Mit Cloud Armor können Sie Ihre Cloud de Confiance by S3NS Bereitstellungen vor mehreren Arten von Bedrohungen schützen. Dazu gehören DDoS-Angriffe (Denial of Service) und Anwendungsangriffe wie Cross-Site-Scripting (XSS) und SQL-Injection (SQLi). Cloud Armor bietet einige automatische Schutzfunktionen und manche, die Sie manuell konfigurieren müssen. Dieses Dokument bietet einen allgemeinen Überblick über diese Funktionen.
Sicherheitsrichtlinien
Mit Cloud Armor-Sicherheitsrichtlinien können Sie Anwendungen, die hinter einem Load-Balancer ausgeführt werden, vor DDoS-Angriffen (Distributed Denial of Service) und anderen webbasierten Angriffen schützen. Sicherheitsrichtlinien können manuell konfiguriert werden, inklusive konfigurierbarer Übereinstimmungsbedingungen und Aktionen in einer Sicherheitsrichtlinie. Cloud Armor bietet außerdem vorkonfigurierte Sicherheitsrichtlinien, die eine Vielzahl von Anwendungsfällen abdecken. Weitere Informationen finden Sie in der Übersicht über die Cloud Armor-Sicherheitsrichtlinien.Sprache der Regeln
Mit Cloud Armor können Sie priorisierte Regeln mit konfigurierbaren Übereinstimmungsbedingungen und Aktionen in einer Sicherheitsrichtlinie definieren. Eine Regel tritt in Kraft, d. h. die konfigurierte Aktion wird angewendet, wenn ihr die höchste Priorität zugewiesen ist und die Attribute mit den Attributen der eingehenden Anfrage übereinstimmen. Weitere Informationen finden Sie in der Referenz zur Sprache der benutzerdefinierten Regeln für Cloud Armor.
Vorkonfigurierte WAF-Regeln
Vorkonfigurierte WAF-Regeln für Cloud Armor sind komplexe Web Application Firewall (WAF)-Regeln mit Dutzenden von Signaturen, die aus Open-Source-Branchenstandards kompiliert wurden. Jede Signatur entspricht einer Angriffserkennungsregel im Regelsatz. Diese Regeln werden wie besehen angeboten. Die Regeln ermöglichen es Cloud Armor, Dutzende von unterschiedlichen Traffic-Signaturen auszuwerten. Dabei bezieht sich Cloud Armor auf Regeln, die praktischerweise benannt sind, anstatt dass Sie jede Signatur manuell definieren müssen.
Vorkonfigurierte Regeln von Cloud Armor schützen Ihre Webanwendungen und Dienste vor gängigen Angriffen aus dem Internet und mindern die OWASP-Top-10-Risiken. Die Regelquelle ist OWASP Core Rule Set 4.22.
Diese vorkonfigurierten Regeln können optimiert werden, um ungenaue oder anderweitig unnötige Signaturen zu deaktivieren. Weitere Informationen finden Sie unter WAF-Regeln für Cloud Armor optimieren.
Funktionsweise von Cloud Armor
Cloud Armor bietet immer aktiven Schutz vor volumetrischen und netzwerkprotokollbasierten DDoS-Angriffen auf L3 und L4. Die automatische Inline-Abwehr erfolgt in Echtzeit und ohne Auswirkungen auf die Latenz. Dieser Schutz ist für Anwendungen oder Dienste hinter Load-Balancern vorgesehen. Cloud Armor ist in der Lage, Netzwerkangriffe zu erkennen und zu mindern, um nur korrekt formatierte Anfragen über die Load-Balancing-Proxys zuzulassen.
Cloud Armor kann vor Bedrohungen auf L7 (Anwendungsebene) schützen, einschließlich L7-DDoS wie HTTP-Floods. Für diesen Schutz ist jedoch eine vom Nutzer konfigurierte Sicherheitsrichtlinie mit proaktiven Regeln erforderlich. Die Sicherheitsrichtlinien erzwingen benutzerdefinierte L7-Filterrichtlinien, einschließlich vorkonfigurierter WAF-Regeln, die die Risiken der Top-10-Webanwendungs-Sicherheitslücken von OWASP verringern. Sie können Sicherheitsrichtlinien an die Backend-Dienste der folgenden Load Balancer anhängen: Cloud Armor bietet immer aktiven Schutz vor volumetrischen und netzwerkprotokollbasierten DDoS-Angriffen auf Layer 3 und Layer 4 (L3 und L4) mit automatisierter Inline-Abwehr in Echtzeit und ohne Auswirkungen auf die Latenz. Dieser Schutz ist für Anwendungen oder Dienste hinter Load-Balancern vorgesehen. Cloud Armor ist in der Lage, Netzwerkangriffe zu erkennen und zu mindern, um nur korrekt formatierte Anfragen über die Load-Balancing-Proxys zuzulassen.
Cloud Armor kann vor Bedrohungen auf L7 (Anwendungsebene) schützen, einschließlich L7-DDoS wie HTTP-Floods. Für diesen Schutz ist jedoch eine vom Nutzer konfigurierte Sicherheitsrichtlinie mit proaktiven Regeln erforderlich. Die Sicherheitsrichtlinien erzwingen benutzerdefinierte L7-Filterrichtlinien, einschließlich vorkonfigurierter WAF-Regeln, die die Risiken der Top-10-Webanwendungs-Sicherheitslücken von OWASP verringern. Sie können Sicherheitsrichtlinien an die Backend-Dienste von regionalen externen Application Load Balancern anhängen.
Mit Cloud Armor-Sicherheitsrichtlinien können Sie den Zugriff auf Ihre Bereitstellung am Cloud de Confiance -Edge so nahe wie möglich an der Quelle des eingehenden Traffics zulassen oder verweigern. Dies verhindert, dass unerwünschter Traffic Ressourcen verbraucht oder in Ihre VPC-Netzwerke (Virtual Private Cloud) gelangt.
Sie können einige oder alle dieser Funktionen zum Schutz Ihrer Anwendung verwenden. Sie können Sicherheitsrichtlinien verwenden, um mit bekannten Bedingungen abzugleichen, und WAF-Regeln zum Schutz vor häufigen Angriffen wie jenen im ModSecurity Core Rule Set 4.22 erstellen.