Esta página foi traduzida pela API Cloud Translation.

Aplicar o Google Threat Intelligence

Com o Google Threat Intelligence, os assinantes do Google Cloud Armor Enterprise protegem o tráfego permitindo ou bloqueando o tráfego para os balanceadores de carga de aplicativo externos com base em várias categorias de dados de inteligência de ameaças. Os dados do Google Threat Intelligence são divididos nas seguintes categorias:

Nós de saída da Tor: o Tor é um software de código aberto que possibilita a comunicação anônima. Para excluir usuários que ocultam a identidade deles, bloqueie os endereços IP dos nós de saída do Tor (pontos em que o tráfego sai da rede).
Endereços IP mal-intencionados conhecidos: endereços IP que precisam ser bloqueados para melhorar a postura de segurança do seu aplicativo, porque os ataques a aplicativos da web são originários deles.
Mecanismos de pesquisa: endereços IP que podem ser permitidos para ativar a indexação do site.
Provedores de VPN: endereços IP usados por provedores de VPN de baixa reputação. Essa categoria pode ser bloqueada para negar tentativas de burlar regras baseadas em endereços IP.
Proxies anônimos: endereços IP usados por proxies anônimos conhecidos.
Mineradores de criptomoedas: endereços IP usados por sites conhecidos de mineração de criptomoedas.
Intervalos de endereços IP públicos da nuvem: esta categoria pode ser bloqueada para evitar que ferramentas automatizadas mal-intencionadas procurem aplicativos da web ou permitida se o serviço usar outras nuvens públicas.

Para usar o Google Threat Intelligence, defina regras de política de segurança que permitam ou bloqueiem o tráfego com base em algumas ou em todas essas categorias usando a expressão de correspondência evaluateThreatIntelligence e um nome de feed que representa uma das categorias acima. Além disso, você precisa assinar o Cloud Armor Enterprise. Para mais informações sobre o Cloud Armor Enterprise, consulte a visão geral do Cloud Armor Enterprise.

Configurar o Google Threat Intelligence

Para usar o Google Threat Intelligence, configure regras de política de segurança usando a expressão de correspondência evaluateThreatIntelligence('FEED_NAME'), fornecendo um FEED_NAME com base na categoria que você quer permitir ou bloquear. As informações de cada feed são atualizadas constantemente, protegendo os serviços de novas ameaças sem etapas de configuração adicionais. Os argumentos válidos têm as características a seguir.

Nome do feed	Descrição
`iplist-tor-exit-nodes`	Corresponde aos endereços IP dos nós de saída do Tor
`iplist-known-malicious-ips`	Corresponde a endereços IP conhecidos por atacar aplicativos da web
`iplist-search-engines-crawlers`	Corresponde aos endereços IP dos rastreadores dos mecanismos de pesquisa
`iplist-vpn-providers`	Corresponde a intervalos de endereços IP usados por provedores de VPN de baixa reputação
`iplist-anon-proxies`	Corresponde a intervalos de endereços IP que pertencem a proxies anônimos abertos
`iplist-crypto-miners`	Corresponde a intervalos de endereços IP que pertencem a sites de mineração de criptomoedas
`iplist-cloudflare`	Corresponde aos intervalos de endereços IPv4 e IPv6 dos serviços de proxy do Cloudflare
`iplist-fastly`	Corresponde a intervalos de endereços IP dos serviços de proxy do Fastly
`iplist-imperva`	Corresponde aos intervalos de endereços IP dos serviços de proxy do Imperva
`iplist-public-clouds` `iplist-public-clouds-aws` `iplist-public-clouds-azure` `iplist-public-clouds-gcp`	Corresponde a endereços IP que pertencem às nuvens públicas Corresponde aos intervalos de endereços IP usados pela Amazon Web Services Corresponde aos intervalos de endereços IP usados pelo Microsoft Azure Corresponde aos intervalos de endereços IP usados pelo Google Cloud

É possível configurar uma nova regra de política de segurança usando o comando gcloud a seguir, com um FEED_NAME da tabela anterior e qualquer ACTION (como allow, deny ou throttle). Para mais informações sobre as ações de regras, consulte os tipos de política.

gcloud compute security-policies rules create 1000 \
    --security-policy=NAME \
    --expression="evaluateThreatIntelligence('FEED_NAME')" \
    --action="ACTION"

Substitua:

NAME: o nome da política de segurança que você quer configurar
FEED_NAME: o nome do feed da tabela anterior
ACTION: a ação a ser tomada para a regra, como allow, deny ou throttle.

Exemplos de expressões do Google Threat Intelligence

É possível usar o Google Threat Intelligence com um IP de usuário.

