Google Cloud Armor ti aiuta a proteggere i tuoi Trusted Cloud by S3NS deployment da diversi tipi di minacce, inclusi attacchi distributed denial of service (DDoS) e attacchi alle applicazioni come cross-site scripting (XSS) e SQL injection (SQLi). Le funzionalità di Cloud Armor includono alcune protezioni automatiche e altre che devi configurare manualmente. Questo documento fornisce una panoramica di alto livello di queste funzionalità, molte delle quali sono disponibili solo per i bilanciatori del carico delle applicazioni esterni globali e i bilanciatori del carico delle applicazioni classici.
Criteri di sicurezza
Utilizza i criteri di sicurezza di Cloud Armor per proteggere le applicazioni in esecuzione dietro un bilanciatore del carico da attacchi DDoS (Distributed Denial of Service) e altri attacchi basati sul web, indipendentemente dal fatto che le applicazioni siano implementate su Trusted Cloud by S3NS, in un'implementazione ibrida o in un'architettura multi-cloud. Le policy di sicurezza possono essere configurate manualmente, con condizioni di corrispondenza e azioni configurabili in una policy di sicurezza. Cloud Armor include anche criteri di sicurezza preconfigurati, che coprono una serie di casi d'uso. Per maggiori informazioni, consulta la pagina Panoramica dei criteri di sicurezza di Cloud Armor.
Linguaggio delle regole
Cloud Armor consente di definire regole con priorità con condizioni di corrispondenza e azioni configurabili in un criterio di sicurezza. Una regola ha effetto, il che significa che l'azione configurata viene applicata, se la regola è quella con la priorità più alta i cui attributi corrispondono a quelli della richiesta in entrata. Per maggiori informazioni, consulta la Guida di riferimento del linguaggio delle regole personalizzate di Cloud Armor.
Regole WAF preconfigurate
Le regole WAF preconfigurate di Google Cloud Armor sono regole web application firewall (WAF) complesse con decine di firme compilate a partire da standard di settore open source. Ogni firma corrisponde a una regola di rilevamento degli attacchi nel set di regole. Google offre queste regole così come sono. Le regole consentono a Cloud Armor di valutare decine di firme di traffico distinte facendo riferimento a regole denominate in modo pratico, anziché richiedere di definire manualmente ogni firma.
Le regole preconfigurate di Cloud Armor contribuiscono a proteggere le tue applicazioni e i tuoi servizi web da attacchi comuni provenienti da internet e a mitigare i rischi OWASP Top 10. L'origine della regola è OWASP Core Rule Set 3.3.2 (CRS).
Queste regole preconfigurate possono essere ottimizzate per disattivare firme rumorose o altrimenti non necessarie. Per saperne di più, consulta Ottimizzazione delle regole WAF di Cloud Armor.
Come funziona Cloud Armor
Cloud Armor offre una protezione DDoS sempre attiva contro gli attacchi DDoS volumetrici basati su rete o protocollo. Questa protezione è per applicazioni o servizi dietro i bilanciatori del carico. È in grado di rilevare e mitigare gli attacchi di rete per consentire solo le richieste ben formate tramite i proxy di bilanciamento del carico. Le policy di sicurezza applicano criteri di filtro personalizzati di livello 7, incluse regole WAF preconfigurate che mitigano i 10 principali rischi di vulnerabilità delle applicazioni web OWASP. Puoi collegare i criteri di sicurezza ai servizi di backend dei bilanciatori del carico delle applicazioni esterni regionali.I criteri di sicurezza di Cloud Armor consentono di consentire o negare l'accesso al deployment sul perimetro, il più vicino possibile alla sorgente del traffico in entrata. Trusted Cloud In questo modo si impedisce che il traffico indesiderato consumi risorse o entri nelle reti Virtual Private Cloud (VPC).
Puoi utilizzare alcune o tutte queste funzionalità per proteggere la tua applicazione. Puoi utilizzare i criteri di sicurezza per confrontarli con condizioni note e creare regole WAF per proteggerti da attacchi comuni come quelli presenti nel ModSecurity Core Rule Set 3.3.2.