Questa pagina contiene informazioni sulla configurazione dell'analisi dei contenuti del corpo POST, una funzionalità facoltativa che puoi utilizzare con le tue policy di sicurezza Cloud Armor.
Per impostazione predefinita, Cloud Armor valuta l'intero contenuto di un corpo POST come stringa uniforme (soggetta a limitazioni delle dimensioni del corpo) rispetto alle firme nelle regole WAF preconfigurate. Per le richieste che contengono codifica alternativa come JSON, i componenti strutturali del messaggio (non specificati dall'utente) possono attivare corrispondenze con le firme WAF preconfigurate. Per evitare rumore e ridurre il rischio di falsi positivi, ti consigliamo di configurare Cloud Armor in modo da attivare l'analisi alternativa per qualsiasi tipo di contenuti supportato se i tuoi workload protetti eseguono le seguenti operazioni:
- Servire API REST
- Utilizzare GraphQL
- Ricevere richieste con contenuti codificati in JSON.
Puoi abilitare o disabilitare l'analisi dei contenuti del corpo JSON delle richieste POST per
ogni policy di sicurezza. Quando l'intestazione Content-Type è impostata su
application/json, utilizza il flag --json-parsing in Google Cloud CLI.
Per impostazione predefinita, questa opzione è disattivata. Di seguito è riportata la sintassi del flag:
--json-parsing=[STANDARD | STANDARD_WITH_GRAPHQL | DISABLED]
Il flag è disponibile solo con gcloud compute security-policies update. Non puoi creare una nuova policy di sicurezza con questa opzione, a meno che tu non crei una policy di sicurezza in un file e poi importi il file. Per ulteriori informazioni, vedi
Importare le norme di sicurezza.
Utilizzare l'analisi JSON
Nell'esempio seguente, configuri un elenco di valori di intestazione Content-Type personalizzati per i quali viene applicata l'analisi alternativa. L'esempio aggiorna la
policy di sicurezza POLICY_NAME per attivare l'analisi JSON e specifica i
tipi di contenuti application/json, application/vnd.api+json,
application/vnd.collection+json e application/vnd.hyper+json:
gcloud compute security-policies update POLICY_NAME \
--json-parsing STANDARD \
--json-custom-content-types "application/json,application/vnd.api+json,application/vnd.collection+json,application/vnd.hyper+json"
Utilizzare l'analisi GraphQL
Per configurare l'analisi GraphQL, aggiorna la policy di sicurezza impostando il
flag --json-parsing su STANDARD_WITH_GRAPHQL:
gcloud compute security-policies update POLICY_NAME \
--json-parsing STANDARD_WITH_GRAPHQL
Logging
Ogni richiesta HTTP(S) valutata in base a un criterio di sicurezza Cloud Armor viene registrata tramite Cloud Logging. I log forniscono dettagli, ad esempio il nome della norma di sicurezza applicata, la regola corrispondente e se la regola è stata applicata. Il logging delle richieste per le nuove risorse del servizio di backend è disattivato per impostazione predefinita. Per registrare le richieste Cloud Armor, devi attivare l'impostazione di logging HTTP(S) per ogni servizio di backend protetto da un criterio di sicurezza. Per saperne di più, consulta Logging e monitoraggio del bilanciatore del carico delle applicazioni esterno regionale.
Limitazioni
Tieni presenti le seguenti limitazioni durante la configurazione dell'analisi JSON:
Cloud Armor ispeziona il corpo di
HTTP POSTfino ai primi 8 kB per impostazione predefinita. Puoi configurare questo limite su 8 kB, 16 kB, 32 kB, 48 kB o 64 kB. Se i contenuti JSON sono superiori al limite di ispezione configurato, Cloud Armor applica l'analisi JSON fino a questo limite, che viene poi ispezionato da una delle regole WAF preconfigurate.Per ulteriori informazioni sulla configurazione del limite di ispezione per il corpo della richiesta quando utilizzi regole WAF preconfigurate, consulta Limitazione dell'ispezione del corpo delle richieste POST e PATCH.
Se l'analizzatore JSON non restituisce alcun risultato, potrebbe essere tentata l'analisi dell'URI. Se il parser URI non restituisce parametri nome-valore o solo parametri nome-valore parziali, la stringa intera o parziale potrebbe essere trattata come nome del parametro per l'ispezione.