O comando de exemplo a seguir usa o nome do feed iplist-tor-exit-nodes com o IP do usuário de um autor da chamada:

    evaluateThreatIntelligence('iplist-tor-exit-nodes', origin.user_ip)

Para mais informações, consulte Visão geral dos endereços IP de usuários.

Para impedir que o Google Threat Intelligence bloqueie um endereço IP ou intervalo de endereços IP específico, adicione o endereço à lista de exclusão.

O comando de exemplo a seguir usa o nome do feed iplist-known-malicious-ips:

    evaluateThreatIntelligence('iplist-known-malicious-ips', ['ADDRESS'])

Substitua ADDRESS pelo endereço ou intervalo de endereços que você quer excluir.

É possível usar o Google Threat Intelligence com um IP de usuário. Adicione um endereço IP ou um intervalo de endereços IP à lista de exclusão para impedir que o Google Threat Intelligence o bloqueie.

O comando de exemplo a seguir usa o nome do feed iplist-known-malicious-ips com um IP do usuário:

    evaluateThreatIntelligence('iplist-known-malicious-ips', origin.user_ip, ['ADDRESS'])

Usar listas de endereços IP nomeadas

As listas de endereços IP nomeados do Cloud Armor permitem que você faça referência a listas de endereços IP e intervalos de IP que são mantidos por provedores terceirizados. É possível configurar listas de endereços IP nomeados em uma política de segurança. Não é necessário especificar manualmente cada endereço IP ou intervalo de IP individualmente.

Neste documento, os termos endereço IP e lista de endereços IP incluem intervalos de endereços IP.

As listas de endereços IP nomeadas são listas de endereços IP agrupadas em nomes diferentes. O nome geralmente se refere ao provedor. As listas de endereços IP nomeadas não estão sujeitas ao limite de cota quanto ao número de endereços IP por regra.

As listas de endereços IP nomeadas não são políticas de segurança. Você as incorpora a uma política de segurança fazendo referência a elas como expressões da mesma forma que faz referência a uma regra pré-configurada.

Por exemplo, se um provedor terceirizado tiver uma lista de endereços IP de {ip1, ip2, ip3....ip_N_} com o nome provider-a, você poderá criar uma regra de segurança que permita todos os endereços IP que estão na lista provider-a. e exclui os endereços IP que não estão nessa lista:

gcloud beta compute security-policies rules create 1000 \
    --security-policy POLICY_NAME \
    --expression "evaluatePreconfiguredExpr('provider-a')" \
    --action "allow"

Substitua POLICY_NAME pelo nome da política de segurança que você quer configurar.

Não é possível criar listas de endereços IP personalizadas. Esse recurso está disponível apenas em relação às listas de endereços IP nomeadas, mantidas por provedores terceirizados que fazem parceria com o Google. Se essas listas não atenderem às suas necessidades, crie uma política de segurança em que as regras permitam ou neguem acesso aos recursos com base no endereço IP de origem das solicitações. Saiba mais em Configurar políticas de segurança do Cloud Armor.

Para usar listas de endereços IP nomeados, você precisa se inscrever no Google Cloud Armor Enterprise e inscrever projetos nele. Para mais informações, consulte Disponibilidade de listas de endereços IP nomeadas.

Como permitir tráfego apenas de provedores de terceiros autorizados

Um caso de uso típico é criar uma lista de permissões contendo os endereços IP de um parceiro terceirizado permitido para garantir que apenas o tráfego proveniente desse parceiro possa acessar o balanceador de carga e os back-ends.

Por exemplo, os provedores de CDN precisam receber conteúdo dos servidores de origem em intervalos regulares para distribuí-los aos próprios caches. Uma parceria com o Google fornece uma conexão direta entre provedores de CDN e a borda de rede do Google. Os usuários da CDN no Google Cloud podem usar essa conexão direta durante pulls de origem. Nesse caso, o usuário da CDN pode querer criar uma política de segurança que permita apenas o tráfego proveniente desse provedor de CDN específico.

Neste exemplo, um provedor de CDN publica a lista de endereços IP 23.235.32.0/20, 43.249.72.0/22, ⋯,. Um usuário do CDN configura uma regra de segurança que permite apenas o tráfego proveniente desses endereços IP. Como resultado, dois pontos de acesso do provedor de CDN são permitidos (23.235.32.10 e 43.249.72.10). Assim, o tráfego deles é permitido. O tráfego do ponto de acesso não autorizado 198.51.100.1 fica bloqueado.

Endereço IP nomeado do Cloud Armor. — Endereço IP nomeado do Cloud Armor (clique para ampliar).

