Threat Intelligence anwenden

Mit Google Cloud Armor Threat Intelligence können Google Cloud Armor Enterprise-Abonnenten ihren Traffic schützen, indem sie Traffic zu ihren externen Application Load Balancern basierend auf mehreren Kategorien von Bedrohungsinformationsdaten zulassen oder blockieren. Threat Intelligence-Daten sind in folgende Kategorien unterteilt:

  • Tor-Ausgangsknoten: Tor ist eine Open-Source-Software, die anonyme Kommunikation ermöglicht. Wenn Sie Nutzer ausschließen möchten, die ihre Identität ausblenden, blockieren Sie die IP-Adressen der Tor-Ausgangsknoten (Punkte, an denen der Traffic das Tor-Netzwerk verlässt).
  • Bekannte schädliche IP-Adressen: IP-Adressen, die blockiert werden müssen, um die Sicherheit Ihrer Anwendung zu verbessern, da von ihnen bekannterweise Angriffe auf Webanwendungen ausgingen.
  • Suchmaschinen: IP-Adressen, denen Sie die Aktivierung der Websiteindexierung erlauben können.
  • VPN-Anbieter: IP-Adressen, die von VPN-Anbietern mit schlechter Reputation verwendet werden. Diese Kategorie kann blockiert werden, um Versuche zu verhindern, IP‑Adressbasierte Regeln zu umgehen.
  • Anonyme Proxys: IP-Adressen, die von bekannten anonymen Proxys verwendet werden.
  • Kryptominer: IP-Adressen, die von bekannten Kryptowährungs-Mining-Websites verwendet werden.
  • IP-Adressbereiche der öffentlichen Cloud: Diese Kategorie kann entweder blockiert werden, um zu verhindern, dass schädliche automatisierte Tools in Webanwendungen suchen, oder sie kann zugelassen werden, wenn Ihr Dienst andere öffentliche Clouds verwendet.

Zum Verwenden von Threat Intelligence definieren Sie Sicherheitsregeln, die Traffic basierend auf einigen oder allen diesen Kategorien über den Übereinstimmungsausdruck evaluateThreatIntelligence zulassen oder blockieren. Weiter wird dazu ein Feedname genutzt, der eine der vorherigen Kategorien darstellt. Außerdem müssen Sie Cloud Armor Enterprise abonnieren. Weitere Informationen zu Cloud Armor Enterprise finden Sie in der Übersicht zu Cloud Armor Enterprise.

Threat Intelligence konfigurieren

Wenn Sie Threat Intelligence verwenden möchten, konfigurieren Sie Sicherheitsrichtlinienregeln mithilfe des Übereinstimmungsausdrucks evaluateThreatIntelligence('FEED_NAME') und geben Sie einen FEED_NAME für die Kategorie an, die Sie zulassen oder blockieren möchten. Die Informationen in den einzelnen Feeds werden kontinuierlich aktualisiert, um Dienste ohne zusätzliche Konfigurationsschritte vor neuen Bedrohungen zu schützen. Gültige Argumente sind:

Feedname Beschreibung
iplist-tor-exit-nodes Entspricht den IP-Adressen der Tor-Exit-Knoten
iplist-known-malicious-ips Entspricht IP-Adressen, die bekanntermaßen Angriffe auf Webanwendungen ausführen
iplist-search-engines-crawlers Entspricht IP-Adressen von Suchmaschinen-Crawlern
iplist-vpn-providers Entspricht den IP-Adressbereichen, die von VPN-Anbietern mit schlechter Reputation verwendet werden
iplist-anon-proxies Entspricht IP-Adressbereichen, die zu offenen anonymen Proxys gehören
iplist-crypto-miners Entspricht IP-Adressbereichen, die zu Kryptomining-Websites gehören
iplist-cloudflare Entspricht den IPv4-Adressbereichen und IPv6-Adressbereichen von Cloudflare-Proxydiensten
iplist-fastly Entspricht den IP-Adressbereichen von Fastly Proxy-Diensten
iplist-imperva Entspricht den IP-Adressbereichen von Imperva-Proxydiensten
iplist-public-clouds
  • iplist-public-clouds-aws
  • iplist-public-clouds-azure
  • iplist-public-clouds-gcp
Entspricht IP-Adressen, die zu öffentlichen Clouds gehören
  • Führt zu Übereinstimmung mit den IP-Adressbereichen, die von Amazon Web Services verwendet werden
  • Entspricht den von Microsoft Azure verwendeten IP-Adressbereichen
  • Führt zu Übereinstimmung mit den von Google Cloud verwendeten IP-Adressbereichen

