Google Cloud Armor 可協助您保護 Google Cloud 部署作業,免於遭受多種威脅,包括分散式阻斷服務 (DDoS) 攻擊,以及跨網站指令碼攻擊 (XSS) 和 SQL 注入 (SQLi) 等應用程式攻擊。Google Cloud Armor 提供部分自動防護功能,以及部分需要手動設定的防護功能。本文將概略介紹這些功能,其中幾項功能僅適用於全域外部應用程式負載平衡器和傳統版應用程式負載平衡器。
安全性政策
無論應用程式是部署在 Google Cloud、混合式部署環境或多雲端架構中,您都可以使用 Google Cloud Armor 安全性政策保護負載平衡器後方執行的應用程式,不受分散式阻斷服務 (DDoS) 及其他網路攻擊的侵擾。您可以手動設定安全性政策,並在安全性政策中設定可調整的配對條件和動作。Google Cloud Armor 也提供預先設定的安全性政策,涵蓋各種用途。詳情請參閱「Google Cloud Armor 安全性政策總覽」。
規則語言
Google Cloud Armor 可讓您在安全性政策中,使用可設定的比對條件和動作定義優先順序規則。如果規則的優先順序最高,且屬性與傳入要求的屬性相符,則規則就會生效,也就是套用所設定的動作。詳情請參閱 Google Cloud Armor 自訂規則語言參考資料。
預先設定的網路應用程式防火牆規則
Google Cloud Armor 預先設定的網路應用程式防火牆 (WAF) 規則是複雜的網路應用程式防火牆 (WAF) 規則,其中包含數十個依開放原始碼業界標準編譯的簽名。每個簽章都會對應至規則集合中的攻擊偵測規則。Google 提供這些規則,讓 Google Cloud Armor 可以參照方便命名的規則,評估數十種不同的流量簽章,而不需要您手動定義每個簽章。
Google Cloud Armor 預先設定的規則可保護您的網頁應用程式和服務,不受網際網路的常見攻擊影響,並有助於緩解 OWASP 前 10 大風險。規則來源為 OWASP 核心規則集 3.3.2 (CRS)。
這些預先設定的規則可調整為停用雜訊或其他不必要的簽章。詳情請參閱「調整 Google Cloud Armor 網路應用程式防火牆規則」。
Google Cloud Armor Enterprise
Cloud Armor Enterprise 是代管應用程式防護服務,可保護您的網頁應用程式和服務,不受分散式阻斷服務 (DDoS) 攻擊及其他網際網路上的威脅侵擾。Cloud Armor Enterprise 提供全天候負載平衡器防護功能,並提供 WAF 規則存取權。
無論層級為何,全域外部應用程式負載平衡器、傳統版應用程式負載平衡器和外部 Proxy 網路負載平衡器都會自動提供分散式阻斷服務保護。支援 HTTP、HTTPS、HTTP/2 和 QUIC 通訊協定。此外,Cloud Armor Enterprise 訂閱者可以存取 DDoS 攻擊可視度遙測資料。
詳情請參閱 Cloud Armor Enterprise 總覽。
Google Threat Intelligence
Google Cloud Armor Google 威脅情報可根據多個威脅情報資料類別,允許或封鎖全球外部應用程式負載平衡器和傳統應用程式負載平衡器的流量,確保流量安全。如要進一步瞭解 Google Threat Intelligence,請參閱「套用 Google Threat Intelligence」一文。
Google Cloud Armor Adaptive Protection
自動調整式防護機制可分析後端服務的流量模式、偵測並發出疑似攻擊的快訊,以及產生建議的網路應用程式防火牆規則來降低風險,藉此協助應用程式和服務抵禦第 7 層分散式阻斷服務攻擊。您可以根據需求調整這些規則。您可以依安全性政策啟用自動調整式防護機制,但必須在專案中訂閱有效的 Cloud Armor Enterprise。
詳情請參閱 Google Cloud Armor Adaptive Protection 總覽。
進階的網路分散式阻斷服務防護功能
進階網路分散式阻斷服務防護功能可為使用網路負載平衡器、通訊協定轉送或採用公開 IP 的 VM 的 Managed Protection Plus 訂閱者提供額外防護。進階網路分散式阻斷服務防護功能提供全天候攻擊監控和快訊、針對性攻擊緩解措施,以及緩解措施遙測資料。詳情請參閱「設定進階的網路分散式阻斷服務防護功能」。
Google Cloud Armor 的運作方式
Google Cloud Armor 提供全天候 DDoS 防護功能,可防範網路或通訊協定巨流量 DDoS 攻擊。這項防護措施適用於負載平衡器後方的應用程式或服務。這項服務可偵測及減輕網路攻擊,以便只允許經過負載平衡代理程式傳送的正確格式要求。安全性政策會強制執行自訂的第 7 層篩選政策,包括預先設定的網路應用程式防火牆規則,可防範 OWASP 前 10 大網頁應用程式安全漏洞風險。您可以將安全性政策附加至下列負載平衡器的後端服務:- 所有外部應用程式負載平衡器,包括傳統版應用程式負載平衡器
- 區域性內部應用程式負載平衡器
- 全域外部 Proxy 網路負載平衡器 (TCP/SSL)
- 傳統 Proxy 網路負載平衡器 (TCP/SSL)
- 外部直通式網路負載平衡器 (TCP/UDP)
Google Cloud Armor 安全性政策可讓您在 Google Cloud 邊緣允許或拒絕對部署作業的存取權,盡可能靠近傳入流量的來源。這有助於防止不受歡迎的流量消耗資源,或進入虛擬私有雲 (VPC) 網路。
下圖說明全域外部應用程式負載平衡器、傳統版應用程式負載平衡器、Google 網路和 Google 資料中心的位置。
您可以使用部分或所有這些功能來保護應用程式。您可以使用安全政策比對已知條件、建立網路應用程式防火牆 (WAF) 規則,防範常見攻擊 (例如 OWASP 核心規則集 3.3.2 中所列的攻擊),並使用 Google Cloud Armor Enterprise 內建的防範分散式阻斷服務攻擊功能。
後續步驟
- 檢視 Google Cloud Armor 的常見用途
- 瞭解 Google Cloud Armor Enterprise
- 瞭解 Google Cloud Armor Adaptive Protection