Mit Google Cloud Armor können Sie Ihre Google Cloud-Bereitstellungen vor mehreren Arten von Bedrohungen schützen. Dazu gehören DDoS-Angriffe (Denial of Service) und Anwendungsangriffe wie Cross-Site-Scripting (XSS) und SQL-Injection (SQLi). Google Cloud Armor bietet einige automatische Schutzfunktionen und manche, die Sie manuell konfigurieren müssen. Dieses Dokument bietet einen allgemeinen Überblick über diese Features, von denen einige nur für globale externe Application Load Balancer und klassische Application Load Balancer verfügbar sind.
Sicherheitsrichtlinien
Mit den Google Cloud Armor-Sicherheitsrichtlinien können Sie Anwendungen, die hinter einem Load-Balancer ausgeführt werden, vor DDoS-Angriffen (Distributed Denial of Service) und anderen webbasierten Angriffen schützen – unabhängig davon, ob die Anwendungen in Google Cloud, in einer Hybridumgebung oder in einer Multi-Cloud-Architektur bereitgestellt werden. Sicherheitsrichtlinien können manuell konfiguriert werden, inklusive konfigurierbarer Übereinstimmungsbedingungen und Aktionen in einer Sicherheitsrichtlinie. Google Cloud Armor bietet außerdem vorkonfigurierte Sicherheitsrichtlinien, die eine Vielzahl von Anwendungsfällen abdecken. Weitere Informationen finden Sie in der Übersicht über die Google Cloud Armor-Sicherheitsrichtlinien.
Sprache der Regeln
Mit Google Cloud Armor können Sie priorisierte Regeln mit konfigurierbaren Übereinstimmungsbedingungen und Aktionen in einer Sicherheitsrichtlinie definieren. Eine Regel tritt in Kraft, d. h. die konfigurierte Aktion wird angewendet, wenn ihr die höchste Priorität zugewiesen ist und die Attribute mit den Attributen der eingehenden Anfrage übereinstimmen. Weitere Informationen finden Sie in der Referenz zur Sprache der benutzerdefinierten Regeln für Google Cloud Armor.
Vorkonfigurierte WAF-Regeln
Vorkonfigurierte WAF-Regeln für Google Cloud Armor sind komplexe Web Application Firewall (WAF)-Regeln mit Dutzenden von Signaturen, die aus Open-Source-Branchenstandards kompiliert wurden. Jede Signatur entspricht einer Angriffserkennungsregel im Regelsatz. Google bietet diese Regeln wie besehen an. Die Regeln ermöglichen es Google Cloud Armor, Dutzende von unterschiedlichen Traffic-Signaturen auszuwerten. Dabei bezieht sich Google Cloud Armor auf Regeln, die praktischerweise benannt sind, anstatt dass Sie jede Signatur manuell definieren müssen.
Vorkonfigurierte Regeln von Google Cloud Armor schützen Ihre Webanwendungen und Dienste vor gängigen Angriffen aus dem Internet und mindern die OWASP-Top-10-Risiken. Die Regelquelle ist ModSecurity Core Rule Set 3.3.2 (CRS).
Diese vorkonfigurierten Regeln können optimiert werden, um ungenaue oder anderweitig unnötige Signaturen zu deaktivieren. Weitere Informationen finden Sie unter Google Cloud Armor-WAF-Regeln optimieren.
Google Cloud Armor Enterprise
Cloud Armor Enterprise ist ein verwalteter Dienst zum Schutz von Anwendungen, der Ihre Webanwendungen und Dienste vor DDoS-Angriffen (Distributed Denial-of-Service) und anderen Bedrohungen aus dem Internet schützt. Cloud Armor Enterprise bietet immer aktivierte Schutzmaßnahmen für Ihren Load Balancer und ermöglicht Ihnen den Zugriff auf WAF-Regeln.
Der DDoS-Schutz wird unabhängig von der Stufe automatisch für globale externe Application Load Balancer, klassische Application Load Balancer und externe Proxy-Network Load Balancer bereitgestellt. Die Protokolle HTTP, HTTPS, HTTP/2 und QUIC werden alle unterstützt. Außerdem können Cloud Armor Enterprise-Abonnenten auf Telemetriedaten zur Sichtbarkeit von DDoS-Angriffen zugreifen.
