Halaman ini diterjemahkan oleh Cloud Translation API.

Ringkasan produk

Google Cloud Armor membantu Anda melindungi deployment Google Cloud dari berbagai jenis ancaman, termasuk serangan distributed denial-of-service (DDoS) dan serangan aplikasi seperti pembuatan skrip lintas situs (XSS) dan injeksi SQL (SQLi). Fitur Cloud Armor mencakup beberapa perlindungan otomatis dan beberapa perlindungan yang perlu Anda konfigurasi secara manual. Dokumen ini memberikan ringkasan umum tentang fitur-fitur ini, yang beberapa di antaranya hanya tersedia untuk Load Balancer Aplikasi eksternal global dan Load Balancer Aplikasi klasik.

Kebijakan keamanan

Gunakan kebijakan keamanan Cloud Armor untuk melindungi aplikasi yang berjalan di belakang load balancer dari serangan distributed denial-of-service (DDoS) dan serangan berbasis web lainnya, baik aplikasi di-deploy di Google Cloud, dalam deployment hybrid, atau dalam arsitektur multi-cloud. Kebijakan keamanan dapat dikonfigurasi secara manual, dengan kondisi dan tindakan pencocokan yang dapat dikonfigurasi dalam kebijakan keamanan. Cloud Armor juga memiliki kebijakan keamanan yang telah dikonfigurasi sebelumnya, yang mencakup berbagai kasus penggunaan. Untuk mengetahui informasi selengkapnya, lihat Ringkasan kebijakan keamanan Cloud Armor.

Bahasa aturan

Cloud Armor memungkinkan Anda menentukan aturan yang diprioritaskan dengan kondisi dan tindakan pencocokan yang dapat dikonfigurasi dalam kebijakan keamanan. Aturan akan berlaku, yang berarti tindakan yang dikonfigurasi akan diterapkan, jika aturan tersebut adalah aturan dengan prioritas tertinggi yang atributnya cocok dengan atribut permintaan masuk. Untuk mengetahui informasi selengkapnya, lihat Referensi bahasa aturan kustom Cloud Armor.

Aturan WAF yang telah dikonfigurasi sebelumnya

Aturan WAF yang telah dikonfigurasi sebelumnya di Google Cloud Armor adalah aturan firewall aplikasi web (WAF) yang kompleks dengan puluhan tanda tangan yang dikompilasi dari standar industri open source. Setiap tanda tangan sesuai dengan aturan deteksi serangan dalam set aturan. Google menawarkan aturan ini apa adanya. Aturan ini memungkinkan Cloud Armor mengevaluasi puluhan tanda tangan traffic yang berbeda dengan merujuk pada aturan yang diberi nama dengan mudah, daripada mengharuskan Anda menentukan setiap tanda tangan secara manual.

Aturan yang telah dikonfigurasi sebelumnya di Cloud Armor membantu melindungi layanan dan aplikasi web Anda dari serangan umum dari internet dan membantu memitigasi 10 risiko teratas OWASP. Sumber aturan adalah OWASP Core Rule Set 3.3.2 (CRS).

Aturan yang telah dikonfigurasi sebelumnya ini dapat disesuaikan untuk menonaktifkan tanda tangan yang berisik atau tidak perlu. Untuk mengetahui informasi selengkapnya, lihat Menyesuaikan aturan WAF Cloud Armor.

Google Cloud Armor Enterprise

Cloud Armor Enterprise adalah layanan perlindungan aplikasi terkelola yang membantu melindungi layanan dan aplikasi web Anda dari serangan distributed denial of service (DDoS) dan ancaman lainnya dari internet. Fitur Cloud Armor Enterprise selalu memberikan perlindungan untuk load balancer Anda, dan memberi Anda akses ke aturan WAF.

Perlindungan DDoS disediakan secara otomatis untuk Load Balancer Aplikasi eksternal global, Load Balancer Aplikasi klasik, dan Load Balancer Jaringan proxy eksternal, terlepas dari tingkatannya. Protokol HTTP, HTTPS, HTTP/2, dan QUIC semuanya didukung. Selain itu, pelanggan Cloud Armor Enterprise dapat Mengakses telemetri visibilitas serangan DDoS.

