Zum Hauptinhalt springen
S3NS
Dokumentation Technologiebereiche
  • Anwendungsentwicklung
  • Anwendungshosting
  • Computing
  • Datenanalyse und Pipelines
  • Datenbanken
  • Netzwerk
  • Beobachtbarkeit und Monitoring
  • Sicherheit
  • Storage
Produktübergreifende Tools
  • Zugriffs- und Ressourcenverwaltung
  • Cloud SDK, Sprachen, Frameworks und Tools
  • Infrastruktur als Code
/
  • English
  • Deutsch
  • Español – América Latina
  • Français
  • Indonesia
  • Italiano
  • Português – Brasil
  • 中文 – 简体
  • 中文 – 繁體
  • 日本語
  • 한국어
Anmelden
  • Google Cloud Armor
Übersicht Leitfäden Referenzen Support Ressourcen
S3NS
  • Dokumentation
    • Übersicht
    • Leitfäden
    • Referenzen
    • Support
    • Ressourcen
  • Technologiebereiche
    • Mehr
  • Produktübergreifende Tools
    • Mehr
  • Erste Schritte
  • Produktübersicht
  • In andere Google-Produkte integrieren
  • Best Practices
  • Unterschiede bei Trusted Cloud
  • Los gehts
  • Übersicht über die Sicherheitsrichtlinien
  • Anwendungsfälle für Sicherheitsrichtlinien
  • Sicherheitsrichtlinien konfigurieren
  • Beispiel für Sicherheitsrichtlinien
  • Funktionen hinzufügen
  • Sprachattribute mit benutzerdefinierte Regeln konfigurieren
  • Vorkonfigurierte WAF-Regeln anwenden
    • Übersicht
    • WAF-Regeln einrichten
    • WAF-Regeln optimieren
  • Ratenbegrenzung anwenden
    • Übersicht
    • Ratenbegrenzung konfigurieren
  • Parsen des POST-Texts
  • Ausführliche Protokollierung
  • Tags verwalten
  • Tags erstellen und verwalten
  • Überwachen und Fehler beheben
  • Sicherheitsrichtlinien überwachen
  • Anfrage-Logging verwenden
  • Fehler beheben
  • Anwendungsentwicklung
  • Anwendungshosting
  • Computing
  • Datenanalyse und Pipelines
  • Datenbanken
  • Netzwerk
  • Beobachtbarkeit und Monitoring
  • Sicherheit
  • Storage
  • Zugriffs- und Ressourcenverwaltung
  • Cloud SDK, Sprachen, Frameworks und Tools
  • Infrastruktur als Code
Einige oder alle Informationen auf dieser Seite gelten möglicherweise nicht für Trusted Cloud von S3NS.
Diese Seite wurde von der Cloud Translation API übersetzt.
  • Home
  • Dokumentation
  • Google Cloud Armor
  • Documentation
  • Leitfäden

Beispiel für Sicherheitsrichtlinien

Auf dieser Seite werden Beispielkonfigurationen für Sicherheitsrichtlinien für verschiedene Arten von Load-Balancern und Sicherheitsrichtlinien beschrieben.

Sicherheitsrichtlinien erstellen

Sie können Sicherheitsrichtlinien über die Trusted Cloud Console oder die gcloud CLI erstellen. Bei den Anleitungen in diesem Abschnitt wird davon ausgegangen, dass Sie Sicherheitsrichtlinien konfigurieren, die auf einen vorhandenen globalen externen Application Load Balancer oder einen klassischen Application Load Balancer und einen Backend-Dienst angewendet werden sollen. Ein Beispiel zum Ausfüllen der Felder finden Sie unter Beispiel erstellen.

Console

Erstellen Sie Cloud Armor-Sicherheitsrichtlinien und -regeln und hängen Sie eine Sicherheitsrichtlinie an einen Back-End-Dienst an:

  1. Rufen Sie in der Trusted Cloud Console die Seite Google Cloud Armor-Richtlinien auf.

    Zu Google Cloud Armor-Richtlinien

  2. Klicken Sie auf Richtlinien erstellen.

  3. Geben Sie im Feld Name den Namen Ihrer Richtlinie ein.

  4. Optional: Geben Sie eine Beschreibung der Richtlinie ein.

  5. Wählen Sie als Richtlinientyp Backend-Sicherheitsrichtlinie oder Edge-Sicherheitsrichtlinie aus.

  6. Wählen Sie als Aktion der Standardregel Zulassen für eine Standardregel aus, die den Zugriff erlaubt, oder Ablehnen für eine Standardregel, die den Zugriff auf eine IP-Adresse oder einen IP-Adressbereich ablehnt.

