Visão geral das regras de WAF pré-configuradas do Cloud Armor

As regras de WAF pré-configuradas do Google Cloud Armor são regras complexas do firewall de aplicativos da Web (WAF, na sigla em inglês) com dezenas de assinaturas compiladas a partir dos padrões do setor de código aberto. Cada assinatura corresponde a uma regra de detecção de ataque no conjunto de regras. O Google oferece essas regras no estado em que se encontram. Elas permitem que o Cloud Armor avalie dezenas de assinaturas de tráfego distintas consultando regras com nomes convenientes, em vez de exigir que você defina cada assinatura manualmente.

As regras de WAF pré-configuradas do Google Cloud Armor podem ser ajustadas para atender melhor às suas necessidades. Para mais informações sobre como ajustar as regras, consulte Ajustar as regras de WAF pré-configuradas do Google Cloud Armor.

A tabela a seguir contém uma lista abrangente de regras de WAF pré-configuradas que estão disponíveis para uso em uma política de segurança do Cloud Armor. Essas regras são baseadas no conjunto de regras principais (CRS) do OWASP ModSecurity, como o conjunto de regras principais do OWASP 4.22. Recomendamos usar a versão 4.22 para ter a proteção mais atualizada contra ameaças modernas. A compatibilidade com o CRS 3.3 e 3.0 está em andamento. No entanto, recomendamos evitar versões mais antigas, especialmente a 3.0 do CRS, sempre que suas cargas de trabalho permitirem as regras da versão 4.22.

Além disso, as regras cve-canary a seguir estão disponíveis para todos os clientes do Cloud Armor para ajudá-los a detectar e, se quiserem, bloquear estas vulnerabilidades:

• Vulnerabilidades de RCE Log4j CVE-2021-44228 e CVE-2021-45046
• Vulnerabilidade de conteúdo no formato JSON 942550-sqli
• Vulnerabilidade de RCE do React google-mrs-v202512-id000001-rce e google-mrs-v202512-id000002-rce

Regras do OWASP pré-configuradas

Cada regra de WAF pré-configurada tem um nível de sensibilidade que corresponde a um nível de paranoia do CRS do OWASP. Um nível de sensibilidade mais baixo indica uma assinatura com maior confiança, o que diminui a probabilidade de gerar um falso positivo. Um nível de sensibilidade mais alto aumenta a segurança, mas também aumenta o risco de gerar um falso positivo. Por padrão, o Cloud Armor é executado no nível de sensibilidade 4 e avalia todas as assinaturas em um conjunto de regras assim que é ativado.

Injeção de SQL (SQLi)

A tabela a seguir fornece o ID da assinatura, o nível de confidencialidade e a descrição de cada assinatura compatível na regra de WAF pré-configurada do SQLi.

É possível configurar uma regra em um nível de sensibilidade específico usando evaluatePreconfiguredWaf com um parâmetro de sensibilidade predefinido. Por padrão, sem configurar a sensibilidade do conjunto de regras, o Cloud Armor avalia todas as assinaturas.

Scripting em vários sites (XSS)

A tabela a seguir mostra o código da assinatura, o nível de confidencialidade e a descrição de cada assinatura compatível na regra WAF pré-configurada do XSS.

É possível configurar uma regra em um nível de sensibilidade específico usando evaluatePreconfiguredWaf com um parâmetro de sensibilidade predefinido. Por padrão, sem configurar a sensibilidade do conjunto de regras, o Cloud Armor avalia todas as assinaturas.

Inclusão de arquivos locais (LFI, na sigla em inglês)

A tabela a seguir mostra o código da assinatura, o nível de confidencialidade e a descrição de cada assinatura compatível na regra de WAF pré-configurada da LFI.

É possível configurar uma regra em um nível de sensibilidade específico usando evaluatePreconfiguredWaf com um parâmetro de sensibilidade predefinido. Todas as assinaturas de LFI estão no nível 1 de sensibilidade. A configuração a seguir funciona para todos os níveis de sensibilidade:

Execução de código remoto (RCE, na sigla em inglês)

A tabela a seguir mostra o código da assinatura, o nível de confidencialidade e a descrição de cada assinatura compatível na regra de WAF pré-configurada da RCE.

