En las siguientes secciones se explica cómo interactúa Cloud Armor con otras Trusted Cloud by S3NS funciones y productos.
Reglas de cortafuegos de Cloud Armor y de VPC
Las políticas de seguridad de Cloud Armor y las reglas de cortafuegos de VPC tienen funciones diferentes:
- Las políticas de seguridad de Cloud Armor proporcionan seguridad perimetral y actúan sobre el tráfico de clientes a los front-ends de Google (GFEs).
- Las reglas de cortafuegos de VPC permiten o deniegan el tráfico hacia y desde tus back-ends. Debes crear reglas de firewall de entrada permitidas, cuyos destinos sean las VMs de backend con balanceo de carga y cuyas fuentes sean intervalos de IPs usados por balanceadores de carga de aplicación externos globales o balanceadores de carga de aplicación clásicos. Estas reglas permiten que los GFE y los sistemas de comprobación del estado se comuniquen con tus VMs de backend.
Por ejemplo, supongamos que quieres permitir que solo el tráfico de los intervalos CIDR 100.1.1.0/24 y 100.1.2.0/24 acceda a tu balanceador de carga de aplicación externo global o a tu balanceador de carga de aplicación clásico. Tu objetivo es bloquear el tráfico para que no llegue directamente a las instancias de backend balanceadas de carga. Es decir, solo el tráfico externo proxyizado a través del balanceador de carga de aplicación externo global o del balanceador de carga de aplicación clásico con una política de seguridad asociada puede llegar a las instancias.
En el diagrama anterior se muestra la siguiente configuración de implementación:
- Crea dos grupos de instancias, uno en la región
us-west1y otro en la regióneurope-west1. - Despliega instancias de la aplicación de backend en las VMs de los grupos de instancias.
- Crea un balanceador de carga de aplicación externo global o un balanceador de carga de aplicación clásico en el nivel Premium. Configura un mapa de URLs y un único servicio de backend cuyos backends sean los dos grupos de instancias que has creado en el paso anterior. La regla de reenvío del balanceador de carga debe usar la dirección IP externa
120.1.1.1. - Configura una política de seguridad de Cloud Armor que permita el tráfico de 100.1.1.0/24 y 100.1.2.0/24, y deniegue el resto del tráfico.
- Asocia esta política al servicio de backend del balanceador de carga. Para obtener instrucciones, consulta Configurar políticas de seguridad de Cloud Armor. Los balanceadores de carga HTTP(S) externos con mapas de URLs más complejos pueden hacer referencia a varios servicios de backend. Puedes asociar la política de seguridad a uno o varios de los servicios de backend según sea necesario.
- Configura reglas de cortafuegos de entrada para permitir el tráfico del balanceador de carga de aplicaciones externo global o del balanceador de carga de aplicaciones clásico. Para obtener más información, consulta Reglas de cortafuegos.
Cloud Armor con Cloud Run, App Engine o Cloud Run functions
Puede usar políticas de seguridad de Cloud Armor con un backend de NEG sin servidor que apunte a un servicio de Cloud Run, App Engine o Cloud Run functions.
Sin embargo, cuando usas Cloud Armor con NEGs sin servidor, Cloud Run o Cloud Run Functions, todo el acceso al endpoint sin servidor debe filtrarse a través de una política de seguridad de Cloud Armor.
Los usuarios que tengan la URL predeterminada de una aplicación sin servidor pueden saltarse el balanceador de carga e ir directamente a la URL del servicio. De esta forma, se omiten las políticas de seguridad de Cloud Armor. Para solucionar este problema, inhabilita la URL predeterminada que Trusted Cloud se asigna automáticamente a los servicios de Cloud Run o a las funciones de Cloud Run (2.ª gen.). Para proteger las aplicaciones de App Engine, puedes usar controles de acceso.
Si usas controles de entrada para aplicar tus controles de acceso a todo el tráfico entrante, puedes usar el ajuste de entrada internal-and-gclb al configurar funciones de Cloud Run o Cloud Run.
El ajuste de internal-and-gclb de Ingress solo permite el tráfico interno y el tráfico enviado a una dirección IP externa expuesta por el balanceador de carga de aplicaciones externo global o el balanceador de carga de aplicaciones clásico. El tráfico que se envía a estas URLs predeterminadas desde fuera de tu red privada se bloquea.
De esta forma, los usuarios no pueden eludir los controles de acceso (como las políticas de seguridad de Cloud Armor) configurados mediante el balanceador de carga de aplicación externo global o el balanceador de carga de aplicación clásico.
Para obtener más información sobre los NEGs sin servidor, consulta la descripción general de los grupos de puntos finales de red sin servidor y el artículo Configurar NEGs sin servidor.
Cloud Armor con Cloud Service Mesh
Puedes configurar políticas de seguridad de servicios internos para tu malla de servicios con el fin de aplicar límites de frecuencia globales del lado del servidor por cliente, lo que te ayudará a compartir de forma equitativa la capacidad disponible de tu servicio y a mitigar el riesgo de que los clientes maliciosos o que no se comporten correctamente sobrecarguen tus servicios. Puedes asociar una política de seguridad a una política de endpoints de Cloud Service Mesh para aplicar la limitación de frecuencia al tráfico entrante del lado del servidor. Sin embargo, no puedes configurar una política de seguridad de Google Cloud Armor si usas el enrutamiento de tráfico TCP. Para obtener más información sobre cómo usar Cloud Armor con Cloud Service Mesh, consulta el artículo Configurar la limitación de frecuencia con Cloud Armor.