    Die Standardregel ist die Regel mit der niedrigsten Priorität, die nur dann wirksam wird, wenn keine andere Regel zutrifft.

  7. Wenn Sie eine Ablehnungsregel konfigurieren, wählen Sie Status "Abgelehnt" aus. Dies ist die Fehlermeldung, die Cloud Armor anzeigt, wenn ein Nutzer ohne Zugriff versucht, Zugriff zu erhalten.

  8. Klicken Sie unabhängig von der Art der Regel, die Sie konfigurieren, auf Nächster Schritt.

So fügen Sie weitere Regeln hinzu:

  1. Klicken Sie auf Regel hinzufügen.
  2. Optional: Geben Sie eine Beschreibung für die Regel ein.

  3. Wählen Sie den Modus aus:

    • Basis-Modus: Zulassen oder Ablehnen von Traffic basierend auf IP-Adressen oder -Bereichen.
    • Erweiterter Modus: Zulassen oder Ablehnen von Traffic basierend auf Regelausdrücken.

  4. Geben Sie im Feld Abgleich die Bedingungen an, unter denen die Regel angewendet wird.

    • Basis-Modus: Geben Sie die IP-Adressen oder -Bereiche ein, die in der Regel übereinstimmen sollen.
    • Erweiterter Modus: Geben Sie einen Ausdruck oder Unterausdrücke ein, um sie anhand eingehender Anfragen auszuwerten. Informationen zum Schreiben der Ausdrücke finden Sie unter Sprachattribute mit benutzerdefinierten Regeln konfigurieren.

  5. Wählen Sie als Aktion Zulassen oder Ablehnen aus, um Traffic zuzulassen oder abzulehnen, wenn die Regel übereinstimmt.

  6. Klicken Sie das Kästchen Aktivieren an, um den Vorschaumodus zu aktivieren. Im Vorschaumodus können Sie sehen, wie sich die Regel verhält. Sie ist jedoch nicht aktiviert.

  7. Geben Sie die Priorität der Regel ein. Dies kann eine beliebige positive Ganzzahl von 0 bis 2.147.483.646 sein. Weitere Informationen zur Auswertungsreihenfolge finden Sie unter Regelauswertungsreihenfolge.

  8. Klicken Sie auf Fertig.

  9. Wenn Sie weitere Regeln hinzufügen möchten, klicken Sie auf Regel hinzufügen und wiederholen Sie die vorherigen Schritte. Klicken Sie andernfalls auf Nächster Schritt.

Wenden Sie die Richtlinie auf Ziele an:

  1. Klicken Sie auf Ziel hinzufügen.
  2. Wählen Sie in der Liste Ziel ein Ziel aus.
  3. Wenn Sie weitere Ziele hinzufügen möchten, klicken Sie auf Ziel hinzufügen.
  4. Klicken Sie auf Fertig.
  5. Klicken Sie auf Richtlinie erstellen.

gcloud

  1. Verwenden Sie zum Erstellen einer neuen Cloud Armor-Sicherheitsrichtlinie den Befehl gcloud compute security-policies create.

    Verwenden Sie im Feld type den Wert CLOUD_ARMOR, um eine Backend-Sicherheitsrichtlinie zu erstellen, oder CLOUD_ARMOR_EDGE, um eine Edge-Sicherheitsrichtlinie zu erstellen. Das Flag type ist optional. Wenn kein Typ angegeben ist, wird standardmäßig eine Backend-Sicherheitsrichtlinie erstellt:

    gcloud compute security-policies create NAME \
   [--type=CLOUD_ARMOR|CLOUD_ARMOR_EDGE] \
   [--file-format=FILE_FORMAT | --description=DESCRIPTION] \
   [--file-name=FILE_NAME]

    Ersetzen Sie Folgendes:

    • NAME: der Name der Sicherheitsrichtlinie
    • DESCRIPTION: die Beschreibung der Sicherheitsrichtlinie

    Mit dem folgenden Befehl wird eine zuvor erstellte Richtlinie aktualisiert, das JSON-Parsen aktiviert und die Logging-Ebene in VERBOSE geändert:

    gcloud compute security-policies update my-policy \
    --json-parsing=STANDARD \
    --log-level=VERBOSE

  2. Verwenden Sie den Befehl gcloud compute security-policies rules create PRIORITY, um einer Sicherheitsrichtlinie Regeln hinzuzufügen.

    gcloud compute security-policies rules create PRIORITY  \
    [--security-policy POLICY_NAME] \
    [--description DESCRIPTION] \
    --src-ip-ranges IP_RANGE,... | --expression EXPRESSION \
    --action=[ allow | deny-403 | deny-404 | deny-502 ] \
    [--preview]

    Ersetzen Sie PRIORITY durch die der Regel in der Richtlinie zugewiesene Priorität. Informationen zur Funktionsweise der Regelpriorität finden Sie unter Regelauswertungsreihenfolge.

