Cloud Armor ti aiuta a proteggere i tuoi deployment Cloud de Confiance by S3NS da diversi tipi di minacce, inclusi attacchi distributed denial of service (DDoS) e attacchi alle applicazioni come cross-site scripting (XSS) e SQL injection (SQLi). Le funzionalità di Cloud Armor includono alcune protezioni automatiche e altre che devi configurare manualmente. Questo documento fornisce una panoramica generale di queste funzionalità.
Policy di sicurezza
Utilizza le policy di sicurezza di Cloud Armor per proteggere le applicazioni in esecuzione dietro un bilanciatore del carico da attacchi distributed denial of service (DDoS) e altri attacchi basati sul web. Puoi configurare le policy di sicurezza manualmente e specificare condizioni di corrispondenza e azioni nelle singole policy. Cloud Armor offre anche policy di sicurezza preconfigurate, che coprono una serie di casi d'uso. Per saperne di più, consulta Panoramica delle policy di sicurezza di Cloud Armor.Linguaggio delle regole
Cloud Armor consente di definire regole con priorità e condizioni di corrispondenza e azioni configurabili in una policy di sicurezza. Una regola ha effetto, ovvero l'azione configurata viene applicata, se è la regola con la priorità più alta i cui attributi corrispondono a quelli della richiesta in entrata. Per saperne di più, consulta Riferimento per il linguaggio delle regole personalizzate di Cloud Armor.
Regole WAF preconfigurate
Le regole WAF preconfigurate di Google Cloud Armor sono regole web application firewall (WAF) complesse con decine di firme compilate a partire da standard di settore open source. Ogni firma corrisponde a una regola di rilevamento degli attacchi nel set di regole. Queste regole vengono offerte così come sono. Le regole consentono a Cloud Armor di valutare decine di firme di traffico distinte facendo riferimento a regole con nomi pratici, anziché richiedere di definire manualmente ogni firma.
Le regole preconfigurate di Cloud Armor contribuiscono a proteggere le tue applicazioni e i tuoi servizi web da attacchi comuni provenienti da internet e a mitigare i rischi OWASP Top 10. L'origine delle regole è OWASP Core Rule Set 3.3.2 (CRS).
Queste regole preconfigurate possono essere ottimizzate per disattivare firme rumorose o altrimenti non necessarie. Per saperne di più, consulta Ottimizza le regole WAF di Cloud Armor.
Funzionamento di Cloud Armor
Cloud Armor offre una protezione DDoS sempre attiva contro gli attacchi DDoS volumetrici basati su rete o protocollo. Questa protezione è destinata ad applicazioni o servizi dietro bilanciatori del carico. È in grado di rilevare e mitigare gli attacchi di rete per consentire solo alle richieste nel formato corretto di passare attraverso i proxy di bilanciamento del carico. Le policy di sicurezza applicano policy di filtro personalizzate di livello 7, incluse regole WAF preconfigurate che mitigano i rischi legati alle 10 principali vulnerabilità delle applicazioni web OWASP. Puoi collegare policy di sicurezza ai servizi di backend dei bilanciatori del carico delle applicazioni esterni regionali.Le policy di sicurezza di Cloud Armor ti permettono di consentire o negare l'accesso al tuo deployment lungo il perimetro di Cloud de Confiance , il più vicino possibile all'origine del traffico in entrata. In questo modo è possibile impedire al traffico indesiderato di utilizzare risorse o di penetrare nelle reti VPC (Virtual Private Cloud).
Puoi utilizzare alcune o tutte queste funzionalità per proteggere la tua applicazione. Puoi utilizzare le policy di sicurezza per trovare corrispondenze con condizioni note e creare regole WAF per proteggerti da attacchi comuni come quelli presenti in ModSecurity Core Rule Set 3.3.2.Passaggi successivi
- Scopri di più sulle differenze di Cloud Armor in Cloud de Confiance rispetto a Google Cloud