Cloud Armor te ayuda a proteger tus Cloud de Confiance by S3NS implementaciones contra varios tipos de amenazas, incluidos los ataques de denegación de servicio distribuido (DSD) y los ataques de aplicaciones, como las secuencia de comandos entre sitios (XSS) y la inserción de SQL (SQLi). Cloud Armor incluye algunas protecciones automáticas y otras que debes configurar de forma manual. En este documento, se proporciona una descripción general de alto nivel sobre estos temas.
Políticas de seguridad
Usa las políticas de seguridad de Cloud Armor para proteger las aplicaciones que se ejecutan detrás de un balanceador de cargas de ataques de denegación de servicio distribuido (DSD) y otros ataques basados en la Web. Las políticas de seguridad se pueden configurar de forma manual, con acciones y condiciones de coincidencia configurables en una política de seguridad. Cloud Armor también cuenta con políticas de seguridad preconfiguradas que abarcan una gran variedad de casos de uso. Para obtener más información, consulta Descripción general de la política de seguridad de Cloud Armor.Lenguaje de las reglas
Cloud Armor te permite definir reglas prioritarias con condiciones y acciones de coincidencia que se pueden configurar en una política de seguridad. Una regla entra en vigor, lo que significa que se aplica la acción configurada, si la regla es la regla de mayor prioridad cuyos atributos coinciden con los atributos de la solicitud entrante. Para obtener más información, consulta la referencia del lenguaje de reglas personalizadas de Cloud Armor .
Reglas de WAF preconfiguradas
Las reglas de WAF preconfiguradas de Cloud Armor son reglas complejas de firewall de aplicación web (WAF) con decenas de firmas que se compilan a partir de estándares de la industria de código abierto. Cada firma corresponde a una regla de detección de ataques en el conjunto de reglas. Estas reglas se ofrecen tal como están. Las reglas permiten que Cloud Armor evalúe decenas de firmas de tráfico distintas, ya que consulta las reglas con nombres prácticos en lugar de requerir que definas cada firma de forma manual.
Las reglas preconfiguradas de Cloud Armor ayudan a proteger tus aplicaciones web y servicios de ataques comunes de Internet y ayudan a mitigar los 10 riesgos principales de OWASP. La fuente de las reglas es el conjunto de reglas principales de OWASP 4.22.
Estas reglas preconfiguradas se pueden ajustar para inhabilitar firmas innecesarias y innecesarias. Para obtener más información, consulta Ajusta las reglas de WAF de Cloud Armor.
Cómo funciona Cloud Armor
Cloud Armor proporciona protección siempre activa contra ataques de DSD volumétricos y basados en protocolos de red de L3 y L4, con mitigaciones automáticas en línea en tiempo real y sin impacto en la latencia. Esta protección se aplica a aplicaciones o servicios detrás de los balanceadores de cargas. Cloud Armor es capaz de detectar y mitigar los ataques de red para permitir solo solicitudes bien formadas a través de los proxies de balanceo de cargas.
Cloud Armor puede proteger contra amenazas de L7 (capa de aplicación), incluido el DSD de L7, como las inundaciones HTTP, pero esta protección requiere una política de seguridad configurada por el usuario con reglas proactivas. Las políticas de seguridad aplican políticas de filtrado de L7 personalizadas, incluidas las reglas de WAF preconfiguradas que mitigan los 10 riesgos principales de vulnerabilidad de aplicaciones web de OWASP. Puedes adjuntar políticas de seguridad a los servicios de backend de Cloud Armor proporciona protección siempre activa contra ataques de DSD volumétricos y basados en protocolos de red de L3 y L4, con mitigaciones automáticas en línea en tiempo real y sin impacto en la latencia. Esta protección se aplica a aplicaciones o servicios detrás de los balanceadores de cargas. Cloud Armor es capaz de detectar y mitigar los ataques de red para permitir solo solicitudes bien formadas a través de los proxies de balanceo de cargas.
Cloud Armor puede proteger contra amenazas de L7 (capa de aplicación), incluido el DSD de L7, como las inundaciones HTTP, pero esta protección requiere una política de seguridad configurada por el usuario con reglas proactivas. Las políticas de seguridad aplican políticas de filtrado de L7 personalizadas, incluidas las reglas de WAF preconfiguradas que mitigan los 10 riesgos principales de vulnerabilidad de aplicaciones web de OWASP. Puedes adjuntar políticas de seguridad a los servicios de backend de los balanceadores de cargas de aplicaciones externos regionales.
Las políticas de seguridad de Cloud Armor te permiten denegar o permitir el acceso a tu implementación en el Cloud de Confiance perímetro, lo más cerca posible de la fuente del tráfico entrante. Esto evita que el tráfico no deseado consuma recursos o ingrese a tus redes de la nube privada virtual (VPC).
Puedes usar algunas de estas funciones o todas ellas para proteger tu aplicación. Puedes usar las políticas de seguridad para detectar coincidencias con condiciones conocidas y crear reglas de WAF para protegerte contra ataques comunes como los que se encuentran en el conjunto de reglas principales de ModSecurity 4.22.¿Qué sigue?
- Obtén información sobre las diferencias de Cloud Armor en Cloud de Confiance comparación con Google Cloud.