As políticas de segurança de limite de rede permitem-lhe configurar regras para permitir ou bloquear tráfego no limite da rede da Google. Pode configurar políticas de segurança de limite de rede para os seguintes tipos de front-end:
- Balanceadores de carga de rede de encaminhamento externos
- Encaminhamento de protocolos
- VMs com endereços IP públicos
Pode usar políticas de segurança de limite da rede para filtrar por intervalos de endereços IP de origem e destino de forma semelhante à firewall de nova geração da nuvem, mas sem consumir os seus recursos. Além disso, uma política de segurança de limite de rede é o único tipo de política de segurança com suporte para filtragem de deslocamento de bytes.
Configure regras personalizadas para políticas de segurança de limite de rede
Tal como as políticas de segurança de back-end e de edge, pode configurar regras personalizadas para políticas de segurança de edge de rede. No exemplo seguinte, cria uma política de segurança de limite de rede, configura uma regra personalizada para permitir o tráfego apenas de um determinado intervalo de endereços IP de origem e anexa a política ao seu serviço de back-end.
As políticas de segurança de limite de rede suportam vários filtros do Cloud Armor, incluindo filtros únicos, como a filtragem de deslocamento de bytes. Para mais informações sobre as funcionalidades suportadas pelas políticas de segurança do limite da rede, consulte a vista geral da política de segurança. Além disso, pode implementar políticas de segurança de limite de rede no modo de pré-visualização.
Antes de continuar, tem de inscrever-se no Google Cloud Armor Enterprise e configurar a proteção avançada contra DDoS de rede. Não pode usar regras personalizadas para políticas de segurança de limite de rede sem uma subscrição ativa do Cloud Armor Enterprise e proteção avançada contra DDoS de rede.
Para configurar regras personalizadas, siga estes passos:
Crie uma nova política de segurança de limite de rede com o nome
POLICY_NAMEna regiãoREGION. Não use a mesma política de segurança que usou quando ativou a proteção avançada contra DDoS de rede.gcloud compute security-policies create POLICY_NAME \ --type=CLOUD_ARMOR_NETWORK \ --region=REGION
Altere a regra predefinida da sua política de
allowparadenypara bloquear o tráfego que não seja explicitamente permitido por outras regras.gcloud compute security-policies rules update 2147483647 \ --security-policy=POLICY_NAME \ --action=deny \ --region=REGION
Na mesma política de segurança, adicione uma regra com a prioridade
RULE_PRIORITYque permita pedidos no intervalo de endereços IP de origemRANGE.gcloud compute security-policies rules create RULE_PRIORITY \ --security-policy=POLICY_NAME \ --network-src-ip-ranges=RANGE \ --action=allow \ --region=REGION
Associe a política de segurança ao seu serviço de back-end
BACKEND_SERVICE_NAME.gcloud compute backend-services update BACKEND_SERVICE_NAME \ --security-policy=POLICY_NAME \ --region=REGION
Em alternativa, pode associar a política de segurança a uma única instância de VM com o seguinte comando:
gcloud beta compute instances network-interfaces update VM_NAME \ --security-policy=POLICY_NAME \ --security-policy-region=REGION \ --network-interface=NETWORK_INTERFACE \ --zone=ZONE_NAME
Opcional: pode verificar se a política de segurança está anexada através do seguinte comando. Se tiver êxito, o campo
securityPolicyna saída tem um link para o recurso da política de segurança.gcloud compute instances describe VM_NAME --zone=ZONE_NAME
Depois de criar o exemplo anterior, pode continuar a adicionar regras à sua política de segurança do limite da rede através do comando security-policies rules update.
