Google Threat Intelligence מאפשר למנויים של Google Cloud Armor Enterprise לאבטח את התנועה שלהם על ידי אישור או חסימה של תנועה למאזני העומסים החיצוניים של האפליקציות שלהם, על סמך כמה קטגוריות של נתוני מודיעין איומי סייבר. הנתונים של Google Threat Intelligence מחולקים לקטגוריות הבאות:
- צמתי יציאה של Tor: Tor היא תוכנת קוד פתוח שמאפשרת תקשורת אנונימית. כדי להחריג משתמשים שמסתירים את הזהות שלהם, חוסמים את כתובות ה-IP של צמתי היציאה של Tor (נקודות שבהן התנועה יוצאת מרשת Tor).
- כתובות IP זדוניות מוכרות: כתובות IP שצריך לחסום כדי לשפר את מצב האבטחה של האפליקציה, כי ידוע שהתקפות על אפליקציות אינטרנט מגיעות מהן.
- מנועי חיפוש: כתובות IP שאפשר לאשר כדי להפעיל את יצירת האינדקס של האתר.
- ספקי VPN: כתובות IP שמשמשות ספקי VPN עם מוניטין נמוך. אפשר לחסום את הקטגוריה הזו כדי למנוע ניסיונות לעקוף כללים שמבוססים על כתובות IP.
- שרתי proxy אנונימיים: כתובות IP שמשמשות שרתי proxy אנונימיים מוכרים.
- כורי קריפטו: כתובות IP שמשמשות אתרים ידועים לכריית מטבעות קריפטוגרפיים.
- טווחים של כתובות IP בענן ציבורי: אפשר לחסום את הקטגוריה הזו כדי למנוע מכלים אוטומטיים זדוניים לגלוש באפליקציות אינטרנט, או לאפשר אותה אם השירות שלכם משתמש בעננים ציבוריים אחרים.
כדי להשתמש ב-Google Threat Intelligence, מגדירים כללים של מדיניות אבטחה שמאפשרים או חוסמים תנועה על סמך חלק מהקטגוריות האלה או כולן, באמצעות ביטוי ההתאמה evaluateThreatIntelligence יחד עם שם פיד שמייצג אחת מהקטגוריות הקודמות. בנוסף, אתם צריכים להירשם ל-Cloud Armor Enterprise. מידע נוסף על Cloud Armor Enterprise זמין במאמר סקירה כללית על Cloud Armor Enterprise.
הגדרת Google Threat Intelligence
כדי להשתמש ב-Google Threat Intelligence, צריך להגדיר כללים של מדיניות אבטחה באמצעות evaluateThreatIntelligence('FEED_NAME')ביטוי התאמה, ולספק FEED_NAME על סמך הקטגוריה שרוצים לאפשר או לחסום. המידע בכל פיד מתעדכן כל הזמן, וכך השירותים מוגנים מפני איומים חדשים ללא צורך בביצוע שלבי הגדרה נוספים. אלה הארגומנטים התקינים:
| שם הפיד | תיאור |
|---|---|
iplist-tor-exit-nodes |
תואם לכתובות IP של צמתי יציאה של Tor |
iplist-known-malicious-ips |
התאמה לכתובות IP שידוע שהן משמשות לתקיפת אפליקציות אינטרנט |
iplist-search-engines-crawlers |
תואם לכתובות IP של סורקים של מנועי חיפוש |
iplist-vpn-providers |
התאמה לטווחי כתובות IP שמשמשים ספקי VPN עם מוניטין נמוך |
iplist-anon-proxies |
התאמה לטווחי כתובות IP ששייכים לשרתי proxy אנונימיים פתוחים |
iplist-crypto-miners |
התאמה לטווחי כתובות IP ששייכים לאתרים של כריית מטבעות קריפטוגרפיים |
iplist-cloudflare |
התאמה לטווחים של כתובות IPv4 וIPv6 של שירותי ה-proxy של Cloudflare |
iplist-fastly |
התאמה לטווחים של כתובות IP של שירותי פרוקסי של Fastly |
iplist-imperva |
התאמות לטווחים של כתובות IP של שירותי פרוקסי של Imperva |
iplist-public-clouds
|
התאמה לכתובות IP ששייכות לעננים ציבוריים
|
אפשר להגדיר כלל חדש למדיניות האבטחה באמצעות הפקודה gcloud הבאה, עם FEED_NAME מהטבלה הקודמת וכל ACTION כמו allow, deny או throttle. מידע נוסף על פעולות של כללים זמין במאמר סוגי מדיניות.
gcloud compute security-policies rules create 1000 \
--security-policy=NAME \
--expression="evaluateThreatIntelligence('FEED_NAME')" \
--action="ACTION"
מחליפים את מה שכתוב בשדות הבאים:
-
NAME: השם של מדיניות האבטחה שרוצים להגדיר -
FEED_NAME: שם הפיד מהטבלה הקודמת -
ACTION: הפעולה שתתבצע לפי הכלל, כמוallow,denyאוthrottle
דוגמאות לביטויים של Google Threat Intelligence
- אפשר להשתמש ב-Google Threat Intelligence עם כתובת IP של משתמש.
