Algumas ou todas as informações nesta página podem não se aplicar ao Cloud de Confiance da S3NS. Consulte Diferenças do Google Cloud para saber mais.

Esta página foi traduzida pela API Cloud Translation.

Como integrar o Cloud Armor a outros produtos do Google

As seções a seguir explicam como o Cloud Armor se integra a outros recursos e produtos do Cloud de Confiance by S3NS .

Cloud Armor e as regras de firewall da VPC

As políticas de segurança do Cloud Armor e as regras de firewall da VPC têm funções diferentes:

As políticas de segurança do Cloud Armor fornecem proteção de borda e atuam sobre o tráfego dos clientes para os Google Front Ends (GFEs).
As regras de firewall da VPC permitem ou negam o tráfego de entrada e saída dos back-ends. Você deve criar regras de firewall para a entrada, que permitam o tráfego e sejam direcionadas às VMs de back-end submetidas ao balanceamento de carga e provenientes dos intervalos de IP usados pelos balanceadores de carga de aplicativo externos globais ou clássicos. Essas regras permitem que os GFEs e os sistemas de verificação de integridade se comuniquem com as VMs de back-end.

Por exemplo, considere um cenário em que você deseja permitir tráfego apenas dos intervalos CIDR 100.1.1.0/24 e 100.1.2.0/24 para acessar seu balanceador de carga de aplicativo externo global ou clássico. Sua meta é impedir que o tráfego chegue diretamente às instâncias de back-end com carga balanceada. Em outras palavras, somente o tráfego externo que é roteado pelo balanceador de carga de aplicativo externo global ou pelo balanceador de carga de aplicativo clássico com uma política de segurança associada pode acessar as instâncias.

Como usar a política de segurança do Cloud Armor com firewalls de entrada
para restringir o acesso. — Como usar a política de segurança do Cloud Armor com firewalls de entrada para restringir o acesso (clique para ampliar).

A configuração de implantação apresentada no diagrama anterior é a seguinte:

Crie dois grupos de instâncias, um localizado na região us-west1 e outro na região europe-west1.
Implante as instâncias do aplicativo de back-end nas VMs dos grupos de instâncias.
Crie um balanceador de carga de aplicativo externo global ou um balanceador de carga de aplicativo clássico no nível Premium. Configure um mapa de URL e um serviço de back-end único, com os dois grupos de instâncias criados na etapa anterior como back-ends. A regra de encaminhamento do balanceador de carga deve usar o endereço IP externo 120.1.1.1.
Configure uma política de segurança do Cloud Armor que permita tráfego proveniente apenas dos intervalos 100.1.1.0/24 e 100.1.2.0/24, negando todo o restante.
Associe essa política ao serviço de back-end do balanceador de carga. Para mais instruções, confira Configurar políticas de segurança do Cloud Armor. Os balanceadores de carga HTTP(S) externos com mapas de URL mais complexos podem referenciar diversos serviços de back-end. É possível associar a política de segurança a um ou mais serviços de back-end, de acordo com a necessidade.
Configure regras de firewall para a entrada com objetivo de permitir o tráfego do balanceador de carga de aplicativo externo global ou clássico. Para mais informações, confira Regras de firewall.

Cloud Armor com Cloud Run, App Engine ou Cloud Run functions

Você pode usar as políticas de segurança do Cloud Armor com um back-end sem servidor NEG que direciona para um serviço do Cloud Run, do App Engine ou do Cloud Run functions.

No entanto, ao usar o Cloud Armor com NEGs sem servidor, Cloud Run ou Cloud Run functions, todo o acesso ao endpoint sem servidor deve ser filtrado por uma política de segurança do Cloud Armor.

Os usuários que têm o URL padrão de um aplicativo sem servidor podem ignorar o balanceador de carga e acessar diretamente o URL do serviço. Com isso, as políticas de segurança do Cloud Armor são ignoradas. Para evitar esse problema, desative o URL padrão que o Cloud de Confiance atribui automaticamente aos serviços do Cloud Run ou às funções do Cloud Run functions (2ª geração). Para proteger os aplicativos do App Engine, você pode usar controles de entrada.

Se você estiver usando controles de entrada para aplicar os controles de acesso a todo o tráfego de entrada, é possível usar a configuração de entrada internal-and-gclb ao configurar o Cloud Run functions ou o Cloud Run. A configuração de entrada internal-and-gclb permite somente o tráfego interno e o tráfego enviado para um endereço IP externo fornecido pelo balanceador de carga de aplicativo externo global ou pelo balanceador de carga de aplicativo clássico. O tráfego enviado para esses URLs padrão de redes externas à sua rede particular será bloqueado. Isso impede que os usuários burlem controles de acesso (como as políticas de segurança do Cloud Armor) configurados por meio do balanceador de carga de aplicativo externo global ou do balanceador de carga de aplicativo clássico.

Para mais informações sobre NEGs sem servidor, confira Visão geral dos grupos de endpoints de rede sem servidor e Como configurar NEGs sem servidor.

Cloud Armor com Cloud Service Mesh

Você pode configurar políticas de segurança para serviços internos na malha de serviços a fim de aplicar a limitação de taxa global do lado do servidor por cliente, o que auxilia na distribuição justa da capacidade do serviço e reduz o risco de clientes mal-intencionados ou com comportamentos inadequados sobrecarregarem seus serviços. Anexe uma política de segurança a uma política de endpoint do Cloud Service Mesh para aplicar a limitação de taxa ao tráfego de entrada do lado do servidor. No entanto, se estiver usando roteamento TCP para o tráfego, não é permitido configurar uma política de segurança do Google Cloud Armor. Para mais informações sobre o uso do Cloud Armor com o Cloud Service Mesh, confira Configurar limitação de taxa com o Cloud Armor.