Algumas ou todas as informações nesta página podem não se aplicar à nuvem confiável da S3NS.

Esta página foi traduzida pela API Cloud Translation.

Como integrar o Cloud Armor a outros produtos do Google

As seções a seguir discutem como o Cloud Armor interage com outros recursos e produtos do Trusted Cloud by S3NS .

Regras de firewall do Cloud Armor e da VPC

As políticas de segurança do Cloud Armor e as regras de firewall da VPC têm funções diferentes:

As políticas de segurança do Cloud Armor oferecem segurança na borda e atuam no tráfego de clientes para o Google Front Ends (GFEs).
As regras de firewall da VPC permitem ou negam tráfego que entra ou sai dos back-ends. É preciso criar regras de firewall de permissão de entrada, que tenham como destinos as VMs de back-end com carga balanceada e origens que sejam intervalos de IP usados por balanceadores de carga de aplicativo externos globais ou balanceadores de carga de aplicativo clássicos. Essas regras permitem que as GFEs e os sistemas de verificação de integridade se comuniquem com as VMs de back-end.

Por exemplo, considere um cenário em que você quer permitir tráfego apenas do intervalo CIDR 100.1.1.0/24 e do intervalo CIDR 100.1.2.0/24 para acessar seu balanceador de carga de aplicativo externo global ou o balanceador de carga clássico do aplicativo. O objetivo é bloquear o tráfego para que ele não alcance diretamente as instâncias com carga balanceada do back-end. Em outras palavras, apenas o tráfego externo por proxy por meio do balanceador de carga de aplicativo externo global ou do balanceador de carga de aplicativo clássico com uma política de segurança associada pode alcançar as instâncias.

Como usar a política de segurança do Cloud Armor com firewalls de entrada
para restringir o acesso. — Como usar a política de segurança do Cloud Armor com firewalls de entrada para restringir o acesso (clique para ampliar).

O diagrama anterior mostra a seguinte configuração de implantação:

Crie dois grupos de instâncias, um na região us-west1 e outro na região europe-west1.
Implante instâncias de aplicativos de back-end nas VMs nos grupos de instâncias.
Crie um balanceador de carga de aplicativo externo global ou um balanceador de carga de aplicativo clássico no nível Premium. Configure um mapa de URL e um único serviço de back-end que esteja nos dois grupos de instâncias que você criou na etapa anterior. A regra de encaminhamento do balanceador de carga precisa usar o endereço IP externo 120.1.1.1.
Configure uma política de segurança do Cloud Armor que permita o tráfego de 100.1.1.0/24 e 100.1.2.0/24 e negue qualquer outro tráfego.
Associe esta política ao serviço de back-end do balanceador de carga. Para instruções, consulte Configurar políticas de segurança do Cloud Armor. Os balanceadores de carga HTTP(S) externos com mapas de URL mais complexos podem fazer referência a vários serviços de back-end. É possível associar a política de segurança a um ou mais serviços de back-end, conforme necessário.
Configure as regras de firewall de permissão de entrada para permitir o tráfego do balanceador de carga de aplicativo externo global ou do balanceador de carga de aplicativo clássico. Saiba mais em Regras de firewall.

Cloud Armor com Cloud Run, App Engine ou funções do Cloud Run

Use as políticas de segurança do Cloud Armor com um back-end NEG sem servidor que aponta para um serviço do Cloud Run, App Engine ou Cloud Run functions.

No entanto, ao usar o Cloud Armor com NEGs sem servidor, o Cloud Run ou as funções do Cloud Run, todo o acesso ao endpoint sem servidor precisa ser filtrado por uma política de segurança do Cloud Armor.

Os usuários que têm o URL padrão de um aplicativo sem servidor podem ignorar o balanceador de carga e acessar diretamente o URL do serviço. Isso ignora as políticas de segurança do Cloud Armor. Para resolver isso, desative o URL padrão que Trusted Cloud atribui automaticamente aos serviços do Cloud Run ou às funções do Cloud Run functions (2ª geração). Para proteger aplicativos do App Engine, use controles de entrada.

Se você estiver usando controles de entrada para aplicar seus controles de acesso a todo o tráfego de entrada, use a configuração de entrada internal-and-gclb ao configurar Cloud Run functions ou Cloud Run. A configuração de entrada internal-and-gclb permite apenas o tráfego interno e o tráfego enviado para um endereço IP externo exposto pelo balanceador de carga de aplicativo externo global ou pelo balanceador de carga de aplicativo clássico. O tráfego enviado para esses URLs padrão de fora da sua rede particular é bloqueado. Isso impede que os usuários burlem qualquer controle de acesso (como políticas de segurança do Cloud Armor) configurado pelo balanceador de carga de aplicativo externo global ou pelo balanceador de carga de aplicativo clássico.

Saiba mais sobre NEGs sem servidor em Visão geral dos grupos de endpoints de rede sem servidor e Como configurar NEGs sem servidor.

Cloud Armor com o Cloud Service Mesh

É possível configurar políticas de segurança de serviço interno para sua malha de serviço e aplicar a limitação de taxa global do lado do servidor por cliente, ajudando você a compartilhar de maneira justa a capacidade disponível do seu serviço e mitigando o risco de clientes maliciosos ou com comportamento inadequado sobrecarregarem seus serviços. Você anexa uma política de segurança a uma política de endpoint do Cloud Service Mesh para aplicar a limitação de taxa no tráfego de entrada do lado do servidor. No entanto, não é possível configurar uma política de segurança do Google Cloud Armor se você estiver usando o roteamento de tráfego TCP. Para mais informações sobre como usar o Cloud Armor com o Cloud Service Mesh, consulte Configurar a limitação de taxa com o Cloud Armor.