בדוגמה הבאה של פקודה נעשה שימוש בשם הפיד iplist-tor-exit-nodes עם כתובת ה-IP של המשתמש שהפעיל את הקריאה:
evaluateThreatIntelligence('iplist-tor-exit-nodes', origin.user_ip)
מידע נוסף זמין במאמר סקירה כללית של כתובות ה-IP של המשתמשים.
- אתם יכולים למנוע מ-Google Threat Intelligence לחסום כתובת IP ספציפית או טווח כתובות IP על ידי הוספת הכתובת לרשימת ההחרגות.
בדוגמת הפקודה הבאה נעשה שימוש בשם הפיד iplist-known-malicious-ips:
evaluateThreatIntelligence('iplist-known-malicious-ips', ['ADDRESS'])
מחליפים את ADDRESS בכתובת או בטווח הכתובות שרוצים להחריג.
- אפשר להשתמש ב-Google Threat Intelligence עם כתובת IP של משתמש. מוסיפים כתובת IP או טווח כתובות לרשימת ההחרגות כדי למנוע את החסימה שלהם על ידי Google Threat Intelligence.
בדוגמת הפקודה הבאה נעשה שימוש בשם הפיד iplist-known-malicious-ips עם כתובת IP של משתמש:
evaluateThreatIntelligence('iplist-known-malicious-ips', origin.user_ip, ['ADDRESS'])
שימוש ברשימות של כתובות IP עם שמות
רשימות של כתובות IP עם שמות ב-Cloud Armor מאפשרות לכם להפנות לרשימות של כתובות IP וטווחים של כתובות IP שמתוחזקות על ידי ספקי צד שלישי. אפשר להגדיר רשימות של כתובות IP עם שמות במסגרת מדיניות אבטחה. אין צורך לציין ידנית כל כתובת IP או טווח כתובות IP בנפרד.
במסמך הזה, המונחים כתובת IP ורשימת כתובות IP כוללים טווחי כתובות IP.
רשימות של כתובות IP עם שמות הן רשימות של כתובות IP שמקובצות תחת שמות שונים. השם מתייחס בדרך כלל לספק. רשימות של כתובות IP עם שם לא כפופות למגבלת המכסה על מספר כתובות ה-IP לכל כלל.
רשימות של כתובות IP עם שמות הן לא מדיניות אבטחה. אתם משלבים אותם במדיניות אבטחה על ידי הפניה אליהם כאל ביטויים, באותו אופן שבו אתם מפנים אל כלל שהוגדר מראש.
לדוגמה, אם לספק צד שלישי יש רשימת כתובות IP {ip1, ip2,
ip3....ip_N_} בשם provider-a, אפשר ליצור כלל אבטחה שמאפשר את כל כתובות ה-IP שנמצאות ברשימה provider-a ומוציא מכלל זה כתובות IP שלא נמצאות ברשימה הזו:
gcloud beta compute security-policies rules create 1000 \
--security-policy POLICY_NAME \
--expression "evaluatePreconfiguredExpr('provider-a')" \
--action "allow"
מחליפים את POLICY_NAME בשם של מדיניות האבטחה שרוצים להגדיר.
אי אפשר ליצור רשימות מותאמות אישית של כתובות IP עם שמות. התכונה הזו זמינה רק לגבי רשימות של כתובות IP עם שמות שמנוהלות על ידי ספקי צד שלישי שמשתפים פעולה עם Google. אם רשימות כאלה של כתובות IP עם שמות לא עונות על הצרכים שלכם, אתם יכולים ליצור מדיניות אבטחה שבה הכללים מאפשרים או דוחים גישה למשאבים שלכם על סמך כתובת ה-IP שממנה מגיעות הבקשות. מידע נוסף מופיע במאמר בנושא הגדרת מדיניות אבטחה ב-Cloud Armor.
כדי להשתמש ברשימות של כתובות IP עם שמות, צריך להירשם ל-Google Cloud Armor Enterprise ולרשום פרויקטים ב-Cloud Armor Enterprise. מידע נוסף זמין במאמר בנושא זמינות של רשימות של כתובות IP עם שמות.
התרת תנועה רק מספקי צד שלישי מורשים
תרחיש שימוש אופייני הוא יצירת רשימת היתרים שמכילה את כתובות ה-IP של שותף צד-שלישי מורשה, כדי להבטיח שרק תעבורה שמגיעה מהשותף הזה תוכל לגשת למאזן העומסים ולשרתים העורפיים.
לדוגמה, ספקי CDN צריכים לשלוף תוכן משרתי מקור במרווחי זמן קבועים כדי להפיץ אותו למטמון שלהם. שותפות עם Google מספקת חיבור ישיר בין ספקי CDN לבין קצה הרשת של Google. משתמשי CDN ב- Google Cloud יכולים להשתמש בחיבור הישיר הזה במהלך שליפות מהמקור. במקרה כזה, יכול להיות שהמשתמש ב-CDN ירצה ליצור מדיניות אבטחה שתאפשר רק תנועה שמגיעה מספק ה-CDN הספציפי הזה.
