Questa pagina è stata tradotta dall'API Cloud Translation.

Panoramica del prodotto

Google Cloud Armor ti aiuta a proteggere i tuoi Google Cloud deployment da diversi tipi di minacce, inclusi attacchi distributed denial of service (DDoS) e attacchi alle applicazioni come cross-site scripting (XSS) e SQL injection (SQLi). Le funzionalità di Cloud Armor includono alcune protezioni automatiche e altre che devi configurare manualmente. Questo documento fornisce una panoramica di alto livello di queste funzionalità, molte delle quali sono disponibili solo per i bilanciatori del carico delle applicazioni esterni globali e i bilanciatori del carico delle applicazioni classici.

Criteri di sicurezza

Utilizza i criteri di sicurezza di Cloud Armor per proteggere le applicazioni in esecuzione dietro un bilanciatore del carico da attacchi DDoS (Distributed Denial of Service) e altri attacchi basati sul web, indipendentemente dal fatto che le applicazioni siano implementate su Google Cloud, in un'implementazione ibrida o in un'architettura multi-cloud. Le policy di sicurezza possono essere configurate manualmente, con condizioni di corrispondenza e azioni configurabili in una policy di sicurezza. Cloud Armor include anche criteri di sicurezza preconfigurati, che coprono una serie di casi d'uso. Per maggiori informazioni, consulta la pagina Panoramica dei criteri di sicurezza di Cloud Armor.

Linguaggio delle regole

Cloud Armor consente di definire regole con priorità con condizioni di corrispondenza e azioni configurabili in un criterio di sicurezza. Una regola ha effetto, il che significa che l'azione configurata viene applicata, se la regola è quella con la priorità più alta i cui attributi corrispondono a quelli della richiesta in entrata. Per maggiori informazioni, consulta la Guida di riferimento del linguaggio delle regole personalizzate di Cloud Armor.

Regole WAF preconfigurate

Le regole WAF preconfigurate di Google Cloud Armor sono regole web application firewall (WAF) complesse con decine di firme compilate a partire da standard di settore open source. Ogni firma corrisponde a una regola di rilevamento degli attacchi nel set di regole. Google offre queste regole così come sono. Le regole consentono a Cloud Armor di valutare decine di firme di traffico distinte facendo riferimento a regole denominate in modo pratico, anziché richiedere di definire manualmente ogni firma.

Le regole preconfigurate di Cloud Armor contribuiscono a proteggere le tue applicazioni e i tuoi servizi web da attacchi comuni provenienti da internet e a mitigare i rischi OWASP Top 10. L'origine della regola è OWASP Core Rule Set 3.3.2 (CRS).

Queste regole preconfigurate possono essere ottimizzate per disattivare firme rumorose o altrimenti non necessarie. Per saperne di più, consulta Ottimizzazione delle regole WAF di Cloud Armor.

Google Cloud Armor Enterprise

Cloud Armor Enterprise è il servizio di protezione gestita delle applicazioni che contribuisce a proteggere le tue applicazioni e i tuoi servizi web da attacchi DDoS (Distributed Denial of Service) e altre minacce su internet. Cloud Armor Enterprise offre protezioni sempre attive per il bilanciatore del carico e ti consente di accedere alle regole WAF.

La protezione DDoS viene fornita automaticamente per i bilanciatori del carico delle applicazioni esterni globali, i bilanciatori del carico delle applicazioni classici e i bilanciatori del carico di rete proxy esterni, indipendentemente dal livello. Sono supportati i protocolli HTTP, HTTPS, HTTP/2 e QUIC. Inoltre, gli abbonati a Cloud Armor Enterprise possono accedere alla telemetria di visibilità degli attacchi DDoS.

Per maggiori informazioni, consulta la panoramica di Cloud Armor Enterprise.

Google Threat Intelligence

Cloud Armor Google Threat Intelligence ti consente di proteggere il tuo traffico consentendo o bloccando il traffico verso i bilanciatori del carico delle applicazioni esterni globali e i bilanciatori del carico delle applicazioni classici in base a diverse categorie di dati di intelligence sulle minacce. Per ulteriori informazioni su Google Threat Intelligence, vedi Applicare Google Threat Intelligence.

Google Cloud Armor Adaptive Protection

Adaptive Protection ti aiuta a proteggere le tue applicazioni e i tuoi servizi dagli attacchi DDoS (Distributed Denial-of-Service) di livello 7 analizzando i pattern di traffico verso i tuoi servizi di backend, rilevando e segnalando attacchi sospetti e generando regole WAF suggerite per attenuare questi attacchi. Queste regole possono essere ottimizzate in base alle tue esigenze. Adaptive Protection può essere abilitato in base alla policy di sicurezza, ma richiede un abbonamento Cloud Armor Enterprise attivo nel progetto.

Per ulteriori informazioni, consulta la panoramica di Google Cloud Armor Adaptive Protection.

Protezione DDoS di rete avanzata

La protezione DDoS di rete avanzata offre protezioni aggiuntive per gli abbonati a Managed Protection Plus che utilizzano bilanciatori del carico di rete, forwarding del protocollo o VM con indirizzi IP pubblici. La protezione DDoS di rete avanzata fornisce monitoraggio e avvisi continui sugli attacchi, mitigazioni mirate degli attacchi e telemetria di mitigazione. Per ulteriori informazioni, vedi Configurare la protezione DDoS di rete avanzata.

Come funziona Cloud Armor

Cloud Armor offre una protezione DDoS sempre attiva contro gli attacchi DDoS volumetrici basati su rete o protocollo. Questa protezione è per applicazioni o servizi dietro i bilanciatori del carico. È in grado di rilevare e mitigare gli attacchi di rete per consentire solo le richieste ben formate tramite i proxy di bilanciamento del carico. Le policy di sicurezza applicano criteri di filtro personalizzati di livello 7, incluse regole WAF preconfigurate che mitigano i 10 principali rischi di vulnerabilità delle applicazioni web OWASP. Puoi collegare i criteri di sicurezza ai servizi di backend dei seguenti bilanciatori del carico:

Tutti i bilanciatori del carico delle applicazioni esterni, inclusi i bilanciatori del carico delle applicazioni classici
Bilanciatore del carico delle applicazioni interno regionale
Bilanciatore del carico di rete proxy esterno globale (TCP/SSL)
Bilanciatore del carico di rete proxy classico (TCP/SSL)
Bilanciatore del carico di rete passthrough esterno (TCP/UDP)

I criteri di sicurezza di Cloud Armor consentono di consentire o negare l'accesso al deployment sul perimetro, il più vicino possibile alla sorgente del traffico in entrata. Google Cloud In questo modo si impedisce che il traffico indesiderato consumi risorse o entri nelle reti Virtual Private Cloud (VPC).

Il seguente diagramma mostra la posizione dei bilanciatori del carico delle applicazioni esterni globali, dei bilanciatori del carico delle applicazioni classici, della rete Google e dei data center Google.

Policy di Cloud Armor sul perimetro della rete. — Policy Cloud Armor all'edge di rete (fai clic per ingrandire)

Puoi utilizzare alcune o tutte queste funzionalità per proteggere la tua applicazione. Puoi utilizzare criteri di sicurezza per la corrispondenza con condizioni note, creare regole WAF per proteggerti da attacchi comuni come quelli presenti nel set di regole di base OWASP 3.3.2 e utilizzare le protezioni integrate di Google Cloud Armor Enterprise contro gli attacchi DDoS.