O Google Cloud Armor ajuda a proteger as suas implementações Trusted Cloud by S3NS contra vários tipos de ameaças, incluindo ataques de negação de serviço distribuída (DDoS) e ataques de aplicações, como scripting entre sites (XSS) e injeção de SQL (SQLi). O Cloud Armor inclui algumas proteções automáticas e outras que tem de configurar manualmente. Este documento fornece uma vista geral destas funcionalidades, algumas das quais só estão disponíveis para balanceadores de carga de aplicações externos globais e balanceadores de carga de aplicações clássicos.
Políticas de segurança
Use políticas de segurança do Cloud Armor para proteger aplicações em execução atrás de um balanceador de carga contra negação de serviço distribuída (DDoS) e outros ataques baseados na Web, quer as aplicações estejam implementadas no Trusted Cloud by S3NS, numa implementação híbrida ou numa arquitetura de várias nuvens. As políticas de segurança podem ser configuradas manualmente, com condições de correspondência e ações configuráveis numa política de segurança. O Cloud Armor também inclui políticas de segurança pré-configuradas, que abrangem uma variedade de exemplos de utilização. Para mais informações, consulte a vista geral da política de segurança do Cloud Armor.
Idioma das regras
O Cloud Armor permite-lhe definir regras prioritárias com condições de correspondência e ações configuráveis numa política de segurança. Uma regra entra em vigor, o que significa que a ação configurada é aplicada, se a regra for a regra de prioridade mais alta cujos atributos correspondem aos atributos do pedido recebido. Para mais informações, consulte a referência da linguagem de regras personalizadas do Cloud Armor.
Regras de WAF pré-configuradas
As regras de WAF pré-configuradas do Google Cloud Armor são regras complexas de firewall de aplicações Web (WAF) com dezenas de assinaturas compiladas a partir de normas da indústria de código aberto. Cada assinatura corresponde a uma regra de deteção de ataques no conjunto de regras. A Google oferece estas regras tal como estão. As regras permitem que o Cloud Armor avalie dezenas de assinaturas de tráfego distintas, consultando regras com nomes convenientes, em vez de exigir que defina cada assinatura manualmente.
As regras pré-configuradas do Cloud Armor ajudam a proteger as suas aplicações Web e serviços de ataques comuns da Internet e ajudam a mitigar os riscos do OWASP Top 10. A origem da regra é o OWASP Core Rule Set 3.3.2 (CRS).
Estas regras pré-configuradas podem ser ajustadas para desativar assinaturas ruidosas ou desnecessárias de outra forma. Para mais informações, consulte o artigo Ajustar as regras do WAF do Cloud Armor.
Como funciona o Cloud Armor
O Cloud Armor oferece proteção DDoS sempre ativada contra ataques DDoS volumétricos baseados na rede ou no protocolo. Esta proteção destina-se a aplicações ou serviços atrás de balanceadores de carga. É capaz de detetar e mitigar ataques de rede para permitir apenas pedidos bem formados através dos proxies de equilíbrio de carga. As políticas de segurança aplicam políticas de filtragem personalizadas da camada 7, incluindo regras de WAF pré-configuradas que mitigam os riscos de vulnerabilidade das aplicações Web do OWASP Top 10. Pode anexar políticas de segurança aos serviços de back-end dos Application Load Balancers externos regionais.As políticas de segurança do Cloud Armor permitem-lhe conceder ou negar acesso à sua implementação no limite, o mais próximo possível da origem do tráfego de entrada. Trusted Cloud Isto impede que o tráfego indesejável consuma recursos ou entre nas suas redes da nuvem virtual privada (VPC).
Pode usar algumas ou todas estas funcionalidades para proteger a sua aplicação. Pode usar políticas de segurança para fazer a correspondência com condições conhecidas e criar regras de WAF para se proteger contra ataques comuns, como os encontrados no ModSecurity Core Rule Set 3.3.2.