בדוגמה הזו, ספק CDN מפרסם את רשימת כתובות ה-IP שלו 23.235.32.0/20, 43.249.72.0/22, ⋯,. משתמש ב-CDN מגדיר כלל אבטחה שמאפשר רק תנועה שמגיעה מכתובות ה-IP האלה. לכן, מותרים שני נקודות גישה של ספקי CDN (23.235.32.10 ו-43.249.72.10), והתנועה שלהם מותרת. התנועה מנקודת הגישה הלא מורשית
198.51.100.1 נחסמת.
הגדרות וניהול פשוטים יותר באמצעות כללים שהוגדרו מראש
ספקי CDN משתמשים לעיתים קרובות בכתובות IP מוכרות, שמשתמשים רבים ב-CDN צריכים להשתמש בהן. הרשימות האלה משתנות עם הזמן, כי הספקים מוסיפים, מסירים ומעדכנים את כתובות ה-IP.
שימוש ברשימה של כתובות IP עם שמות בכלל מדיניות אבטחה מפשט את תהליך ההגדרה והניהול של כתובות IP, כי Cloud Armor מסנכרן אוטומטית את המידע מספקי CDN על בסיס יומי. כך נמנעים מהתהליך הארוך והמועד לשגיאות של תחזוקה ידנית של רשימה גדולה של כתובות IP.
הדוגמה הבאה היא של כלל שהוגדר מראש ומאפשר את כל התנועה מספק מסוים:
evaluatePreconfiguredExpr('provider-a') => allow traffic
ספקים של רשימות כתובות IP
ספקי רשימות כתובות ה-IP שמופיעים בטבלה הבאה נתמכים ב-Cloud Armor. אלה ספקי CDN שמשתפים פעולה עם Google. רשימות כתובות ה-IP שלהם מתפרסמות באמצעות כתובות URL ציבוריות נפרדות.
השותפים האלה מספקים רשימות נפרדות של כתובות IPv4 וכתובות IPv6. Cloud Armor משתמש בכתובות ה-URL שצוינו כדי לאחזר רשימות, ואז ממיר את הרשימות לרשימות של כתובות IP עם שמות. השמות שמופיעים בטבלה משמשים להפניה לרשימות.
לדוגמה, הקוד הבא יוצר כלל במדיניות האבטחה POLICY_NAME עם עדיפות 750, משלב את רשימת כתובות ה-IP שנקראת מ-Cloudflare ומאפשר גישה מכתובות ה-IP האלה:
gcloud beta compute security-policies rules create 750 \
--security-policy POLICY_NAME \
--expression "evaluatePreconfiguredExpr('sourceiplist-cloudflare')" \
--action "allow"
מחליפים את POLICY_NAME בשם של מדיניות האבטחה שרוצים להגדיר.
| ספק | כתובות URL | שם רשימת כתובות ה-IP |
|---|---|---|
| Fastly | https://api.fastly.com/public-ip-list |
sourceiplist-fastly |
| Cloudflare |
|
sourceiplist-cloudflare |
| Imperva |
כדי לקבל גישה לרשימה של Imperva, צריך לשלוח
|
sourceiplist-imperva |
כדי להציג רשימה של רשימות כתובות IP עם שמות שהוגדרו מראש, משתמשים בפקודה הזו ב-CLI של gcloud:
gcloud compute security-policies list-preconfigured-expression-sets \
--filter="id:sourceiplist"
הפונקציה מחזירה:
EXPRESSION_SET sourceiplist-fastly sourceiplist-cloudflare sourceiplist-imperva
סנכרון רשימות של כתובות IP
Cloud Armor מסנכרן רשימות של כתובות IP עם כל ספק רק כשהוא מזהה שינויים בפורמט תקין. Cloud Armor מבצע אימות תחביר בסיסי של כתובות ה-IP בכל הרשימות.
זמינות של רשימות כתובות IP עם שמות
Google Cloud Armor Enterprise זמין לכולם. הזמינות של רשימות כתובות IP עם שמות מצדדים שלישיים היא כדלקמן:
- אם יש לכם מינוי למהדורת Google Cloud Armor Enterprise, יש לכם רישיון להשתמש ברשימות של כתובות IP עם שמות בפרויקטים שרשומים במינוי. אתם יכולים ליצור, לעדכן ולמחוק כללים עם רשימות של כתובות IP עם שמות.
- אם המינוי שלכם ל-Google Cloud Armor Enterprise יפוג, או אם תחזרו לרמה Standard מסיבה אחרת, לא תוכלו להוסיף או לשנות כללים עם רשימות של כתובות IP בעלות שם, אבל תוכלו למחוק כללים קיימים ולעדכן כללים כדי להסיר רשימת כתובות IP בעלת שם.
- בפרויקטים שכבר כוללים כללים עם רשימות כתובות IP בעלות שם, ושלא נרשמתם ל-Google Cloud Armor Enterprise, אתם יכולים להמשיך להשתמש בכללים קיימים עם רשימות כתובות IP בעלות שם, לעדכן אותם ולמחוק אותם. בפרויקטים כאלה, אפשר ליצור כללים חדשים שמשלבים רשימות של כתובות IP עם שמות.