Como simplificar a configuração e o gerenciamento usando regras pré-configuradas

Os provedores de CDN geralmente usam endereços IP conhecidos e que muitos usuários de CDN precisam usar. Essas listas mudam com o tempo, à medida que os provedores adicionam, removem e atualizam os endereços IP.

Usar uma lista de endereços IP nomeada em uma regra de política de segurança simplifica o processo de configuração e gerenciamento de endereços IP, porque o Google Cloud Armor sincroniza de forma automática as informações recebidas diariamente dos provedores de CDN. Isso elimina o processo demorado e propenso a erros de manter uma grande lista de endereços IP manualmente.

Veja a seguir um exemplo de regra pré-configurada que permite todo o tráfego de um provedor:

evaluatePreconfiguredExpr('provider-a') => allow traffic

Provedores de lista de endereços IP

Os provedores de lista de endereços IP na tabela a seguir são compatíveis com o Google Cloud Armor. Estes são provedores de CDN que firmaram parceria com o Google. Suas listas de endereços IP são publicadas por meio de URLs públicos individuais.

Esses parceiros fornecem listas separadas de endereços IPv4 e de endereços IPv6. O Google Cloud Armor usa os URLs fornecidos para buscar listas e, em seguida, converte-as em listas de endereços IP nomeados. Você fará referência às listas pelos nomes da tabela.

Por exemplo, o comando a seguir cria uma regra na política de segurança POLICY_NAME com prioridade 750, incorporando a lista de IPs nomeada do Cloudflare e permitindo o acesso a esses endereços IP:

gcloud beta compute security-policies rules create 750 \
    --security-policy POLICY_NAME \
    --expression "evaluatePreconfiguredExpr('sourceiplist-cloudflare')" \
    --action "allow"

Substitua POLICY_NAME pelo nome da política de segurança que você quer configurar.

Provedor URLs Nome da lista de endereços IP

Fastly https://api.fastly.com/public-ip-list sourceiplist-fastly

Cloudflare

Provedor	URLs	Nome da lista de endereços IP
Fastly	`https://api.fastly.com/public-ip-list`	`sourceiplist-fastly`
Cloudflare	`https://www.cloudflare.com/ips-v4` `https://www.cloudflare.com/ips-v6`	`sourceiplist-cloudflare`
Imperva	`https://my.imperva.com/api/integration/v1/ips` O acesso à lista do Imperva requer uma solicitação `POST`. Também é possível usar o seguinte comando: `curl -d "" https://my.imperva.com/api/integration/v1/ips`	`sourceiplist-imperva`

https://www.cloudflare.com/ips-v4

https://www.cloudflare.com/ips-v6

sourceiplist-cloudflare

Imperva

https://my.imperva.com/api/integration/v1/ips

O acesso à lista do Imperva requer uma solicitação POST. Também é possível usar o seguinte comando:

curl -d "" https://my.imperva.com/api/integration/v1/ips

sourceiplist-imperva

Para listar as listas de endereços IP nomeadas pré-configuradas, use este comando da gcloud CLI:

gcloud compute security-policies list-preconfigured-expression-sets \
    --filter="id:sourceiplist"

Isso retorna:

EXPRESSION_SET
sourceiplist-fastly
sourceiplist-cloudflare
sourceiplist-imperva

Como sincronizar listas de endereços IP

O Google Cloud Armor sincroniza listas de endereços IP com cada provedor somente quando detecta alterações em um formato válido. O Cloud Armor realiza uma validação de sintaxe básica nos endereços IP de todas as listas.

Disponibilidade de listas de endereços IP nomeadas

O Google Cloud Armor Enterprise está em disponibilidade geral. A disponibilidade das listas de endereços IP nomeados de terceiros é a seguinte:

Se você estiver inscrito no nível Enterprise do Google Cloud Armor Enterprise, será necessário usar listas de endereços IP nomeadas em projetos inscritos. É possível criar, atualizar e excluir regras com listas de endereços IP nomeadas.
Se a assinatura do nível Google Cloud Armor Enterprise expirar ou você retornar ao nível Standard, não será possível adicionar ou modificar regras com listas de endereços IP nomeadas. No entanto, será possível excluir regras existentes e atualizar regras para remover um nome nomeado. Lista de IPs.
Em projetos que já incluem regras com listas de endereços IP nomeadas, mas que você não registrou no Google Cloud Armor Enterprise, você pode continuar a usar, atualizar e excluir regras existentes com listas de endereços IP nomeadas. Nesses projetos, é possível criar novas regras que incorporam listas de endereços IP nomeadas.