Weitere Informationen finden Sie in der Übersicht zu Cloud Armor Enterprise.
Threat Intelligence
Mit Google Cloud Armor Threat Intelligence können Sie Ihren Traffic schützen, indem Sie den Traffic zu Ihren globalen externen Application Load Balancern und klassischen Application Load Balancern auf der Grundlage verschiedener Kategorien von Bedrohungsinformationsdaten zulassen oder blockieren. Weitere Informationen zu Threat Intelligence finden Sie unter Threat Intelligence-Features konfigurieren.
Google Cloud Armor Adaptive Protection
Mit Adaptive Protection können Sie Anwendungen und Dienste vor L7-Angriffen (Distributed Denial-of-Service) schützen, indem Sie Zugriffsmuster auf Ihre Back-End-Dienste analysieren, mutmaßliche Angriffe erkennen und melden sowie vorgeschlagene WAF-Regeln zur Abwehr solcher Angriffe generieren. Diese Regeln können an Ihre Anforderungen angepasst werden. Adaptive Protection kann pro Sicherheitsrichtlinie aktiviert werden. Dafür ist jedoch ein aktives Cloud Armor Enterprise-Abo erforderlich.
Weitere Informationen finden Sie unter Google Cloud Armor Adaptive Protection – Übersicht.
Erweiterter DDoS-Netzwerkschutz
Der erweiterte DDoS-Netzwerkschutz bietet zusätzliche Schutzmaßnahmen für Managed Protection Plus-Abonnenten, die Netzwerk-Load-Balancer, Protokollweiterleitung oder VMs mit öffentlichen IP-Adressen verwenden. Der erweiterte DDoS-Schutz für Netzwerke bietet eine ständige Angriffsüberwachung und -benachrichtigung, eine gezielte Angriffsbewältigung und Telemetrie zur Behebung von Problemen. Weitere Informationen finden Sie unter Erweiterten DDoS-Netzwerkschutz konfigurieren.
So funktioniert Google Cloud Armor
Google Cloud Armor bietet immer aktiven DDoS-Schutz vor netzwerk- oder protokollbasierten volumetrischen DDoS-Angriffen. Dieser Schutz ist für Anwendungen oder Dienste hinter Load-Balancern vorgesehen. Sie ist in der Lage, Netzwerkangriffe erkennen und zu mindern, um nur korrekt formatierte Anfragen über Load-Balancing-Proxys zuzulassen. Die Sicherheitsrichtlinien erzwingen benutzerdefinierte Filterrichtlinien für Layer 7, einschließlich vorkonfigurierter WAF-Regeln, die die Risiken der Top-10-Webanwendungs-Sicherheitslücken von OWASP verringern. Sie können Sicherheitsrichtlinien an die Backend-Dienste der folgenden Load Balancer anhängen:
- Globaler externer Application Load Balancer
- Regionaler externer Application Load Balancer
- Klassischer Application Load Balancer
- Externer Proxy-Network Load Balancer
- Externer Passthrough-Network Load Balancer
Mit den Sicherheitsrichtlinien von Google Cloud Armor können Sie den Zugriff auf Ihre Bereitstellung am Google Cloud-Rand so nahe wie möglich an der Quelle des eingehenden Traffics zulassen oder verweigern. Dies verhindert, dass unerwünschter Traffic Ressourcen verbraucht oder in Ihre VPC-Netzwerke (Virtual Private Cloud) gelangt.
Das folgende Diagramm zeigt den Standort der globalen externen Application Load Balancer, der klassischen Application Load Balancer, des Google-Netzwerks und der Google-Rechenzentren.
Sie können einige oder alle dieser Funktionen zum Schutz Ihrer Anwendung verwenden. Sie können Sicherheitsrichtlinien verwenden, um mit bekannten Bedingungen abzugleichen, WAF-Regeln zum Schutz vor häufigen Angriffen wie jenen im ModSecurity Core Rule Set 3.3.2 erstellen und die integrierten Funktionen von Google Cloud Armor Enterprise zum Schutz vor DDoS-Angriffen verwenden.
Nächste Schritte
- Häufige Anwendungsfälle für Google Cloud Armor
- Informationen zu Google Cloud Armor Enterprise
- Informationen zu Google Cloud Armor Adaptive Protection.