Sie können eine neue Sicherheitsregel mit folgendem gcloud-Befehl, mit einem FEED_NAME aus der vorherigen Tabelle und einem beliebigen ACTION (wie allow, deny oder throttle) konfigurieren. Weitere Informationen zu Regelaktionen finden Sie unter Richtlinientypen.

gcloud compute security-policies rules create 1000 \
    --security-policy=NAME \
    --expression="evaluateThreatIntelligence('FEED_NAME')" \
    --action="ACTION"

Wenn Sie eine IP-Adresse oder einen IP-Adressbereich ausschließen möchten, die/der von Threat Intelligence ansonsten für die Auswertung blockiert werden könnte, fügen Sie die Adresse mit folgendem Ausdruck der Ausschlussliste hinzu. Ersetzen Sie dabei ADDRESS durch die Adresse oder den Adressbereich, den Sie ausschließen möchten.

evaluateThreatIntelligence('iplist-known-malicious-ips', ['ADDRESS'])

Benannte IP-Adresslisten verwenden

Mit benannten IP-Adresslisten in Google Cloud Armor können Sie auf IP-Adresslisten und IP-Bereiche verweisen, die von Drittanbietern verwaltet werden. Sie können benannte IP-Adresslisten innerhalb einer Sicherheitsrichtlinie konfigurieren. Sie müssen nicht jede IP-Adresse oder jeden IP-Bereich einzeln angeben.

In diesem Dokument bezeichnen die Begriffe IP-Adresse und IP-Adressliste auch IP-Adressbereiche.

Benannte IP-Adresslisten sind Listen von IP-Adressen, die unter verschiedenen Namen gruppiert werden. Der Name bezieht sich in der Regel auf den Anbieter. Benannte IP-Adresslisten unterliegen nicht dem Kontingentlimit für die Anzahl von IP-Adressen pro Regel.

Benannte IP-Adresslisten sind keine Sicherheitsrichtlinien. Sie binden sie in eine Sicherheitsrichtlinie ein, indem Sie mithilfe von Ausdrücken darauf verweisen, wie Sie es auch bei einer vorkonfigurierten Regel tun würden.

Wenn beispielsweise ein Drittanbieter die IP-Adresse {ip1, ip2, ip3....ip_N_} unter dem Namen provider-a hat, können Sie eine Sicherheitsregel erstellen, mit der alle IP-Adressen zugelassen werden, die in der provider-a-Liste enthalten sind, und IP-Adressen ausgeschlossen werden, die nicht in dieser Liste enthalten sind:

gcloud beta compute security-policies rules create 1000 \
    --security-policy POLICY_NAME \
    --expression "evaluatePreconfiguredExpr('provider-a')" \
    --action "allow"

Sie können keine eigenen benutzerdefinierten benannten IP-Adresslisten erstellen. Dieses Feature ist nur in Bezug auf benannte IP-Adresslisten verfügbar, die von Drittanbietern verwaltet werden, die eine Partnerschaft mit Google eingegangen sind. Wenn solche benannten IP-Adresslisten nicht Ihren Anforderungen entsprechen, können Sie eine Sicherheitsrichtlinie erstellen, in der anhand von Regeln der Zugriff auf Ihre Ressourcen anhand der IP-Adresse zugelassen oder verweigert wird, von der aus Anfragen erfolgen. Weitere Informationen finden Sie unter Google Cloud Armor-Sicherheitsrichtlinien konfigurieren.

Wenn Sie benannte IP-Adresslisten verwenden möchten, müssen Sie Google Cloud Armor Enterprise abonnieren und Projekte in Cloud Armor Enterprise registrieren. Weitere Informationen finden Sie unter Verfügbarkeit benannter IP-Adresslisten.

Traffic nur von zulässigen Drittanbietern zulassen

Ein typischer Anwendungsfall ist die Erstellung einer Zulassungsliste mit den IP-Adressen eines zugelassenen Drittanbieters, damit nur Traffic von diesem Partner auf den Load-Balancer und die Back-Ends zugreifen kann.