É possível configurar uma regra em um nível de sensibilidade específico usando evaluatePreconfiguredWaf com um parâmetro de sensibilidade predefinido. Todas as assinaturas de RCE estão no nível 1 de sensibilidade. A configuração a seguir funciona para todos os níveis de sensibilidade:

Inclusão de arquivo remoto (RFI, na sigla em inglês)

A tabela a seguir fornece o ID da assinatura, o nível de confidencialidade e a descrição de cada assinatura compatível na regra de WAF pré-configurada da RFI.

É possível configurar uma regra em um nível de sensibilidade específico usando evaluatePreconfiguredWaf com um parâmetro de sensibilidade predefinido. Por padrão, sem configurar a sensibilidade do conjunto de regras, o Cloud Armor avalia todas as assinaturas.

Aplicação de métodos

A tabela a seguir mostra o ID, o nível de confidencialidade e a descrição de cada assinatura compatível na regra pré-configurada da aplicação do método.

É possível configurar uma regra em um nível de sensibilidade específico usando evaluatePreconfiguredWaf com um parâmetro de sensibilidade predefinido. Por padrão, sem configurar a sensibilidade do conjunto de regras, o Cloud Armor avalia todas as assinaturas.

Detecção de verificação

A tabela a seguir fornece o ID da assinatura, o nível de confidencialidade e a descrição de cada assinatura compatível na regra pré-configurada da detecção do scanner.

É possível configurar uma regra em um nível de sensibilidade específico usando evaluatePreconfiguredWaf com um parâmetro de sensibilidade predefinido. Por padrão, sem configurar a sensibilidade do conjunto de regras, o Cloud Armor avalia todas as assinaturas.

Ataque de protocolo

A tabela a seguir fornece o ID da assinatura, o nível de confidencialidade e a descrição de cada assinatura compatível na regra pré-configurada do ataque de protocolo.

É possível configurar uma regra em um nível de sensibilidade específico usando evaluatePreconfiguredWaf com um parâmetro de sensibilidade predefinido. Por padrão, sem configurar a sensibilidade do conjunto de regras, o Cloud Armor avalia todas as assinaturas.

PHP

A tabela a seguir mostra o ID da assinatura, o nível de sensibilidade e a descrição de cada assinatura compatível na regra de WAF pré-configurada do PHP.

É possível configurar uma regra em um nível de sensibilidade específico usando evaluatePreconfiguredWaf com um parâmetro de sensibilidade predefinido. Por padrão, sem configurar a sensibilidade do conjunto de regras, o Cloud Armor avalia todas as assinaturas.

Fixação de sessão

A tabela a seguir fornece o ID da assinatura, o nível de confidencialidade e a descrição de cada assinatura compatível na regra pré-configurada da fixação de sessão.

É possível configurar uma regra em um nível de sensibilidade específico usando evaluatePreconfiguredWaf com um parâmetro de sensibilidade predefinido. Todas as assinaturas para fixação de sessão estão no nível 1 de sensibilidade. A configuração a seguir funciona para todos os níveis de sensibilidade:

Ataque de Java

A tabela a seguir fornece o ID de assinatura, o nível de confidencialidade e a descrição de cada assinatura compatível na regra pré-configurada do ataque de Java.

É possível configurar uma regra em um nível de sensibilidade específico usando evaluatePreconfiguredWaf com um parâmetro de sensibilidade predefinido. Por padrão, sem configurar a sensibilidade do conjunto de regras, o Cloud Armor avalia todas as assinaturas.

Ataque genérico

A tabela a seguir fornece o ID da assinatura, o nível de sensibilidade e a descrição de cada assinatura compatível na regra pré-configurada de ataque genérico.

