Le sezioni seguenti descrivono in che modo Cloud Armor interagisce con altri Cloud de Confiance by S3NS prodotti e funzionalità.
Cloud Armor e regole firewall VPC
Le policy di sicurezza di Cloud Armor e le regole firewall VPC hanno funzioni diverse:
- Le policy di sicurezza di Cloud Armor forniscono sicurezza perimetrale e agiscono sul traffico client verso i Google Front End (GFE).
- Le regole firewall VPC consentono o negano il traffico da e verso i tuoi backend. Devi creare regole firewall di autorizzazione in entrata, i cui target sono le VM di backend con bilanciamento del carico e le cui origini sono intervalli IP utilizzati dai bilanciatori del carico delle applicazioni esterni globali o dai bilanciatori del carico delle applicazioni classici. Queste regole consentono ai GFE e ai sistemi di controllo di integrità di comunicare con le tue VM di backend.
Ad esempio, considera uno scenario in cui vuoi consentire il traffico solo dagli intervalli CIDR 100.1.1.0/24 e 100.1.2.0/24 per accedere al bilanciatore del carico delle applicazioni esterno globale o al bilanciatore del carico delle applicazioni classico. Il tuo obiettivo è bloccare il traffico che raggiunge direttamente le istanze con bilanciamento del carico di backend. In altre parole, solo il traffico esterno sottoposto a proxy tramite il bilanciatore del carico delle applicazioni esterno globale o il bilanciatore del carico delle applicazioni classico con una policy di sicurezza associata può raggiungere le istanze.
Il diagramma precedente mostra la seguente configurazione di deployment:
- Crea due gruppi di istanze, uno nella regione
us-west1e l'altro nella regioneeurope-west1. - Esegui il deployment delle istanze dell'applicazione di backend sulle VM nei gruppi di istanze.
- Crea un bilanciatore del carico delle applicazioni esterno globale o un bilanciatore del carico delle applicazioni classico nel livello Premium. Configura una mappa URL
e un singolo servizio di backend i cui backend sono i due gruppi di istanze
che hai creato nel passaggio precedente. La regola di forwarding del bilanciatore del carico deve utilizzare l'indirizzo IP esterno
120.1.1.1. - Configura una policy di sicurezza Cloud Armor che consenta il traffico da 100.1.1.0/24 e 100.1.2.0/24 e neghi tutto il resto del traffico.
- Associa questa policy al servizio di backend del bilanciatore del carico. Per istruzioni, consulta Configura le policy di sicurezza di Cloud Armor. I bilanciatori del carico HTTP(S) esterni con mappe URL più complesse possono fare riferimento a più servizi di backend. Puoi associare la policy di sicurezza a uno o più servizi di backend in base alle esigenze.
- Configura le regole firewall di autorizzazione in entrata per consentire il traffico dal bilanciatore del carico delle applicazioni esterno globale o dal bilanciatore del carico delle applicazioni classico. Per saperne di più, consulta Regole firewall.
Cloud Armor con Cloud Run, App Engine o Cloud Run Functions
Puoi utilizzare le policy di sicurezza Cloud Armor con un backend NEG serverless che punta a un servizio Cloud Run, App Engine o Cloud Run Functions.
Tuttavia, quando utilizzi Cloud Armor con NEG serverless, Cloud Run o Cloud Run Functions, tutto l'accesso all'endpoint serverless deve essere filtrato tramite una policy di sicurezza Cloud Armor.
Gli utenti che hanno l'URL predefinito per un'applicazione serverless possono bypassare il bilanciamento del carico e accedere direttamente all'URL del servizio. In questo modo vengono ignorate le policy di sicurezza di Cloud Armor. Per risolvere il problema, disattiva l'URL predefinito che Cloud de Confiance viene assegnato automaticamente ai servizi Cloud Run o alle funzioni Cloud Run Functions (2ª gen.). Per proteggere le applicazioni App Engine, puoi utilizzare i controlli in entrata.
Se utilizzi i controlli di traffico in entrata per applicare i controlli dell'accesso a tutto il traffico in entrata, puoi utilizzare l'impostazione di traffico in entrata internal-and-gclb quando configuri Cloud Run Functions o Cloud Run.
L'impostazione in entrata internal-and-gclb consente solo il traffico interno e
il traffico inviato a un indirizzo IP esterno esposto dal
bilanciatore del carico delle applicazioni esterno globale o dal bilanciatore del carico delle applicazioni classico. Il traffico inviato a questi URL predefiniti dall'esterno della tua rete privata viene bloccato.
In questo modo, gli utenti non possono aggirare i controlli dell'accesso (ad esempio le policy di sicurezza di Cloud Armor) configurati tramite il bilanciatore del carico delle applicazioni esterno globale o il bilanciatore del carico delle applicazioni classico.
Per saperne di più sui NEG serverless, consulta Panoramica dei gruppi di endpoint di rete serverless e Configurazione di NEG serverless.
Cloud Armor con Cloud Service Mesh
Puoi configurare le policy di sicurezza dei servizi interni per il tuo mesh di servizi in modo da forzare l'applicazione della limitazione di frequenza globale lato server per client, che contribuisce a condividere equamente la capacità disponibile del tuo servizio e mitigare il rischio che client dannosi o con un comportamento anomalo sovraccarichino i tuoi servizi. Puoi collegare una policy di sicurezza a una policy endpoint Cloud Service Mesh per forzare l'applicazione della limitazione di frequenza al traffico in entrata sul lato server. Tuttavia, non puoi configurare una policy di sicurezza di Google Cloud Armor se utilizzi il routing del traffico TCP. Per saperne di più sull'utilizzo di Cloud Armor con Cloud Service Mesh, consulta Configura la limitazione di frequenza con Cloud Armor.