O Google Cloud Armor ajuda a proteger suas implantações do Cloud de Confiance by S3NS contra vários tipos de ameaças, incluindo ataques distribuídos de negação de serviço (DDoS) e ataques direcionados a aplicativos, como scripting em vários sites (XXS) e injeção de SQL (SQLi). O Cloud Armor apresenta algumas proteções automáticas e algumas que você precisa configurar manualmente. Este documento traz uma visão geral detalhada desses recursos.
Políticas de segurança
Use as políticas de segurança do Cloud Armor para proteger os aplicativos executados por trás de um balanceador de carga contra ataques distribuídos de negação de serviço (DDoS) e outras ameaças cibernéticas. As políticas de segurança podem ser configuradas manualmente, com ações e condições de correspondência configuráveis em uma política de segurança. O Cloud Armor também apresenta políticas de segurança pré-configuradas, que abrangem vários casos de uso. Para mais informações, consulte a visão geral da política de segurança do Cloud Armor.Linguagem de regras
Com o Cloud Armor, é possível definir regras priorizadas com ações e condições de correspondência configuráveis em uma política de segurança. Para que uma regra entre em vigor (a ação configurada é aplicada), ela deve ser a regra de prioridade mais alta, ou seja, os atributos dela devem corresponder aos atributos da solicitação recebida. Para mais informações, consulte Referência de linguagem das regras personalizadas do Cloud Armor.
Regras de WAF pré-configuradas
As regras WAF pré-configuradas do Cloud Armor são regras complexas do firewall de aplicativos da Web (WAF, na sigla em inglês) com dezenas de assinaturas compiladas a partir dos padrões do setor de código aberto. Cada assinatura corresponde a uma regra de detecção de ataques no conjunto de regras. Essas regras são oferecidas como estão. Elas permitem que o Cloud Armor avalie dezenas de assinaturas de tráfego distintas consultando regras com nomes convenientes, em vez de exigir que você defina cada assinatura manualmente.
As regras pré-configuradas do Cloud Armor ajudam a proteger aplicativos e serviços da web contra ataques comuns da Internet, além de ajudar a reduzir os dez principais riscos do OWASP (em inglês). A origem da regra é OWASP Core Rule Set 4.22.
Essas regras pré-configuradas podem ser ajustadas para desativar assinaturas com ruído ou desnecessárias. Para mais informações, consulte Como ajustar as regras de WAF do Cloud Armor.
Como o Cloud Armor funciona
O Cloud Armor oferece proteção sempre ativa contra ataques DDoS volumétricos e baseados em protocolo de rede nas camadas 3 e 4, com mitigações inline automatizadas em tempo real e sem impacto na latência. Essa proteção é para aplicativos ou serviços por trás de balanceadores de carga. O Cloud Armor consegue detectar e mitigar ataques de rede para permitir apenas solicitações bem formadas pelos proxies de balanceamento de carga.
O Cloud Armor pode proteger contra ameaças da camada L7 (aplicativo), incluindo DDoS L7, como inundações HTTP, mas essa proteção exige uma política de segurança configurada pelo usuário com regras proativas. As políticas de segurança aplicam políticas de filtragem L7 personalizadas, incluindo regras WAF pré-configuradas que reduzem os 10 principais riscos de vulnerabilidade de aplicativos da Web da OWASP. É possível anexar políticas de segurança aos serviços de back-end dos seguintes balanceadores de carga: O Cloud Armor oferece proteção sempre ativa contra ataques volumétricos de DDoS de Camada 3 e 4 (L3 e L4) e baseados em protocolo de rede, com mitigação inline automática em tempo real e sem impacto na latência. Essa proteção é para aplicativos ou serviços por trás de balanceadores de carga. O Cloud Armor é capaz de detectar e mitigar ataques de rede para permitir apenas solicitações bem-sucedidas por meio dos proxies de balanceamento de carga.
O Cloud Armor pode proteger contra ameaças da camada L7 (camada de aplicativo), incluindo DDoS L7, como inundações HTTP, mas essa proteção exige uma política de segurança configurada pelo usuário com regras proativas. As políticas de segurança aplicam políticas de filtragem L7 personalizadas, incluindo regras WAF pré-configuradas que reduzem os 10 principais riscos de vulnerabilidade de aplicativos da Web da OWASP. É possível anexar políticas de segurança aos serviços de back-end dos balanceadores de carga de aplicativo externos regionais.
Com as políticas de segurança do Cloud Armor, você permite ou nega o acesso à implantação na borda do Cloud de Confiance , o mais próximo possível da origem do tráfego de entrada. Isso evita que o tráfego indesejável consuma recursos ou entre nas redes da nuvem privada virtual (VPC, na sigla em inglês).
É possível usar alguns ou todos esses recursos para proteger seu aplicativo. Use políticas de segurança para corresponder a condições conhecidas e crie regras de WAF para se proteger contra ataques comuns, como os encontrados no ModSecurity Core Rule Set 4.22.A seguir
- Saiba mais sobre as diferenças do Cloud Armor no Cloud de Confiance em comparação com o Google Cloud