Google Cloud Armor te ayuda a proteger tus implementaciones de Google Cloud contra varios tipos de amenazas, incluidos los ataques de denegación de servicio distribuido (DSD) y los ataques de aplicaciones, como las secuencias de comandos entre sitios (XSS) y la inserción de SQL (SQLi). Google Cloud Armor cuenta con algunas protecciones automáticas y otras que necesitas configurar manualmente. En este documento, se proporciona una descripción general de alto nivel de estas funciones, varias de las cuales solo están disponibles para balanceadores de cargas de aplicaciones externos globales y balanceadores de cargas de aplicaciones clásicos.
Políticas de seguridad
Usa las políticas de seguridad de Google Cloud Armor para proteger las aplicaciones que se ejecutan detrás de un balanceador de cargas de ataques de denegación de servicio distribuido (DSD) y otros ataques basados en la Web, ya sea que las aplicaciones se implementen en Google Cloud, en una implementación híbrida o en una arquitectura de múltiples nubes. Las políticas de seguridad se pueden configurar de forma manual, con acciones y condiciones de coincidencia configurables en una política de seguridad. Google Cloud Armor también cuenta con políticas de seguridad preconfiguradas que abarcan una gran variedad de casos de uso. Para obtener más información, consulta la descripción general de la política de seguridad de Google Cloud Armor.
Lenguaje de las reglas
Google Cloud Armor te permite definir reglas prioritarias con condiciones y acciones de coincidencia que se pueden configurar en una política de seguridad. Una regla entra en vigor, lo que significa que se aplica la acción configurada, si la regla es la regla de mayor prioridad cuyos atributos coinciden con los atributos de la solicitud entrante. Para obtener más información, consulta la referencia del lenguaje de las reglas personalizadas de Google Cloud Armor.
Reglas de WAF preconfiguradas
Las reglas de WAF preconfiguradas de Google Cloud Armor son reglas complejas de firewall de aplicación web (WAF) con decenas de firmas que se compilan a partir de estándares de la industria de código abierto. Cada firma corresponde a una regla de detección de ataques en el conjunto de reglas. Google ofrece estas reglas tal como están. Las reglas permiten que Google Cloud Armor evalúe decenas de firmas de tráfico distintas, ya que consulta las reglas con nombres prácticos en lugar de requerir que definas cada firma de forma manual.
Las reglas preconfiguradas de Google Cloud Armor ayudan a proteger tus aplicaciones y servicios web de ataques comunes de Internet y ayudan a mitigar los 10 riesgos principales de OWASP. La fuente de las reglas es el conjunto de reglas principales de ModSecurity 3.3.2 (CRS).
Estas reglas preconfiguradas se pueden ajustar para inhabilitar firmas innecesarias y innecesarias. Para obtener más información, consulta Ajusta las reglas de WAF de Google Cloud Armor.
Google Cloud Armor Enterprise
Cloud Armor Enterprise es el servicio administrado de protección de aplicaciones que ayuda a proteger tus aplicaciones y servicios web de ataques de denegación de servicio distribuido (DSD) y otras amenazas de Internet. Cloud Armor Enterprise cuenta con protecciones siempre encendidas para tu balanceador de cargas y te brinda acceso a las reglas de WAF.
La protección contra DSD se proporciona de forma automática para los balanceadores de cargas de aplicaciones externos globales, los balanceadores de cargas de aplicaciones clásicos y los balanceadores de cargas de red de proxy externos, sin importar el nivel. Se admiten los protocolos HTTP, HTTPS, HTTP/2 y QUIC. Además, los suscriptores de Cloud Armor Enterprise pueden acceder a la telemetría de visibilidad de ataques DDoS.
Para obtener más información, consulta la descripción general de Cloud Armor Enterprise.
Threat Intelligence
Threat Intelligence de Google Cloud Armor te permite proteger tu tráfico, ya que permite o bloquea el tráfico a los balanceadores de cargas de aplicaciones externos globales y a los balanceadores de cargas de aplicaciones clásicos en función de varias categorías de datos de inteligencia de amenazas. Para obtener más información sobre Threat Intelligence consulta Configura funciones de Threat Intelligence.
Protección adaptable de Google Cloud Armor
La protección adaptable te ayuda a proteger tus aplicaciones y servicios de los ataques de denegación de servicio distribuido (DSD) de la capa 7 mediante el análisis de patrones de tráfico a los servicios de backend, la detección y alerta de posibles ataques y la generación de reglas de WAF sugeridas para mitigar estos ataques. Estas reglas se pueden ajustar para satisfacer tus necesidades. La protección adaptable se puede habilitar por política de seguridad, pero requiere una suscripción activa a Cloud Armor Enterprise en el proyecto.
Para obtener más información, consulta la descripción general de Google Cloud Armor Adaptive Protection.
Protección avanzada contra DSD de red
La protección avanzada contra DSD de red proporciona protecciones adicionales para los suscriptores de Managed Protection Plus que usan balanceadores de cargas de red, reenvío de protocolos o VMs con direcciones IP públicas. La protección avanzada contra DSD de red proporciona supervisión y alertas de ataques siempre activas, mitigación de ataques dirigidos y telemetría de mitigación. Para obtener más información, consulta Configura la protección avanzada contra DSD de red.
Cómo funciona Google Cloud Armor
Google Cloud Armor proporciona protección contra DSD siempre encendida contra ataques de DSD volumétricos volumétricos basados en la red o en un protocolo. Esta protección se aplica a aplicaciones o servicios detrás de los balanceadores de cargas. Es capaz de detectar y mitigar los ataques de red para permitir solo solicitudes bien formadas a través de los proxies de balanceo de cargas. Las políticas de seguridad aplican políticas de filtrado de capa 7 personalizadas, incluidas las reglas de WAF preconfiguradas que mitigan los 10 riesgos principales de vulnerabilidad de aplicaciones web de OWASP. Puedes adjuntar políticas de seguridad a los servicios de backend de los siguientes balanceadores de cargas:
- Balanceador de cargas de aplicaciones externo global
- Balanceador de cargas de aplicaciones externo regional
- Balanceador de cargas de aplicaciones clásico
- Balanceador de cargas de red de proxy externo
- Balanceador de cargas de red de transferencia externo
Las políticas de seguridad de Google Cloud Armor te permiten denegar o permitir el acceso a tu implementación en el perímetro de Google Cloud, lo más cerca posible de la fuente del tráfico entrante. Esto evita que el tráfico no deseado consuma recursos o ingrese a tus redes de la nube privada virtual (VPC).
En el siguiente diagrama, se ilustra la ubicación de los balanceadores de cargas de aplicaciones externos globales, los balanceadores de cargas de aplicaciones clásicos, la red de Google y los centros de datos de Google.
Puedes usar algunas de estas funciones o todas ellas para proteger tu aplicación. Puedes usar las políticas de seguridad para detectar coincidencias con condiciones conocidas, crear reglas de WAF para protegerte contra ataques comunes como los que se encuentran en el conjunto de reglas principales de ModSecurity 3.3.2 y usar las protecciones integradas de Google Cloud Armor Enterprise contra los ataques de DSD.
¿Qué sigue?
- Examina casos de uso comunes para Google Cloud Armor
- Obtén más información sobre Google Cloud Armor Enterprise
- Obtén más información sobre Google Cloud Armor Adaptive Protection