שירות Google Cloud Armor עוזר לכם להגן על הפריסות שלכם מפני סוגים שונים של איומים, כולל מתקפות מניעת שירות מבוזרות (DDoS) ומתקפות על אפליקציות כמו פרצות אבטחה XSS (cross-site scripting) והזרקות SQL. Cloud de Confiance by S3NS חלק מההגנות ב-Cloud Armor הן אוטומטיות וחלקן דורשות הגדרה ידנית. במסמך הזה מופיעה סקירה כללית של התכונות האלה.
מדיניות אבטחה
משתמשים במדיניות אבטחה של Cloud Armor כדי להגן על אפליקציות שפועלות מאחורי מאזן עומסים מפני מתקפות מניעת שירות מבוזרות (DDoS) ומתקפות אחרות שמבוססות על האינטרנט. אפשר להגדיר מדיניות אבטחה באופן ידני, עם תנאי התאמה ופעולות שניתנים להגדרה במדיניות האבטחה. ב-Cloud Armor יש גם כללי מדיניות אבטחה שהוגדרו מראש, שמתאימים למגוון תרחישי שימוש. מידע נוסף זמין במאמר סקירה כללית על כללי מדיניות האבטחה של Cloud Armor.שפת הכללים
Cloud Armor מאפשר להגדיר כללים עם עדיפות, עם תנאי התאמה ופעולות שניתנים להגדרה במדיניות אבטחה. כלל נכנס לתוקף, כלומר הפעולה שהוגדרה מוחלת, אם הכלל הוא הכלל בעדיפות הגבוהה ביותר שהמאפיינים שלו תואמים למאפיינים של הבקשה הנכנסת. מידע נוסף מופיע במאמר בנושא הפניה לשפה של כללים בהתאמה אישית ב-Cloud Armor.
כללי WAF שהוגדרו מראש
כללי WAF שהוגדרו מראש ב-Cloud Armor הם כללים מורכבים של חומת אש לאפליקציות אינטרנט (WAF) עם עשרות חתימות שנאספות מתקנים בתעשייה שמבוססים על קוד פתוח. כל חתימה תואמת לכלל לזיהוי מתקפות בקבוצת הכללים. הכללים האלה מוצעים כמו שהם. הכללים מאפשרים ל-Cloud Armor להעריך עשרות חתימות שונות של תנועה על ידי הפניה לכללים עם שמות נוחים, במקום לדרוש מכם להגדיר כל חתימה באופן ידני.
הכללים המוגדרים מראש ב-Cloud Armor עוזרים להגן על אפליקציות ושירותים באינטרנט מפני מתקפות נפוצות באינטרנט, ולצמצם את עשרת סיכוני האבטחה המובילים של OWASP. מקור הכלל הוא OWASP Core Rule Set 4.22.
אפשר לשנות את הכללים המוגדרים מראש כדי להשבית חתימות רועשות או חתימות אחרות שלא נחוצות. מידע נוסף זמין במאמר בנושא התאמת הכללים של Cloud Armor WAF.
איך Cloud Armor פועל
Cloud Armor מספק הגנה שפועלת ללא הפסקה מפני מתקפות DDoS מסוג L3 ו-L4, שהן מתקפות נפחיות ומבוססות על פרוטוקול רשת, עם אמצעי הגנה אוטומטיים בזמן אמת וללא השפעה על זמן האחזור. ההגנה הזו מיועדת לאפליקציות או לשירותים שמוצבים מאחורי מאזני עומסים. Cloud Armor יכול לזהות מתקפות על הרשת ולצמצם את ההשפעה שלהן, כדי לאפשר רק לבקשות תקינות לעבור דרך שרתי ה-proxy של איזון העומסים.
Cloud Armor יכול להגן מפני איומים בשכבה 7 (שכבת האפליקציה), כולל מתקפות DDoS בשכבה 7 כמו הצפות HTTP, אבל כדי להשתמש בהגנה הזו צריך להגדיר מדיניות אבטחה עם כללים פרואקטיביים. מדיניות האבטחה אוכפת מדיניות סינון מותאמת אישית ברמה 7, כולל כללי WAF שהוגדרו מראש ומצמצמים את הסיכונים של 10 נקודות החולשה העיקריות באפליקציות אינטרנט של OWASP. אפשר לצרף מדיניות אבטחה לשירותים לקצה העורפי של מאזני העומסים הבאים: Cloud Armor מספק הגנה שפועלת ללא הפסקה מפני מתקפות DDoS נפחיות ומבוססות פרוטוקול רשת בשכבה 3 ובשכבה 4 (L3 ו-L4), עם אמצעי הגנה אוטומטיים בזמן אמת וללא השפעה על זמן האחזור. ההגנה הזו מיועדת לאפליקציות או לשירותים שמוצבים מאחורי מאזני עומסים. Cloud Armor יכול לזהות מתקפות על הרשת ולצמצם את ההשפעה שלהן, כדי לאפשר רק לבקשות תקינות לעבור דרך שרתי ה-proxy של איזון העומסים.
Cloud Armor יכול להגן מפני איומים בשכבה 7 (שכבת האפליקציה), כולל מתקפות DDoS בשכבה 7 כמו הצפות HTTP, אבל כדי להשתמש בהגנה הזו צריך להגדיר מדיניות אבטחה עם כללים פרואקטיביים. מדיניות האבטחה אוכפת מדיניות סינון מותאמת אישית ברמה 7, כולל כללי WAF שהוגדרו מראש ומצמצמים את הסיכונים של 10 נקודות החולשה העיקריות באפליקציות אינטרנט של OWASP. אפשר לצרף מדיניות אבטחה לשירותים לקצה העורפי של מאזני עומסים חיצוניים אזוריים של אפליקציות (ALB).
כללי מדיניות האבטחה של Cloud Armor מאפשרים לכם לאשר או לדחות גישה לפריסה שלכם ב- Cloud de Confiance edge, קרוב ככל האפשר למקור של התעבורה הנכנסת. כך נמנעת תעבורה לא רצויה שצורכת משאבים או נכנסת לרשתות של הענן הווירטואלי הפרטי (VPC).
אתם יכולים להשתמש בחלק מהתכונות האלה או בכולן כדי להגן על האפליקציה. אפשר להשתמש במדיניות אבטחה כדי להתאים לתנאים מוכרים, וליצור כללי WAF כדי להגן מפני מתקפות נפוצות כמו אלה שמופיעות בקבוצת הכללים המרכזית של ModSecurity 4.22.