Google Cloud Armor te ayuda a proteger tus Trusted Cloud by S3NS implementaciones frente a varios tipos de amenazas, como los ataques de denegación de servicio distribuido (DDoS) y los ataques a aplicaciones, como los de cross-site scripting (XSS) y los de inyección de SQL (SQLi). Cloud Armor ofrece algunas protecciones automáticas y otras que debes configurar manualmente. En este documento se ofrece una descripción general de estas funciones, algunas de las cuales solo están disponibles para los balanceadores de carga de aplicación externos globales y los balanceadores de carga de aplicación clásicos.
Políticas de seguridad
Utiliza las políticas de seguridad de Cloud Armor para proteger las aplicaciones que se ejecutan detrás de un balanceador de carga frente a ataques de denegación de servicio distribuido (DDoS) y otros ataques web, tanto si las aplicaciones están desplegadas en Trusted Cloud by S3NScomo si lo están en un despliegue híbrido o en una arquitectura multinube. Las políticas de seguridad se pueden configurar manualmente, con condiciones de coincidencia y acciones configurables en una política de seguridad. Cloud Armor también incluye políticas de seguridad preconfiguradas que abarcan una gran variedad de casos prácticos. Para obtener más información, consulta la información general sobre la política de seguridad de Cloud Armor.
Lenguaje de reglas
Cloud Armor te permite definir reglas priorizadas con condiciones de coincidencia y acciones configurables en una política de seguridad. Una regla se aplica, lo que significa que se lleva a cabo la acción configurada, si es la regla con la prioridad más alta cuyos atributos coinciden con los de la solicitud entrante. Para obtener más información, consulta la referencia del lenguaje de reglas personalizadas de Cloud Armor.
Reglas de WAF preconfiguradas
Las reglas de WAF preconfiguradas de Google Cloud Armor son reglas complejas de cortafuegos de aplicaciones web (WAF) con decenas de firmas que se compilan a partir de los estándares de software libre del sector. Cada firma corresponde a una regla de detección de ataques del conjunto de reglas. Google ofrece estas reglas tal cual. Las reglas permiten que Cloud Armor evalúe docenas de firmas de tráfico distintas haciendo referencia a reglas con nombres prácticos, en lugar de requerir que definas cada firma manualmente.
Las reglas preconfiguradas de Cloud Armor ayudan a proteger tus aplicaciones y servicios web frente a los ataques habituales de Internet y a mitigar los 10 riesgos principales de OWASP. La fuente de la regla es OWASP Core Rule Set 3.3.2 (CRS).
Estas reglas preconfiguradas se pueden ajustar para inhabilitar firmas ruidosas o innecesarias. Para obtener más información, consulta el artículo sobre activar las reglas de WAF de Cloud Armor.
Cómo funciona Cloud Armor
Cloud Armor ofrece protección continua contra ataques DDoS volumétricos basados en protocolos o redes. Esta protección es para aplicaciones o servicios que se encuentran detrás de balanceadores de carga. Puede detectar y mitigar ataques de red para permitir que solo las solicitudes bien formadas pasen por los proxies de balanceo de carga. Las políticas de seguridad aplican políticas de filtrado de capa 7 personalizadas, incluidas reglas de cortafuegos de aplicaciones web (WAF) preconfiguradas que reducen los riesgos de vulnerabilidad de las aplicaciones web de los 10 principales de OWASP. Puedes adjuntar políticas de seguridad a los servicios de backend de los balanceadores de carga de aplicaciones externos regionales.Las políticas de seguridad de Cloud Armor te permiten permitir o denegar el acceso a tu implementación en el Trusted Cloud perímetro, lo más cerca posible de la fuente del tráfico entrante. De esta forma, se evita que el tráfico no deseado consuma recursos o entre en tus redes de nube privada virtual (VPC).
Puedes usar algunas o todas estas funciones para proteger tu aplicación. Puedes usar políticas de seguridad para detectar condiciones conocidas y crear reglas de WAF para protegerte frente a ataques habituales, como los que se encuentran en el conjunto de reglas principales de ModSecurity 3.3.2.