Os campos suportados para políticas de segurança de limite de rede são os seguintes:
| Campo | Bandeira | Descrição |
|---|---|---|
| Endereço IP de origem | --network-src-ip-ranges |
Endereços IPv4/6 de origem ou prefixos CIDR, no formato de texto padrão. |
| Portas de origem | --network-src-ports |
Números de porta de origem para TCP/UDP/SCTP. Cada elemento pode ser um número (de 16 bits) (como "80") ou um intervalo (como "0-1023"). |
| Códigos de região de origem | --network-src-region-codes |
Código do país de duas letras (ISO 3166-1 alfa 2). |
| ASNs de origem | --network-src-asns |
Número do sistema autónomo BGP do endereço IP de origem. |
| Intervalos de endereços IP de destino | --network-dest-ip-ranges |
Endereços IPv4/6 de destino ou prefixos CIDR no formato de texto padrão. |
| Portas de destino | --network-dest-ports |
Números de porta de destino para TCP/UDP/SCTP. Cada elemento pode ser um número (16 bits) (como "80") ou um intervalo (como "0-1023"). |
| Protocolos de endereço IP | --network-ip-protocols |
Protocolo IPv4 / cabeçalho seguinte IPv6 (após cabeçalhos de extensão). Cada elemento pode ser um número de 8 bits (como "6"), um intervalo (como "253-254") ou um dos seguintes nomes de protocolos:
|
| Filtragem por deslocamento de bytes | N/A | Consulte a secção seguinte. |
Quando usa a flag --network-src-region-codes com uma política de segurança
de limite de rede, pode usar códigos de região para os seguintes territórios sujeitos a
sanções abrangentes dos EUA:
| Territories | Código atribuído |
|---|---|
| Crimeia | XC |
| A autodenominada República Popular de Donetsk (DNR) e a autodenominada República Popular de Luhansk (LNR) |
XD |
Configure a filtragem por deslocamento de bytes
Se usar balanceadores de carga de rede de passagem externos, encaminhamento de protocolos ou VMs com endereços IP públicos, o Cloud Armor pode realizar uma inspeção detalhada de pacotes no tráfego de entrada. Pode configurar uma regra de política de segurança que corresponda a um valor de desvio de bytes TCP/UDP específico. Pode configurar a regra para aplicar a ação da regra quando o valor configurado estiver presente ou, em alternativa, quando estiver ausente.
O exemplo seguinte permite o tráfego quando o valor está presente e nega todo o outro tráfego:
Crie uma nova política de segurança de limite de rede. Pode ignorar este passo se tiver uma política de segurança de limite de rede existente.
gcloud compute security-policies create POLICY_NAME \ --type=CLOUD_ARMOR_NETWORK \ --region=REGION_NAME
Atualize a política de segurança do limite da rede para adicionar campos definidos pelo utilizador através dos seguintes parâmetros:
- Base: o valor pode ser
IPv4,IPv6,TCPouUDP - Desvio: desvio do campo a partir da base em bytes
- Tamanho: tamanho do campo em bytes (o valor máximo é
4) - Máscara: a máscara para os bits no campo a serem correspondidos
Pode usar até oito campos definidos pelo utilizador por política. No exemplo seguinte, cria dois campos definidos pelo utilizador.
gcloud compute security-policies add-user-defined-field POLICY_NAME \ --user-defined-field-name=USER_DEFINED_FIELD_NAME_TCP \ --base=TCP \ --offset=OFFSET \ --size=SIZE \ --mask=MASK \ --region=REGION_NAME
gcloud compute security-policies add-user-defined-field POLICY_NAME \ --user-defined-field-name=USER_DEFINED_FIELD_NAME_UDP \ --base=UDP \ --offset=OFFSET \ --size=SIZE \ --mask=MASK \ --region=REGION_NAME
- Base: o valor pode ser
Na política de segurança do limite da rede, adicione uma regra com o mesmo nome do campo personalizado que usou no exemplo anterior. Substitua
VALUE1eVALUE2por valores que correspondam ao tráfego que quer permitir.gcloud compute security-policies rules create RULE_PRIORITY \ --security-policy=POLICY_NAME \ --network-user-defined-fields="USER_DEFINED_FIELD_NAME_TCP;VALUE1:VALUE2,USER_DEFINED_FIELD_NAME_UDP;VALUE1:VALUE2,USER_DEFINED_FIELD_NAME_UDP;VALUE1,VALUE2" \ --action=allow \ --region=REGION_NAME
Defina a regra predefinida na política de segurança do limite da rede como uma regra de recusa. Pode ignorar este passo se a regra predefinida na sua política de segurança já for uma regra de recusa.
gcloud compute security-policies rules update 2147483647 \ --security-policy=POLICY_NAME \ --action=deny \ --region=REGION_NAME
Associe a política de segurança do limite da rede ao serviço de back-end do Network Load Balancer de passagem externo.
gcloud compute backend-services update BACKEND_SERVICE_NAME \ --security-policy=POLICY_NAME \ --region=REGION_NAME
Monitorização
O Cloud Armor exporta as seguintes métricas para o Cloud Monitoring para cada uma das regras da sua política de segurança de limite de rede:
packet_countBlocked: um valor booleano que representa o resultado de uma ação de regraallowoudeny
Count: o valor depacket_counté incrementado uma vez para cada 10 000 pacotes. Por exemplo,um valor depacket_countde5significa que, pelo menos,50 000 pacotes corresponderam à sua regra
preview_packet_count: igual apacket_count, usado para regras no modo de pré-visualização
Para ver as métricas das políticas de segurança de limite de rede, tem de ativar primeiro a
API Network Security
(networksecurity.googleapis.com). Esta autorização está incluída na
função Compute Security Admin
(roles/compute.securityAdmin). Depois de ativar a API Network Security,
pode ver as métricas na monitorização na Google Cloud consola.