendere per la regola, ad esempio allow, deny o throttle

Esempi di espressioni di Google Threat Intelligence

Puoi utilizzare Google Threat Intelligence con un IP utente.

Il seguente comando di esempio utilizza il nome del feed iplist-tor-exit-nodes con l'IP utente del chiamante:

    evaluateThreatIntelligence('iplist-tor-exit-nodes', origin.user_ip)

Per saperne di più, consulta Panoramica degli indirizzi IP utente.

Puoi impedire a Google Threat Intelligence di bloccare un indirizzo IP o un intervallo di indirizzi IP specifico aggiungendo l'indirizzo all'elenco di esclusione.

Il seguente comando di esempio utilizza il nome del feed iplist-known-malicious-ips:

    evaluateThreatIntelligence('iplist-known-malicious-ips', ['ADDRESS'])

Sostituisci ADDRESS con l'indirizzo o l'intervallo di indirizzi che vuoi escludere.

Puoi utilizzare Google Threat Intelligence con un IP utente. Aggiungi un indirizzo IP o un intervallo di indirizzi IP all'elenco di esclusione per impedire che Google Threat Intelligence lo blocchi.

Il seguente comando di esempio utilizza il nome del feed iplist-known-malicious-ips con un IP utente:

    evaluateThreatIntelligence('iplist-known-malicious-ips', origin.user_ip, ['ADDRESS'])

Utilizza elenchi di indirizzi IP denominati

Gli elenchi di indirizzi IP denominati di Cloud Armor ti consentono di fare riferimento a elenchi di indirizzi IP e intervalli IP gestiti da provider di terze parti. Puoi configurare elenchi di indirizzi IP denominati all'interno di una policy di sicurezza. Non è necessario specificare manualmente ogni indirizzo IP o intervallo IP singolarmente.

In questo documento, i termini indirizzo IP ed elenco di indirizzi IP includono gli intervalli di indirizzi IP.

Gli elenchi di indirizzi IP denominati sono elenchi di indirizzi IP raggruppati con nomi diversi. Il nome in genere fa riferimento al provider. Gli elenchi di indirizzi IP denominati non sono soggetti al limite di quota sul numero di indirizzi IP per regola.

Gli elenchi di indirizzi IP denominati non sono policy di sicurezza. Vanno incorporati in una policy di sicurezza facendovi riferimento come espressioni nello stesso modo in cui fai riferimento a una regola preconfigurata.

Ad esempio, se un provider di terze parti ha un elenco di indirizzi IP {ip1, ip2, ip3....ip_N_} denominato provider-a, puoi creare una regola di sicurezza che consenta tutti gli indirizzi IP presenti nell'elenco provider-a ed escluda gli indirizzi IP non presenti nell'elenco:

gcloud beta compute security-policies rules create 1000 \
    --security-policy POLICY_NAME \
    --expression "evaluatePreconfiguredExpr('provider-a')" \
    --action "allow"

Sostituisci POLICY_NAME con il nome della policy di sicurezza che vuoi configurare.

Non puoi creare elenchi di indirizzi IP denominati personalizzati. Questa funzionalità è disponibile solo per gli elenchi di indirizzi IP denominati gestiti da provider di terze parti che collaborano con Google. Se questi elenchi di indirizzi IP denominati non soddisfano le tue esigenze, puoi creare una policy di sicurezza in cui le regole consentono o negano l'accesso alle tue risorse in base all'indirizzo IP da cui provengono le richieste. Per saperne di più, consulta Configura le policy di sicurezza di Cloud Armor.

Per utilizzare gli elenchi di indirizzi IP denominati, devi abbonarti a Google Cloud Armor Enterprise e registrare i progetti in Cloud Armor Enterprise. Per saperne di più, consulta Disponibilità degli elenchi di indirizzi IP denominati.

Consentire il traffico solo da fornitori di terze parti autorizzati

Un caso d'uso tipico è la creazione di una lista consentita contenente gli indirizzi IP di un partner di terze parti autorizzato per garantire che solo il traffico proveniente da questo partner possa accedere al bilanciatore del carico e ai backend.

Ad esempio, i provider CDN devono estrarre i contenuti dai server di origine a intervalli regolari per distribuirli alle proprie cache. Una partnership con Google fornisce una connessione diretta tra i provider CDN e il perimetro della rete Google. Gli utenti CDN su Google Cloud possono utilizzare questa connessione diretta durante i pull di origine. In questo caso, l'utente CDN potrebbe voler creare una policy di sicurezza che consenta solo il traffico proveniente da quel particolare provider CDN.

In questo esempio, un provider CDN pubblica il proprio elenco di indirizzi IP 23.235.32.0/20, 43.249.72.0/22, ⋯,. Un utente CDN configura una regola di sicurezza che consente solo il traffico proveniente da questi indirizzi IP. Di conseguenza, sono consentiti due punti di accesso del provider CDN (23.235.32.10 e 43.249.72.10) e il loro traffico è quindi autorizzato. Il traffico dal punto di accesso non autorizzato 198.51.100.1 viene bloccato.

