יכול להיות שחלק מהמידע בדף הזה או כולו לא רלוונטי ל-Cloud de Confiance by S3NS. פרטים נוספים מופיעים במאמר מה ההבדל מ-Google Cloud.

שילוב של Cloud Armor עם מוצרים אחרים של Google

בקטעים הבאים מוסבר איך Cloud Armor פועל עם תכונות ומוצרים אחרים של Cloud de Confiance by S3NS Google.

Cloud Armor וכללי חומת אש של VPC

לכללי מדיניות האבטחה של Cloud Armor ולכללי חומת האש של VPC יש פונקציות שונות:

כללי מדיניות האבטחה של Cloud Armor מספקים אבטחה בקצה הרשת ופועלים על תעבורת לקוחות אל ממשקי הקצה של Google ‏ (GFE).
כללי חומת אש ב-VPC מאפשרים תעבורה או מונעים אותה מהעורפים שלכם ואליהם. צריך ליצור כללי חומת אש שמקבלים תעבורת נתונים נכנסת (ingress), שהיעדים שלהם הם מכונות וירטואליות (VM) בק-אנד עם איזון עומסים, והמקורות שלהם הם טווח כתובות ה-IP שמשמשות מאזני עומסים גלובליים חיצוניים של אפליקציות או מאזני עומסים קלאסיים של אפליקציות. הכללים האלה מאפשרים ל-GFE ולמערכות בדיקת התקינות לתקשר עם המכונות הווירטואליות של השרת העורפי.

לדוגמה, נניח שאתם רוצים לאפשר תנועה רק מטווח ה-CIDR‏ 100.1.1.0/24 ומטווח ה-CIDR‏ 100.1.2.0/24 כדי לגשת למאזן עומסים חיצוני גלובלי של אפליקציות (ALB) או למאזן עומסים קלאסי של אפליקציות. המטרה היא לחסום תעבורה שלא מגיעה ישירות למופעים העורפיים (backend) של מאזן העומסים. במילים אחרות, רק תנועה חיצונית שמועברת דרך מאזן עומסים גלובלי חיצוני של אפליקציות (ALB) או דרך מאזן עומסים קלאסי של אפליקציות עם מדיניות אבטחה משויכת יכולה להגיע למופעים.

שימוש במדיניות האבטחה של Cloud Armor עם חומות אש של תעבורת נתונים נכנסת (ingress) כדי להגביל את הגישה. — שימוש בכללי מדיניות האבטחה של Cloud Armor עם חומות אש של תעבורת נכנסת כדי להגביל את הגישה (לחצו כדי להגדיל).

התרשים הקודם מציג את הגדרת הפריסה הבאה:

יוצרים שתי קבוצות של מכונות, אחת באזור us-west1 ואחת באזור europe-west1.
פריסת מופעים של אפליקציות backend במכונות הווירטואליות בקבוצות המופעים.
יוצרים מאזן עומסים גלובלי חיצוני של אפליקציות (ALB) או מאזן עומסים קלאסי של אפליקציות (ALB) במסלול פרימיום. מגדירים מפת URL ושירות לקצה העורפי יחיד, שהבק-אנדים שלו הם שתי קבוצות המופעים שיצרתם בשלב הקודם. כלל ההעברה של מאזן העומסים חייב להשתמש בכתובת ה-IP החיצונית 120.1.1.1.
מגדירים מדיניות אבטחה של Cloud Armor שמאפשרת תנועה מ-100.1.1.0/24 ומ-100.1.2.0/24 ודוחה את כל התנועה האחרת.
משייכים את המדיניות הזו לשירות הקצה העורפי של מאזן העומסים. הוראות מפורטות זמינות במאמר הגדרת כללי מדיניות האבטחה של Cloud Armor. מאזני עומסים חיצוניים מסוג HTTP(S) עם מיפויי כתובות URL מורכבים יותר יכולים להפנות לכמה שירותי קצה עורפי. אפשר לשייך את מדיניות האבטחה לשירות קצה עורפי אחד או יותר לפי הצורך.
מגדירים כללי חומת אש שמאפשרים תעבורת נתונים נכנסת (ingress) כדי לאפשר תעבורת נתונים ממאזן עומסים חיצוני גלובלי של אפליקציות או ממאזן עומסים של אפליקציות בגרסה הקלאסית. מידע נוסף זמין במאמר בנושא כללים של חומת אש.