    Der folgende Befehl fügt beispielsweise eine Regel hinzu, mit der Traffic von den IP-Adressbereichen 192.0.2.0/24 und 198.51.100.0/24 blockiert wird. Die Regel hat die Priorität 1.000 und ist eine Regel in der Richtlinie my-policy.

    gcloud compute security-policies rules create 1000 \
    --security-policy my-policy \
    --description "block traffic from 192.0.2.0/24 and 198.51.100.0/24" \
    --src-ip-ranges "192.0.2.0/24","198.51.100.0/24" \
    --action "deny-403"

    Wenn das Flag --preview hinzugefügt wird, wird die Regel zur Richtlinie hinzugefügt, aber nicht erzwungen, und der Traffic, der die Regel auslöst, wird nur in Logs erfasst.

    gcloud compute security-policies rules create 1000 \
    --security-policy my-policy \
    --description "block traffic from 192.0.2.0/24 and 198.51.100.0/24" \
    --src-ip-ranges "192.0.2.0/24","198.51.100.0/24" \
    --action "deny-403" \
    --preview

    Verwenden Sie das Flag --expression, um eine benutzerdefinierte Bedingung anzugeben. Weitere Informationen finden Sie unter Sprachattribute für benutzerdefinierte Regeln konfigurieren. Der folgende Befehl fügt eine Regel hinzu, die Traffic von der IP-Adresse 1.2.3.4 zulässt, und enthält den String example im user-agent-Header:

    gcloud compute security-policies rules create 1000 \
    --security-policy my-policy \
    --expression "inIpRange(origin.ip, '1.2.3.4/32') && has(request.headers['user-agent']) && request.headers['user-agent'].contains('example')" \
    --action allow \
    --description "Block User-Agent 'example'"

    Der folgende Befehl fügt eine Regel zum Blockieren von Anfragen hinzu, wenn das Cookie der Anfrage einen bestimmten Wert enthält:

    gcloud compute security-policies rules create 1000 \
    --security-policy my-policy \
    --expression "has(request.headers['cookie']) && request.headers['cookie'].contains('cookie_name=cookie_value')" \
    --action "deny-403" \
    --description "Cookie Block"

    Der folgende Befehl fügt eine Regel hinzu, um Anfragen aus der Region AU zu blockieren:

    gcloud compute security-policies rules create 1000 \
    --security-policy my-policy \
    --expression "origin.region_code == 'AU'" \
    --action "deny-403" \
    --description "AU block"

    Der folgende Befehl fügt eine Regel hinzu, um Anfragen aus der Region AU zu blockieren, die nicht im angegebenen IP-Bereich liegen:

    gcloud compute security-policies rules create 1000 \
    --security-policy my-policy \
    --expression "origin.region_code == 'AU' && !inIpRange(origin.ip, '1.2.3.0/24')" \
    --action "deny-403" \
    --description "country and IP block"

    Der folgende Befehl fügt eine Regel hinzu, um Anfragen mit einem URI zu blockieren, der einem regulären Ausdruck entspricht:

    gcloud compute security-policies rules create 1000 \
    --security-policy my-policy \
    --expression "request.path.matches('/example_path/')" \
    --action "deny-403" \
    --description "regex block"

    Der folgende Befehl fügt eine Regel zum Blockieren von Anfragen hinzu, wenn der Base64-decodierte Wert des Headers user-id einen bestimmten Wert enthält:

    gcloud compute security-policies rules create 1000 \
    --security-policy my-policy \
    --expression "has(request.headers['user-id']) && request.headers['user-id'].base64Decode().contains('myValue')" \
    --action "deny-403" \
    --description "country and IP block"

    Der folgende Befehl fügt eine Regel hinzu, die einen vorkonfigurierten Ausdruck verwendet, um SQLi-Angriffe abzuwenden:

    gcloud compute security-policies rules create 1000 \
    --security-policy my-policy \
    --expression "evaluatePreconfiguredWaf('sqli-stable')" \
    --action "deny-403"

    Der folgende Befehl fügt eine Regel hinzu, die einen vorkonfigurierten Ausdruck verwendet, um den Zugriff von allen IP-Adressen in einer Liste mit benannten IP-Adressen zuzulassen:

    gcloud compute security-policies rules create 1000 \
    --security-policy my-policy \
    --expression "evaluatePreconfiguredWaf('sourceiplist-fastly')" \
    --action "allow"

Sicherheitsrichtlinien für regionale externe Application Load Balancer konfigurieren

Dieser Abschnitt enthält Informationen zum Konfigurieren von regionalen Cloud Armor-Sicherheitsrichtlinien für regionale externe Application Load Balancer.

