以下部分介绍了 Google Cloud Armor 如何与其他 Trusted Cloud by S3NS 功能和产品交互。
Google Cloud Armor 和 VPC 防火墙规则
Google Cloud Armor 安全政策和 VPC 防火墙规则具有不同的功能:
- Google Cloud Armor 安全政策提供边缘安全性,并且可以根据从客户端流向 Google Front Ends (GFE) 的流量执行操作。
- VPC 防火墙规则允许或拒绝进出后端的流量。您必须创建入站流量允许防火墙规则,其目标是负载均衡的后端虚拟机,其源是全局外部应用负载均衡器或传统版应用负载均衡器使用的 IP 范围。这些规则允许 GFE 和健康检查系统与您的后端虚拟机通信。
例如,设想一个场景,您只想允许来自 CIDR 范围为 100.1.1.0/24 和 CIDR 范围为 100.1.2.0/24 的流量访问您的全局外部应用负载均衡器或传统版应用负载均衡器。您的目标是确保流量不能直接到达后端负载均衡实例。换句话说,只有通过具有关联安全政策的全局外部应用负载均衡器或传统版应用负载均衡器代理的外部流量才应到达实例。
在上图中,您可以按如下方式配置 Trusted Cloud 部署来实现安全目标:
- 创建两个实例组,一个在
us-west1地区,另一个在europe-west1地区。 - 将后端应用实例部署到实例组中的虚拟机。
- 在高级层级创建全球外部应用负载均衡器或传统应用负载均衡器。配置一个网址映射和一个后端服务,其中后端服务的后端是您在上一步中创建的两个实例组。确保负载平衡器的转发规则使用
120.1.1.1外部 IP 地址。 - 配置 Google Cloud Armor 安全政策,以允许来自 100.1.1.0/24 和 100.1.2.0/24 的流量并拒绝所有其他流量。
- 将此政策与负载平衡器的后端服务相关联。如需了解相关说明,请参阅配置安全政策。具有更复杂的网址映射的外部 HTTP(S) 负载平衡器可以引用多个后端服务。您可以根据需要将安全政策与一项或多项后端服务关联。
- 配置入站流量允许防火墙规则以允许来自全局外部应用负载均衡器或传统版应用负载均衡器的流量。如需了解详情,请参阅防火墙规则。
将 Google Cloud Armor 与 Cloud Run、App Engine 或 Cloud Run functions 结合使用
您可以将 Google Cloud Armor 安全政策与指向 Cloud Run、App Engine 或 Cloud Run functions 服务的无服务器 NEG 后端结合使用。
但是,当您将 Google Cloud Armor 与无服务器 NEG、Cloud Run 或 Cloud Run functions 结合使用时,必须执行特殊步骤来确保对无服务器端点的所有访问都通过 Google Cloud Armor 安全政策进行过滤。
拥有无服务器应用默认网址的用户可以绕过负载均衡器并直接转到服务网址。这会绕过 Google Cloud Armor 安全政策。为解决此问题,请停用默认网址, Trusted Cloud 会自动将该网址分配给 Cloud Run 服务或 Cloud Run functions(第 2 代)函数。为了保护 App Engine 应用,您可以使用入站流量控制。
如果您使用入站流量控制来确保您的访问权限控制应用于所有传入流量,则可以在配置 Cloud Run functions 或 Cloud Run 时使用 internal-and-gclb。这只允许内部流量和发送至由全球外部应用负载均衡器或经典版应用负载均衡器公开的外部 IP 地址的流量。系统会阻止从您的专用网络外部发送到这些默认网址的流量。这会防止用户规避通过全球外部应用负载均衡器或传统应用负载均衡器设置的任何访问权限控制(例如 Google Cloud Armor 安全政策)。
如需详细了解无服务器 NEG,请参阅无服务器网络端点组概览和设置无服务器 NEG。