Le sezioni seguenti descrivono in che modo Cloud Armor interagisce con altre Trusted Cloud by S3NS funzionalità e prodotti.
Cloud Armor e regole firewall VPC
I criteri di sicurezza Cloud Armor e le regole firewall VPC hanno funzioni diverse:
- I criteri di sicurezza di Cloud Armor forniscono la sicurezza perimetrale e agiscono sul traffico client verso i Google Front End (GFE).
- Le regole firewall VPC consentono o negano il traffico da e verso i tuoi backend. Devi creare regole firewall di autorizzazione in entrata, i cui target sono le VM di backend con bilanciamento del carico e le cui origini sono intervalli IP utilizzati dai bilanciatori del carico delle applicazioni esterni globali o dai bilanciatori del carico delle applicazioni classici. Queste regole consentono ai GFE e ai sistemi di controllo di integrità di comunicare con le tue VM di backend.
Ad esempio, considera uno scenario in cui vuoi consentire il traffico solo dagli intervalli CIDR 100.1.1.0/24 e 100.1.2.0/24 per accedere al bilanciatore del carico delle applicazioni esterno globale o al bilanciatore del carico delle applicazioni classico. Il tuo obiettivo è bloccare il traffico che raggiunge direttamente le istanze con bilanciamento del carico di backend. In altre parole, solo il traffico esterno sottoposto a proxy tramite il bilanciatore del carico delle applicazioni esterno globale o il bilanciatore del carico delle applicazioni classico con un criterio di sicurezza associato può raggiungere le istanze.
Il diagramma precedente mostra la seguente configurazione di deployment:
- Crea due gruppi di istanze, uno nella regione
us-west1e l'altro nella regioneeurope-west1. - Esegui il deployment delle istanze dell'applicazione di backend sulle VM nei gruppi di istanze.
- Crea un bilanciatore del carico delle applicazioni esterno globale o un bilanciatore del carico delle applicazioni classico nel tier Premium. Configura una mappa URL
e un singolo servizio di backend i cui backend sono i due gruppi di istanze
che hai creato nel passaggio precedente. La regola di forwarding del bilanciatore del carico deve utilizzare l'indirizzo IP esterno
120.1.1.1. - Configura un criterio di sicurezza Cloud Armor che consenta il traffico da 100.1.1.0/24 e 100.1.2.0/24 e neghi tutto il resto del traffico.
- Associa questa policy al servizio di backend del bilanciatore del carico. Per istruzioni, consulta la sezione Configurare i criteri di sicurezza di Cloud Armor. I bilanciatori del carico HTTP(S) esterni con mappe URL più complesse possono fare riferimento a più servizi di backend. Puoi associare il criterio di sicurezza a uno o più servizi di backend in base alle esigenze.
- Configura le regole firewall di autorizzazione in entrata per consentire il traffico dal bilanciatore del carico delle applicazioni esterno globale o dal bilanciatore del carico delle applicazioni classico. Per saperne di più, vedi Regole firewall.
Cloud Armor con Cloud Run, App Engine o Cloud Run Functions
Puoi utilizzare i criteri di sicurezza Cloud Armor con un backend NEG serverless che punta a un servizio Cloud Run, App Engine o Cloud Run Functions.
Tuttavia, quando utilizzi Cloud Armor con NEG serverless, Cloud Run o Cloud Run Functions, tutto l'accesso all'endpoint serverless deve essere filtrato tramite un criterio di sicurezza Cloud Armor.
Gli utenti che hanno l'URL predefinito per un'applicazione serverless possono bypassare il load balancer e andare direttamente all'URL del servizio. In questo modo vengono ignorati i criteri di sicurezza di Cloud Armor. Per risolvere il problema, disattiva l'URL predefinito che Trusted Cloud viene assegnato automaticamente ai servizi Cloud Run o alle funzioni Cloud Run (2ª generazione.). Per proteggere le applicazioni App Engine, puoi utilizzare i controlli di ingresso.
Se utilizzi i controlli di traffico in entrata per applicare i controlli dell'accesso a tutto il traffico in entrata, puoi utilizzare l'impostazione di traffico in entrata internal-and-gclb quando configuri Cloud Run Functions o Cloud Run.
L'impostazione di ingresso internal-and-gclb consente solo il traffico interno e
il traffico inviato a un indirizzo IP esterno esposto dal
bilanciatore del carico delle applicazioni esterno globale o dal bilanciatore del carico delle applicazioni classico. Il traffico inviato a questi URL predefiniti dall'esterno della tua rete privata viene bloccato.
In questo modo, gli utenti non possono aggirare i controlli dell'accesso (ad esempio i criteri di sicurezza di Cloud Armor) configurati tramite il bilanciatore del carico delle applicazioni esterno globale o il bilanciatore del carico delle applicazioni classico.
Per saperne di più sui NEG serverless, consulta Panoramica dei gruppi di endpoint di rete serverless e Configurazione di NEG serverless.
Cloud Armor con Cloud Service Mesh
Puoi configurare i criteri di sicurezza del servizio interno per il mesh di servizi in modo da applicare limitazione di frequenza lato server globale per client, in modo da condividere equamente la capacità disponibile del servizio e ridurre il rischio che client dannosi o con un comportamento anomalo sovraccarichino i servizi. Colleghi un criterio di sicurezza a un criterio endpoint Cloud Service Mesh per applicare la limitazione di frequenza al traffico in entrata sul lato server. Tuttavia, non puoi configurare una policy di sicurezza Google Cloud Armor se utilizzi il routing del traffico TCP. Per saperne di più sull'utilizzo di Cloud Armor con Cloud Service Mesh, consulta Configurare la limitazione di frequenza con Cloud Armor.