Regional ausgeglichene Arbeitslasten schützen

Gehen Sie so vor, um eine Sicherheitsrichtlinie zum Schutz Ihres regionalen Backend-Dienstes zu konfigurieren:

  1. Erstellen Sie eine Sicherheitsrichtlinie mit regionalem Geltungsbereich.

    gcloud compute security-policies create POLICY_NAME \
   --type=CLOUD_ARMOR \
   --region=REGION

  2. Hängen Sie die Sicherheitsrichtlinie mit regionalem Geltungsbereich an einen Back-End-Dienst mit regionalem Geltungsbereich an. Ersetzen Sie BACKEND_NAME durch den Namen Ihres vorhandenen regionalen Backend-Dienstes.

    gcloud compute backend-services update BACKEND_NAME \
   --security-policy=POLICY_NAME \
   --region=REGION

Regional begrenzte Cloud Armor-Sicherheitsrichtlinie anwenden

Angenommen, Sie sind ein Sicherheitsadministrator, der eine Anforderung erfüllen möchte, dass alle Ihre Backend-Arbeitslasten und WAF-Regeln in einer bestimmten Region bereitgestellt werden. Angenommen, Sie haben Folgendes bereits erledigt:

  1. Sie haben regional begrenzte Backend-Dienste mit Load Balancing in der Region erstellt.
  2. Sie haben alle vorhandenen globalen Sicherheitsrichtlinien in Ihrer Bereitstellung deaktiviert.
  3. Sie haben eine Sicherheitsrichtlinie mit regionalem Geltungsbereich in derselben Region erstellt und angehängt (wie im vorherigen Abschnitt).

Sie können Ihrer Richtlinie WAF-Regeln und andere erweiterte Regeln hinzufügen und gleichzeitig die Anforderung erfüllen, indem Sie die folgenden Beispielbefehle verwenden:

  • Fügen Sie der Richtlinie eine WAF-Regel hinzu:

    gcloud compute security-policies rules create 1000 --action=deny-404 \
  --expression="evaluatePreconfiguredWaf('xss-v33-stable', ['owasp-crs-v030301-id941100-xss', 'owasp-crs-v030301-id941160-xss'])" \
  --security-policy=POLICY_NAME \
  --region=REGION

  • Fügen Sie der Richtlinie eine erweiterte Regel hinzu:

    gcloud compute security-policies rules create 1000 --action=allow \
  --expression="has(request.headers['cookie']) && request.headers['cookie'].contains('80=EXAMPLE')" \
  --security-policy=POLICY_NAME \
  --region=REGION

  • Fügen Sie der Richtlinie eine Ratenbegrenzungsregel hinzu:

    gcloud compute security-policies rules create 1000 --action=throttle \
  --src-ip-ranges="1.1.1.1/32" \
  --rate-limit-threshold-count=1000 \
  --rate-limit-threshold-interval-sec=120 \
  --conform-action="allow" \
  --exceed-action="deny-429" \
  --enforce-on-key=IP \
  --ban-duration-sec=999 \
  --ban-threshold-count=5000 \
  --ban-threshold-interval-sec=60 \
  --security-policy=POLICY_NAME \
  --region=REGION

Nächste Schritte

  • Cloud Armor-Sicherheitsrichtlinien konfigurieren
  • Weitere Informationen zur Ratenbegrenzung

Sofern nicht anders angegeben, sind die Inhalte dieser Seite unter der Creative Commons Attribution 4.0 License und Codebeispiele unter der Apache 2.0 License lizenziert. Weitere Informationen finden Sie in den Websiterichtlinien von Google Developers. Java ist eine eingetragene Marke von Oracle und/oder seinen Partnern.

Zuletzt aktualisiert: 2025-08-04 (UTC).
  • Nutzungsbedingungen
  • Datenschutz
  • Manage cookies
  • English
  • Deutsch
  • Español – América Latina
  • Français
  • Indonesia
  • Italiano
  • Português – Brasil
  • 中文 – 简体
  • 中文 – 繁體
  • 日本語
  • 한국어