Sebagian atau seluruh informasi di halaman ini mungkin tidak berlaku untuk Cloud de Confiance dari S3NS. Lihat Perbedaan dengan Google Cloud untuk mengetahui detail selengkapnya.

Mengintegrasikan Cloud Armor dengan produk Google lainnya

Bagian berikut membahas cara Cloud Armor berinteraksi dengan fitur dan produk Cloud de Confiance by S3NS lainnya.

Aturan firewall VPC dan Cloud Armor

Kebijakan keamanan Cloud Armor dan aturan firewall VPC memiliki fungsi yang berbeda:

Kebijakan keamanan Cloud Armor memberikan keamanan edge dan menangani traffic klien ke Google Front Ends (GFE).
Aturan firewall VPC mengizinkan atau menolak traffic menuju dan dari backend Anda. Anda harus membuat aturan firewall izinkan ingress, yang targetnya adalah VM backend yang di-load balance, dan yang sumbernya adalah rentang IP yang digunakan oleh Load Balancer Aplikasi eksternal global atau Load Balancer Aplikasi klasik. Aturan ini mengizinkan GFE dan sistem health check berkomunikasi dengan VM backend Anda.

Misalnya, pertimbangkan skenario saat Anda ingin mengizinkan traffic hanya dari rentang CIDR 100.1.1.0/24 dan rentang CIDR 100.1.2.0/24 untuk mengakses Load Balancer Aplikasi eksternal global atau Load Balancer Aplikasi klasik. Tujuan Anda adalah memblokir traffic agar tidak langsung mencapai instance backend yang di-load balance. Dengan kata lain, hanya traffic eksternal yang di-proxy melalui Load Balancer Aplikasi eksternal global atau Load Balancer Aplikasi klasik dengan kebijakan keamanan terkait yang dapat mencapai instance.

Menggunakan kebijakan keamanan Cloud Armor dengan firewall ingress
untuk membatasi akses. — Menggunakan kebijakan keamanan Cloud Armor dengan firewall ingress untuk membatasi akses (klik untuk memperbesar).

Diagram sebelumnya menunjukkan konfigurasi deployment berikut:

Buat dua grup instance, satu di region us-west1 dan satu lagi di region europe-west1.
Deploy instance aplikasi backend ke VM dalam grup instance.
Buat Load Balancer Aplikasi eksternal global atau Load Balancer Aplikasi klasik di Paket Premium. Konfigurasi peta URL dan satu layanan backend yang backend-nya adalah dua grup instance yang Anda buat pada langkah sebelumnya. Aturan penerusan load balancer harus menggunakan alamat IP eksternal 120.1.1.1.
Konfigurasi kebijakan keamanan Cloud Armor yang mengizinkan traffic dari 100.1.1.0/24 dan 100.1.2.0/24 serta menolak semua traffic lainnya.
Kaitkan kebijakan ini dengan layanan backend load balancer. Untuk mengetahui petunjuknya, lihat Mengonfigurasi kebijakan keamanan Cloud Armor. Load balancer HTTP(S) eksternal dengan peta URL yang lebih kompleks dapat mereferensikan beberapa layanan backend. Anda dapat mengaitkan kebijakan keamanan dengan satu atau beberapa layanan backend sesuai kebutuhan.
Konfigurasi aturan firewall izinkan ingress untuk mengizinkan traffic dari Load Balancer Aplikasi eksternal global atau Load Balancer Aplikasi klasik. Untuk mengetahui informasi selengkapnya, lihat Aturan firewall.

Cloud Armor dengan Cloud Run, App Engine, atau Cloud Run Functions

Anda dapat menggunakan kebijakan keamanan Cloud Armor dengan backend NEG serverless yang mengarah ke layanan Cloud Run, App Engine, atau Cloud Run Functions.

Namun, saat Anda menggunakan Cloud Armor dengan NEG serverless, Cloud Run, atau Cloud Run Functions, semua akses ke endpoint serverless harus difilter melalui kebijakan keamanan Cloud Armor.

Pengguna yang memiliki URL default untuk aplikasi serverless dapat mengabaikan load balancer dan langsung membuka URL layanan. Ini mengabaikan kebijakan keamanan Cloud Armor. Untuk mengatasi hal ini, nonaktifkan URL default yang Cloud de Confiance otomatis ditetapkan ke layanan Cloud Run atau fungsi Cloud Run Functions (generasi ke-2). Untuk melindungi aplikasi App Engine, Anda dapat menggunakan kontrol ingress.

Jika Anda menggunakan kontrol ingress untuk menerapkan kontrol akses ke semua traffic masuk, Anda dapat menggunakan setelan ingress internal-and-gclb saat mengonfigurasi Cloud Run Functions atau Cloud Run. Setelan ingress internal-and-gclb hanya mengizinkan traffic internal dan traffic yang dikirim ke alamat IP eksternal yang diekspos oleh Load Balancer Aplikasi eksternal global atau Load Balancer Aplikasi klasik. Traffic yang dikirim ke URL default ini dari luar jaringan pribadi Anda akan diblokir. Hal ini mencegah pengguna mengakali kontrol akses apa pun (seperti kebijakan keamanan Cloud Armor) yang disiapkan melalui Load Balancer Aplikasi eksternal global atau Load Balancer Aplikasi klasik.

Untuk mengetahui informasi selengkapnya tentang NEG serverless, lihat Ringkasan grup endpoint jaringan serverless dan Menyiapkan NEG serverless.

Cloud Armor dengan Cloud Service Mesh

Anda dapat mengonfigurasi kebijakan keamanan layanan internal untuk mesh layanan guna menerapkan pembatasan kapasitas sisi server global per klien, sehingga membantu Anda membagikan kapasitas layanan yang tersedia secara adil dan mengurangi risiko klien yang berperilaku buruk atau berbahaya membebani layanan Anda secara berlebihan. Anda melampirkan kebijakan keamanan ke kebijakan endpoint Cloud Service Mesh untuk menerapkan pembatasan kapasitas pada traffic masuk di sisi server. Namun, Anda tidak dapat mengonfigurasi kebijakan keamanan Google Cloud Armor jika menggunakan perutean traffic TCP. Untuk mengetahui informasi selengkapnya tentang cara menggunakan Cloud Armor dengan Cloud Service Mesh, lihat Mengonfigurasi pembatasan kapasitas dengan Cloud Armor.