Cloud Armor te ayuda a proteger tus Cloud de Confiance by S3NS despliegues frente a varios tipos de amenazas, incluidos los ataques de denegación de servicio distribuido (DDoS) y los ataques a aplicaciones, como los de cross-site scripting (XSS) y de inyección de SQL (SQLi). Cloud Armor ofrece algunas protecciones automáticas y otras que debes configurar manualmente. En este documento se ofrece una descripción general de estas funciones.
Políticas de seguridad
Utiliza las políticas de seguridad de Cloud Armor para proteger las aplicaciones que se ejecutan detrás de un balanceador de carga frente a ataques de denegación de servicio distribuido (DDoS) y otros ataques web. Las políticas de seguridad se pueden configurar manualmente, con condiciones de coincidencia y acciones configurables en una política de seguridad. Cloud Armor también incluye políticas de seguridad preconfiguradas que abarcan diversos casos prácticos. Para obtener más información, consulta la información general sobre la política de seguridad de Cloud Armor.Lenguaje de reglas
Cloud Armor te permite definir reglas priorizadas con condiciones de coincidencia y acciones configurables en una política de seguridad. Una regla se aplica, lo que significa que se lleva a cabo la acción configurada, si es la regla con la prioridad más alta cuyos atributos coinciden con los de la solicitud entrante. Para obtener más información, consulta la referencia del lenguaje de reglas personalizadas de Cloud Armor.
Reglas de WAF preconfiguradas
Las reglas de WAF preconfiguradas de Cloud Armor son reglas de cortafuegos de aplicaciones web (WAF) complejas con decenas de firmas que se compilan a partir de los estándares de software libre del sector. Cada firma corresponde a una regla de detección de ataques del conjunto de reglas. Estas reglas se ofrecen tal cual. Permiten que Cloud Armor evalúe docenas de firmas de tráfico distintas haciendo referencia a reglas con nombres prácticos, en lugar de tener que definir cada firma manualmente.
Las reglas preconfiguradas de Cloud Armor te ayudan a proteger tus aplicaciones y servicios web frente a los ataques habituales de Internet y a mitigar los 10 riesgos principales de OWASP. La fuente de la regla es OWASP Core Rule Set 3.3.2 (CRS).
Estas reglas preconfiguradas se pueden ajustar para inhabilitar firmas ruidosas o innecesarias. Para obtener más información, consulta el artículo sobre activar las reglas de WAF de Cloud Armor.
Cómo funciona Cloud Armor
Cloud Armor ofrece protección continua contra ataques DDoS volumétricos basados en protocolos o de red. Esta protección es para aplicaciones o servicios que se encuentran detrás de balanceadores de carga. Puede detectar y mitigar ataques de red para permitir que solo las solicitudes bien formadas pasen por los proxies de balanceo de carga. Las políticas de seguridad aplican políticas de filtrado de capa 7 personalizadas, incluidas reglas de cortafuegos de aplicaciones web (WAF) preconfiguradas que reducen los riesgos de vulnerabilidad de las aplicaciones web de los 10 principales de OWASP. Puedes adjuntar políticas de seguridad a los servicios de backend de los balanceadores de carga de aplicaciones externos regionales.Las políticas de seguridad de Cloud Armor te permiten permitir o denegar el acceso a tu implementación en el Cloud de Confiance perímetro, lo más cerca posible de la fuente del tráfico entrante. De esta forma, se evita que el tráfico no deseado consuma recursos o entre en tus redes de nube privada virtual (VPC).
Puedes usar algunas o todas estas funciones para proteger tu aplicación. Puedes usar políticas de seguridad para buscar coincidencias con condiciones conocidas y crear reglas de WAF para protegerte frente a ataques comunes, como los que se encuentran en el conjunto de reglas principales de ModSecurity 3.3.2.