產品總覽

Google Cloud Armor 可協助您保護 Trusted Cloud by S3NS 部署作業,防範多種威脅,包括分散式阻斷服務 (DDoS) 攻擊,以及跨網站指令碼攻擊 (XSS) 和 SQL 植入 (SQLi) 等應用程式攻擊。Cloud Armor 功能提供部分自動防護措施,以及部分需要手動設定的措施。本文將簡要介紹這些功能,其中有幾項功能僅適用於全域外部應用程式負載平衡器和傳統版應用程式負載平衡器。

安全性政策

無論應用程式是部署在 Trusted Cloud by S3NS、混合式部署環境或多雲端架構,您都可以使用 Cloud Armor 安全性政策,保護負載平衡器後方執行的應用程式,免受分散式阻斷服務 (DDoS) 和其他網路攻擊侵擾。您可以手動設定安全性政策,並在安全性政策中設定相符條件和動作。Cloud Armor 也提供預先設定的安全政策,涵蓋各種用途。詳情請參閱 Cloud Armor 安全性政策總覽

規則語言

您可以在安全性政策中定義優先順序規則,並設定比對條件和動作。如果規則的屬性與傳入要求的屬性相符,且該規則的優先順序最高,系統就會套用設定的動作,讓規則生效。詳情請參閱 Cloud Armor 自訂規則語言參考資料

預先設定的網路應用程式防火牆規則

Google Cloud Armor 預先設定的 WAF 規則是複雜的網頁應用程式防火牆 (WAF) 規則,包含依開放原始碼業界標準編譯的數十個簽名。每個簽章都對應規則集中的攻擊偵測規則。Google 會依現狀提供這些規則。Cloud Armor 參照方便命名的規則,即可評估數十種不同的流量簽章,而不必手動定義每個簽章。

Cloud Armor 預先設定的規則可保護網頁應用程式和服務,防範網際網路上的常見攻擊,並降低 OWASP 前 10 大風險。規則來源為 OWASP 核心規則集 3.3.2 (CRS)

您可以調整這些預先設定的規則,停用雜訊或其他不必要的簽章。詳情請參閱調整 Cloud Armor WAF 規則

Cloud Armor 的運作方式

Cloud Armor 提供全天候 DDoS 防護,可防範網路或通訊協定型巨流量 DDoS 攻擊。這項防護功能適用於負載平衡器後方的應用程式或服務。這項功能可偵測並防範網路攻擊,確保只有格式正確的要求能通過負載平衡 Proxy。安全政策會強制執行自訂第 7 層篩選政策,包括預先設定的 WAF 規則,可防範 OWASP 前 10 大網頁應用程式安全漏洞風險。您可以將安全性政策附加至區域外部應用程式負載平衡器的後端服務。

Cloud Armor 安全性政策可讓您在 Trusted Cloud 邊緣允許或拒絕存取部署作業,盡可能靠近傳入流量的來源位置。這有助於防止不當流量消耗資源,或進入虛擬私有雲 (VPC) 網路。

您可以運用部分或所有這些功能來保護應用程式。您可以運用安全性政策比對已知條件,並建立 WAF 規則,防範常見攻擊,例如 ModSecurity 核心規則集 3.3.2 中的攻擊。

後續步驟