Indirizzo IP denominato Cloud Armor. — Indirizzo IP denominato Cloud Armor (fai clic per ingrandire).

Semplificare la configurazione e la gestione utilizzando regole preconfigurate

I provider CDN spesso utilizzano indirizzi IP noti e che devono essere utilizzati da molti utenti CDN. Questi elenchi cambiano nel tempo man mano che i provider aggiungono, rimuovono e aggiornano gli indirizzi IP.

L'utilizzo di un elenco di indirizzi IP denominato in una regola della policy di sicurezza semplifica il processo di configurazione e gestione degli indirizzi IP perché Cloud Armor sincronizza automaticamente le informazioni dei provider CDN su base giornaliera. In questo modo si elimina il processo lungo e soggetto a errori di gestione manuale di un elenco di indirizzi IP di grandi dimensioni.

Di seguito è riportato un esempio di regola preconfigurata che consente tutto il traffico da un provider:

evaluatePreconfiguredExpr('provider-a') => allow traffic

Provider di elenchi di indirizzi IP

I provider di elenchi di indirizzi IP nella tabella seguente sono supportati per Cloud Armor. Si tratta di provider CDN che hanno stretto una partnership con Google. I loro elenchi di indirizzi IP vengono pubblicati tramite URL pubblici individuali.

Questi partner forniscono elenchi separati di indirizzi IPv4 e IPv6. Cloud Armor utilizza gli URL forniti per recuperare gli elenchi, quindi li converte in elenchi di indirizzi IP denominati. Puoi fare riferimento agli elenchi in base ai nomi nella tabella.

Ad esempio, il seguente codice crea una regola nella policy di sicurezza POLICY_NAME con priorità 750, incorporando l'elenco di indirizzi IP denominati di Cloudflare e consentendo l'accesso da questi indirizzi IP:

gcloud beta compute security-policies rules create 750 \
    --security-policy POLICY_NAME \
    --expression "evaluatePreconfiguredExpr('sourceiplist-cloudflare')" \
    --action "allow"

Sostituisci POLICY_NAME con il nome della policy di sicurezza che vuoi configurare.

Provider URL Nome elenco indirizzi IP

Fastly https://api.fastly.com/public-ip-list sourceiplist-fastly

Cloudflare

Provider	URL	Nome elenco indirizzi IP
Fastly	`https://api.fastly.com/public-ip-list`	`sourceiplist-fastly`
Cloudflare	`https://www.cloudflare.com/ips-v4` `https://www.cloudflare.com/ips-v6`	`sourceiplist-cloudflare`
Imperva	`https://my.imperva.com/api/integration/v1/ips` L'accesso all'elenco di Imperva richiede una richiesta `POST`. Puoi utilizzare anche il seguente comando: `curl -d "" https://my.imperva.com/api/integration/v1/ips`	`sourceiplist-imperva`

https://www.cloudflare.com/ips-v4

https://www.cloudflare.com/ips-v6

sourceiplist-cloudflare

Imperva

https://my.imperva.com/api/integration/v1/ips

L'accesso all'elenco di Imperva richiede una richiesta POST. Puoi utilizzare anche il seguente comando:

curl -d "" https://my.imperva.com/api/integration/v1/ips

sourceiplist-imperva

Per elencare gli elenchi di indirizzi IP denominati preconfigurati, utilizza questo comando gcloud CLI:

gcloud compute security-policies list-preconfigured-expression-sets \
    --filter="id:sourceiplist"

Che restituisce:

EXPRESSION_SET
sourceiplist-fastly
sourceiplist-cloudflare
sourceiplist-imperva

Sincronizzazione degli elenchi di indirizzi IP

Cloud Armor sincronizza gli elenchi di indirizzi IP con ciascun provider solo quando rileva modifiche in un formato valido. Cloud Armor esegue la convalida della sintassi di base sugli indirizzi IP in tutti gli elenchi.

Disponibilità degli elenchi di indirizzi IP denominati

Google Cloud Armor Enterprise è nella fase di disponibilità generale. La disponibilità di elenchi di indirizzi IP denominati di terze parti è la seguente:

Se hai sottoscritto un abbonamento di livello Google Cloud Armor Enterprise, hai la licenza per utilizzare gli elenchi di indirizzi IP denominati nei progetti registrati. Puoi creare, aggiornare ed eliminare regole con elenchi di indirizzi IP denominati.
Se il tuo abbonamento di livello Google Cloud Armor Enterprise scade o se torni al livello Standard, non puoi aggiungere o modificare regole con elenchi di indirizzi IP denominati, ma puoi eliminare le regole esistenti e aggiornarle per rimuovere un elenco di indirizzi IP denominato.
Per i progetti che includono già regole con elenchi di indirizzi IP denominati che non hai registrato in Google Cloud Armor Enterprise, puoi continuare a utilizzare, aggiornare ed eliminare le regole esistenti con elenchi di indirizzi IP denominati. In questi progetti, puoi creare nuove regole che incorporano elenchi di indirizzi IP denominati.