Untuk mengetahui informasi selengkapnya, lihat Ringkasan Cloud Armor Enterprise.

Google Threat Intelligence

Google Threat Intelligence Cloud Armor memungkinkan Anda mengamankan traffic dengan mengizinkan atau memblokir traffic ke Load Balancer Aplikasi eksternal global dan Load Balancer Aplikasi klasik berdasarkan beberapa kategori data intelijen ancaman. Untuk mengetahui informasi selengkapnya tentang Google Threat Intelligence, lihat Menerapkan Google Threat Intelligence.

Google Cloud Armor Adaptive Protection

Adaptive Protection membantu Anda melindungi aplikasi dan layanan dari serangan distributed denial-of-service (DDoS) L7 dengan menganalisis pola traffic ke layanan backend Anda, mendeteksi dan memberikan pemberitahuan tentang serangan yang dicurigai, serta membuat aturan WAF yang disarankan untuk memitigasi serangan tersebut. Aturan ini dapat disesuaikan agar sesuai dengan kebutuhan Anda. Adaptive Protection dapat diaktifkan berdasarkan per kebijakan keamanan, tetapi memerlukan langganan Cloud Armor Enterprise yang aktif di project.

Untuk mengetahui informasi selengkapnya, lihat Ringkasan Adaptive Protection Google Cloud Armor.

Perlindungan DDoS jaringan tingkat lanjut

Perlindungan DDoS jaringan tingkat lanjut memberikan perlindungan tambahan bagi pelanggan Managed Protection Plus yang menggunakan load balancer jaringan, penerusan protokol, atau VM dengan alamat IP publik. Perlindungan DDoS jaringan tingkat lanjut menyediakan pemantauan dan pemberitahuan serangan yang selalu aktif, mitigasi serangan yang ditargetkan, dan telemetri mitigasi. Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi perlindungan DDoS jaringan lanjutan.

Cara kerja Cloud Armor

Cloud Armor memberikan perlindungan DDoS yang selalu aktif terhadap serangan DDoS volumetrik berbasis jaringan atau protokol. Perlindungan ini ditujukan untuk aplikasi atau layanan di belakang load balancer. Firewall ini dapat mendeteksi dan memitigasi serangan jaringan untuk hanya mengizinkan permintaan yang dibuat dengan benar melalui proxy penyeimbangan beban. Kebijakan keamanan menerapkan kebijakan pemfilteran Lapisan 7 kustom, termasuk aturan WAF yang telah dikonfigurasi sebelumnya yang mengurangi risiko kerentanan aplikasi web 10 teratas OWASP. Anda dapat melampirkan kebijakan keamanan ke layanan backend load balancer berikut:

Semua Load Balancer Aplikasi eksternal, termasuk Load Balancer Aplikasi klasik
Load Balancer Aplikasi internal regional
Load Balancer Jaringan proxy eksternal global (TCP/SSL)
Load Balancer Jaringan proxy klasik (TCP/SSL)
Load Balancer Jaringan passthrough eksternal (TCP/UDP)

Kebijakan keamanan Cloud Armor memungkinkan Anda mengizinkan atau menolak akses ke deployment di edge, sedekat mungkin dengan sumber traffic masuk. Google Cloud Hal ini mencegah traffic yang tidak diinginkan menggunakan resource atau memasuki jaringan Virtual Private Cloud (VPC) Anda.

Diagram berikut menggambarkan lokasi Load Balancer Aplikasi eksternal global, Load Balancer Aplikasi klasik, jaringan Google, dan pusat data Google.

Kebijakan Cloud Armor di edge jaringan. — Kebijakan Cloud Armor di edge jaringan (klik untuk memperbesar)

Anda dapat menggunakan beberapa atau semua fitur ini untuk melindungi aplikasi Anda. Anda dapat menggunakan kebijakan keamanan untuk mencocokkan kondisi yang diketahui, membuat aturan WAF untuk melindungi dari serangan umum seperti yang ditemukan dalam OWASP Core Rule Set 3.3.2, dan menggunakan perlindungan bawaan Google Cloud Armor Enterprise terhadap serangan DDoS.