‫Cloud Armor עם Cloud Run,‏ App Engine או פונקציות Cloud Run

אפשר להשתמש במדיניות אבטחה של Cloud Armor עם קצה עורפי של NEG ל-Serverless שמפנה לשירות Cloud Run,‏ App Engine או שירות פונקציות Cloud Run.

עם זאת, כשמשתמשים ב-Cloud Armor עם קבוצות של נקודות קצה ברשת (NEGs) ללא שרתים, Cloud Run או פונקציות Cloud Run, כל הגישה לנקודת הקצה ללא שרתים חייבת לעבור סינון דרך מדיניות אבטחה של Cloud Armor.

משתמשים שיש להם את כתובת ה-URL שמוגדרת כברירת מחדל לאפליקציה בלי שרת יכולים לעקוף את איזון העומסים ולעבור ישירות לכתובת ה-URL של השירות. הפעולה הזו עוקפת את כללי האבטחה של Cloud Armor. כדי לפתור את הבעיה הזו, צריך להשבית את כתובת ה-URL שמוגדרת כברירת מחדל ומוקצית באופן אוטומטי לשירותי Cloud Run או לפונקציות Cloud Run (דור שני). Cloud de Confiance כדי להגן על אפליקציות App Engine, אפשר להשתמש באמצעי בקרה לכניסה.

אם אתם משתמשים באמצעי בקרה על תעבורת נכנסת כדי להחיל את בקרת הגישה על כל התעבורה הנכנסת, אתם יכולים להשתמש בהגדרת התעבורה הנכנסת internal-and-gclb כשאתם מגדירים פונקציות Cloud Run או Cloud Run. הגדרת ה-Ingress internal-and-gclb מאפשרת רק תנועה פנימית ותנועה שנשלחת לכתובת IP חיצונית שנחשפת על ידי מאזן העומסים הגלובלי החיצוני של אפליקציות או מאזן העומסים הקלאסי של אפליקציות. תנועה שנשלחת לכתובות ה-URL האלה שמוגדרות כברירת מחדל מחוץ לרשת הפרטית נחסמת. כך המשתמשים לא יכולים לעקוף את אמצעי בקרת הגישה (כמו מדיניות האבטחה של Cloud Armor) שהוגדרו באמצעות מאזן העומסים החיצוני הגלובלי של אפליקציות או מאזן העומסים הקלאסי של אפליקציות.

מידע נוסף על NEGs בלי שרתים זמין במאמרים סקירה כללית של קבוצות של נקודות קצה ברשת בלי שרתים והגדרת NEGs בלי שרתים.

‫Cloud Armor עם Cloud Service Mesh

אתם יכולים להגדיר מדיניות אבטחה פנימית של שירותים עבור רשת Service mesh כדי לאכוף הגבלת קצב של יצירת בקשות גלובלית בצד השרת לכל לקוח. כך תוכלו לחלוק בצורה הוגנת את הקיבולת הזמינה של השירות ולצמצם את הסיכון של לקוחות זדוניים או לקוחות שמתנהגים בצורה לא תקינה וגורמים לעומס יתר על השירותים. מצרפים מדיניות אבטחה למדיניות של נקודת קצה ב-Cloud Service Mesh כדי לאכוף הגבלת קצב של יצירת בקשות על תעבורה נכנסת בצד השרת. עם זאת, אי אפשר להגדיר מדיניות אבטחה של Google Cloud Armor אם משתמשים בניתוב תנועת TCP. מידע נוסף על שימוש ב-Cloud Armor עם Cloud Service Mesh זמין במאמר הגדרת הגבלת קצב של יצירת בקשות באמצעות Cloud Armor.