Algumas ou todas as informações nesta página podem não se aplicar à Trusted Cloud by S3NS. Consulte o artigo Diferenças em relação ao Google Cloud para mais detalhes.

Esta página foi traduzida pela API Cloud Translation.

Integrar o Cloud Armor com outros produtos Google

As secções seguintes abordam a forma como o Cloud Armor interage com outras Trusted Cloud by S3NS funcionalidades e produtos.

Regras de firewall da VPC e do Cloud Armor

As políticas de segurança do Cloud Armor e as regras da firewall da VPC têm funções diferentes:

As políticas de segurança do Cloud Armor oferecem segurança de limite e atuam no tráfego de clientes para Google Front Ends (GFEs).
As regras de firewall da VPC permitem ou negam o tráfego de e para os seus back-ends. Tem de criar regras de firewall de permissão de entrada, cujos destinos são as VMs de back-end com balanceamento de carga e cujas origens são intervalos de IP usados por balanceadores de carga de aplicações externos globais ou balanceadores de carga de aplicações clássicos. Estas regras permitem que os GFEs e os sistemas de verificação de funcionamento comuniquem com as VMs de back-end.

Por exemplo, considere um cenário em que quer permitir o tráfego apenas do intervalo CIDR 100.1.1.0/24 e do intervalo CIDR 100.1.2.0/24 para aceder ao seu balanceador de carga de aplicações externo global ou balanceador de carga de aplicações clássico. O seu objetivo é bloquear o tráfego de forma que não alcance diretamente as instâncias com balanceamento de carga de back-end. Por outras palavras, apenas o tráfego externo encaminhado através do balanceador de carga de aplicações externo global ou do balanceador de carga de aplicações clássico com uma política de segurança associada pode alcançar as instâncias.

Usar a política de segurança do Cloud Armor com firewalls de entrada
para restringir o acesso. — Usar a política de segurança do Cloud Armor com firewalls de entrada para restringir o acesso (clique para aumentar).

O diagrama anterior mostra a seguinte configuração de implementação:

Crie dois grupos de instâncias, um na região us-west1 e outro na região europe-west1.
Implemente instâncias de aplicações de back-end nas VMs nos grupos de instâncias.
Crie um balanceador de carga de aplicações externo global ou um balanceador de carga de aplicações clássico no nível Premium. Configure um mapa de URLs e um único serviço de back-end cujos back-ends são os dois grupos de instâncias que criou no passo anterior. A regra de encaminhamento do balanceador de carga tem de usar o 120.1.1.1 endereço IP externo.
Configure uma política de segurança do Cloud Armor que permita o tráfego de 100.1.1.0/24 e 100.1.2.0/24 e negue todo o outro tráfego.
Associe esta política ao serviço de back-end do balanceador de carga. Para ver instruções, consulte o artigo Configure políticas de segurança do Cloud Armor. Os balanceadores de carga HTTP(S) externos com mapas de URLs mais complexos podem referenciar vários serviços de back-end. Pode associar a política de segurança a um ou mais dos serviços de back-end, conforme necessário.
Configure regras de firewall de permissão de entrada para permitir o tráfego do balanceador de carga de aplicações externo global ou do balanceador de carga de aplicações clássico. Para mais informações, consulte as Regras da firewall.

Cloud Armor com Cloud Run, App Engine ou funções do Cloud Run

Pode usar políticas de segurança do Cloud Armor com um back-end NEG sem servidor que aponta para um serviço do Cloud Run, App Engine ou Cloud Run Functions.

No entanto, quando usa o Cloud Armor com NEGs sem servidor, o Cloud Run ou as funções do Cloud Run, todo o acesso ao ponto final sem servidor tem de ser filtrado através de uma política de segurança do Cloud Armor.

Os utilizadores que têm o URL predefinido de uma aplicação sem servidor podem ignorar o equilibrador de carga e aceder diretamente ao URL do serviço. Isto ignora as políticas de segurança do Cloud Armor. Para resolver este problema, desative o URL predefinido que Trusted Cloud é automaticamente atribuído aos serviços do Cloud Run ou às funções do Cloud Run (2.ª geração). Para proteger as aplicações do App Engine, pode usar controlos de entrada.

Se estiver a usar controlos de entrada para aplicar os controlos de acesso a todo o tráfego recebido, pode usar a definição de entrada internal-and-gclb quando configurar funções do Cloud Run ou o Cloud Run. A definição de entrada internal-and-gclb permite apenas tráfego interno e tráfego enviado para um endereço IP externo exposto pelo Application Load Balancer externo global ou pelo Application Load Balancer clássico. O tráfego enviado para estes URLs predefinidos a partir de fora da sua rede privada é bloqueado. Isto impede que os utilizadores contornem quaisquer controlos de acesso (como as políticas de segurança do Cloud Armor) configurados através do Application Load Balancer externo global ou do Application Load Balancer clássico.

Para mais informações sobre NEGs sem servidor, consulte os artigos Vista geral dos grupos de pontos finais de rede sem servidor e Configurar NEGs sem servidor.

Cloud Armor com Cloud Service Mesh

Pode configurar políticas de segurança de serviços internos para a sua malha de serviços de modo a aplicar limites de taxa globais do lado do servidor por cliente, o que ajuda a partilhar de forma justa a capacidade disponível do seu serviço e a mitigar o risco de clientes maliciosos ou com comportamento inadequado sobrecarregarem os seus serviços. Anexa uma política de segurança a uma política de pontos finais do Cloud Service Mesh para aplicar limites de taxa ao tráfego de entrada no lado do servidor. No entanto, não pode configurar uma política de segurança do Google Cloud Armor se estiver a usar o encaminhamento de tráfego TCP. Para mais informações sobre a utilização do Cloud Armor com a malha de serviços do Google Cloud, consulte o artigo Configure a limitação de taxa com o Cloud Armor.