Cloud Armor 可協助您保護 Cloud de Confiance by S3NS 部署作業,防範多種威脅,包括分散式阻斷服務 (DDoS) 攻擊,以及跨網站指令碼攻擊 (XSS) 和 SQL 植入 (SQLi) 等應用程式攻擊。Cloud Armor 功能提供自動防護機制,也提供手動設定選項。 本文將概略介紹這些功能。
安全性政策
使用 Cloud Armor 安全性政策,保護負載平衡器後方執行的應用程式,防範分散式阻斷服務 (DDoS) 及其他網路攻擊。 您可以手動設定安全性政策,並在安全性政策中設定相符條件和動作。Cloud Armor 也提供預先設定的安全政策,涵蓋各種用途。詳情請參閱 Cloud Armor 安全性政策總覽。規則語言
Cloud Armor 可讓您在安全性政策中定義優先順序規則,並設定可設定的比對條件和動作。如果規則的屬性與傳入要求的屬性相符,且該規則的優先順序最高,系統就會套用設定的動作,讓規則生效。詳情請參閱 Cloud Armor 自訂規則語言參考資料。
預先設定的網路應用程式防火牆規則
Cloud Armor 預先設定的 WAF 規則是複雜的網頁應用程式防火牆 (WAF) 規則,包含依開放原始碼業界標準編譯的數十個簽名。每個簽章都對應規則集中的攻擊偵測規則。這些規則是依現狀提供。規則會參照方便命名的規則,讓 Cloud Armor 評估數十種不同的流量特徵,而不需您手動定義每項特徵。
Cloud Armor 預先設定的規則可保護網頁應用程式和服務,防範網際網路上的常見攻擊,並降低 OWASP 前 10 大風險。規則來源為 OWASP 核心規則集 4.22。
您可以調整這些預先設定的規則,停用雜訊或其他不必要的簽章。詳情請參閱「調整 Cloud Armor WAF 規則」。
Cloud Armor 的運作方式
Cloud Armor 提供全天候防護,可抵禦 L3 和 L4 巨流量 DDoS 攻擊,以及以網路通訊協定為基礎的 DDoS 攻擊,並即時自動進行內嵌式緩解,不會影響延遲。這項防護措施適用於負載平衡器後方的應用程式或服務。Cloud Armor 可偵測及緩解網路攻擊,只允許格式正確的要求通過負載平衡 Proxy。
Cloud Armor 可防範 L7 (應用程式層) 威脅,包括 HTTP Flood 等 L7 DDoS 攻擊,但這項防護功能需要使用者設定安全性政策,並主動制定規則。安全性政策會強制執行自訂 L7 篩選政策,包括預先設定的網路應用程式防火牆規則,可防範 OWASP 公告的網路應用程式 10 大安全漏洞風險。您可以將安全性政策附加至下列負載平衡器的後端服務: Cloud Armor 提供全天候防護,可抵禦第 3 層和第 4 層 (L3 和 L4) 的巨流量和網路通訊協定 DDoS 攻擊,並即時自動進行內嵌式緩解,不會影響延遲。這項防護措施適用於負載平衡器後方的應用程式或服務。Cloud Armor 可偵測及緩解網路攻擊,只允許格式正確的要求通過負載平衡 Proxy。
Cloud Armor 可防範 L7 (應用程式層) 威脅,包括 HTTP Flood 等 L7 DDoS 攻擊,但這項防護功能需要使用者設定安全性政策,並主動制定規則。安全性政策會強制執行自訂 L7 篩選政策,包括預先設定的網路應用程式防火牆規則,可防範 OWASP 公告的網路應用程式 10 大安全漏洞風險。您可以將安全性政策附加至區域外部應用程式負載平衡器的後端服務。
您可以透過 Cloud Armor 安全性政策,在 Cloud de Confiance 邊緣允許或拒絕存取部署作業,盡可能靠近傳入流量的來源位置。這有助於防止不當流量消耗資源,或進入虛擬私有雲 (VPC) 網路。
您可以運用部分或所有這些功能來保護應用程式。您可以運用安全性政策比對已知條件,並建立網路應用程式防火牆規則,防範常見攻擊,例如 ModSecurity 核心規則集 4.22 中列出的攻擊。