É possível configurar uma regra em um nível de sensibilidade específico usando evaluatePreconfiguredWaf com um parâmetro de sensibilidade predefinido. Todas as assinaturas de ataque do NodeJS estão no nível 1 de sensibilidade. A configuração a seguir funciona para outros níveis de sensibilidade:

Comparação das regras de WAF do Cloud Armor: CRS 3.3 e CRS 4.22

A tabela a seguir mostra a lista completa de diferenças entre os conjuntos de regras CRS 3.3 e CRS 4.22 do Cloud Armor.

A categoria nodejs do CRS 3.3 foi renomeada para generic no CRS 4.22, mas elas compartilham o mesmo prefixo de ID de regra "934". O CRS 4.22 é recomendado para proteção contra ameaças modernas.

CVEs e outras vulnerabilidades

A tabela a seguir contém o ID da assinatura, o nível de sensibilidade e a descrição de cada assinatura compatível na regra de vulnerabilidade de RCE do React para ajudar a detectar e mitigar o CVE-2025-55182.

Use a seguinte expressão para ajudar a detectar e mitigar a CVE-2025-55182:

(has(request.headers['next-action']) || has(request.headers['rsc-action-id']) ||request.headers['content-type'].contains('multipart/form-data') || request.headers['content-type'].contains('application/x-www-form-urlencoded') ) && evaluatePreconfiguredWaf('cve-canary',{'sensitivity': 0, 'opt_in_rule_ids': ['google-mrs-v202512-id000001-rce', 'google-mrs-v202512-id000002-rce']})

A tabela a seguir contém o ID da assinatura, o nível de sensibilidade e a descrição de cada assinatura compatível na regra pré-configurada da vulnerabilidade de RCE Log4j do CVE.

É possível configurar uma regra em um nível de sensibilidade específico usando evaluatePreconfiguredWaf com um parâmetro de sensibilidade predefinido. Por padrão, sem configurar a sensibilidade do conjunto de regras, o Cloud Armor avalia todas as assinaturas.

Vulnerabilidade a SQLi de conteúdo no formato JSON

A tabela a seguir contém o ID da assinatura, o nível de sensibilidade e a descrição da assinatura compatível 942550-sqli, que abrange a vulnerabilidade em que invasores mal-intencionados podem ignorar o WAF anexando sintaxe JSON ao payloads de injeção de SQL.

Use a expressão a seguir para implantar a assinatura:

  evaluatePreconfiguredWaf('json-sqli-canary', {'sensitivity':0, 'opt_in_rule_ids': ['owasp-crs-id942550-sqli']})
  

Recomendamos que você também ative sqli-v33-stable no nível de sensibilidade 2 para lidar totalmente com os desvios por injeção de SQL baseados em JSON.

Limitações

As regras de WAF pré-configuradas do Cloud Armor têm as seguintes limitações:

• A propagação das mudanças nas regras de WAF geralmente leva vários minutos.
• Entre os tipos de solicitações HTTP com um corpo de solicitação, o Cloud Armor processa apenas solicitações com um corpo. O Cloud Armor avalia regras pré-configuradas com base nos primeiros 64 KB de conteúdo do corpo da solicitação. Para mais informações, consulte Limitação da inspeção do corpo da solicitação.
• Quando a análise JSON está ativada, o Cloud Armor pode analisar e aplicar regras WAF pré-configuradas a conteúdo formatado em JSON. Para mais informações, consulte Analisar o conteúdo do corpo da solicitação.
• Se você excluir campos de solicitação da inspeção em uma regra de WAF pré-configurada para reduzir falsos positivos, não será possível usar a ação allow com essa regra. Os campos de solicitação explicitamente excluídos da inspeção são permitidos automaticamente.
• As regras de WAF pré-configuradas do Cloud Armor só podem ser usadas com serviços de back-end atrás de um balanceador de carga. Portanto, as cotas e os limites de balanceamento de carga se aplicam à implantação. Para mais informações, consulte as cotas do balanceamento de carga.

A seguir

• Ajustar regras de WAF pré-configuradas
• Configurar atributos de linguagem de regras personalizadas