CDN-Anbieter müssen beispielsweise regelmäßig Inhalte von Ursprungsservern abrufen, um sie an ihre eigenen Caches zu verteilen. Eine Partnerschaft mit Google bietet eine direkte Verbindung zwischen CDN-Anbietern und dem Edge-Netzwerk von Google. CDN-Nutzer in Google Cloud können diese direkte Verbindung bei Ursprungs-Pull-Vorgängen nutzen. In diesem Fall möchte der CDN-Nutzer vielleicht eine Sicherheitsrichtlinie erstellen, die nur Traffic von diesem bestimmten CDN-Anbieter zulässt.

In diesem Beispiel veröffentlicht ein CDN-Anbieter seine IP-Adressliste 23.235.32.0/20, 43.249.72.0/22, ⋯,. Ein CDN-Nutzer konfiguriert eine Sicherheitsregel, die nur Traffic von diesen IP-Adressen zulässt. Daher sind zwei Zugangspunkte für CDN-Anbieter zulässig (23.235.32.10 und 43.249.72.10) und ihr Traffic ist somit auch zulässig. Der Traffic vom nicht autorisierten Zugangspunkt 198.51.100.1 wird blockiert.

Benannte IP-Adresse in Google Cloud Armor.
Benannte IP-Adresse in Google Cloud Armor (zum Vergrößern anklicken)

Konfiguration und Verwaltung durch vorkonfigurierte Regeln vereinfachen

CDN-Anbieter verwenden häufig bekannte IP-Adressen, die von vielen CDN-Nutzern verwendet werden müssen. Diese Listen ändern sich im Laufe der Zeit, wenn Anbieter IP-Adressen hinzufügen, entfernen und aktualisieren.

Die Verwendung einer benannten IP-Adressliste in einer Sicherheitsrichtlinie vereinfacht den Vorgang der Konfiguration und Verwaltung der IP-Adresse, da Google Cloud Armor automatisch die Informationen von CDN-Anbietern täglich synchronisiert. Dadurch entfällt die zeitaufwendige und fehleranfällige manuelle Verwaltung einer großen IP-Adressliste.

Das folgende Beispiel zeigt eine vorkonfigurierte Regel, die den gesamten Traffic von einem Anbieter zulässt:

evaluatePreconfiguredExpr('provider-a') => allow traffic

Anbieter von IP-Adresslisten

Die in der folgenden Tabelle aufgeführten Anbieter von IP-Adressenlisten werden bei Google Cloud Armor unterstützt. Dies sind CDN-Provider, die eine Partnerschaft mit Google eingegangen sind. Die IP-Adresslisten werden über einzelne öffentliche URLs veröffentlicht.

Diese Partner stellen separate Listen mit IPv4- und IPv6-Adressen bereit. Google Cloud Armor verwendet die bereitgestellten URLs zum Abrufen von Listen und konvertiert die Listen dann in benannte IP-Adresslisten. Auf die Listen verweisen Sie nach den Namen in der Tabelle.

Im folgenden Beispiel wird in der Sicherheitsrichtlinie POLICY_NAME eine Regel mit der Priorität 750 erstellt, die die benannte IP-Liste von Cloudflare enthält und den Zugriff von diesen IP-Adressen aus zulässt:

gcloud beta compute security-policies rules create 750 \
    --security-policy POLICY_NAME \
    --expression "evaluatePreconfiguredExpr('sourceiplist-cloudflare')" \
    --action "allow"
Anbieter URLs Name der IP-Adressliste
Fastly https://api.fastly.com/public-ip-list sourceiplist-fastly
Cloudflare

https://www.cloudflare.com/ips-v4

https://www.cloudflare.com/ips-v6

sourceiplist-cloudflare
Imperva

https://my.imperva.com/api/integration/v1/ips

Der Zugriff auf die Liste von Imperva erfordert eine POST-Anfrage. Sie können auch den folgenden Befehl verwenden:

curl -d "" https://my.imperva.com/api/integration/v1/ips

sourceiplist-imperva

Mit dem folgenden gcloud CLI-Befehl listen Sie die vorkonfigurierten benannten IP-Adresslisten auf:

gcloud compute security-policies list-preconfigured-expression-sets \
    --filter="id:sourceiplist"

Dadurch wird Folgendes zurückgegeben:

EXPRESSION_SET
sourceiplist-fastly
sourceiplist-cloudflare
sourceiplist-imperva

IP-Adresslisten synchronisieren

Google Cloud Armor synchronisiert IP-Adresslisten nur dann mit jedem Anbieter, wenn Änderungen in einem gültigen Format erkannt werden. Google Cloud Armor führt für die IP-Adressen in allen Listen eine grundlegende Syntaxvalidierung durch.

Verfügbarkeit benannter IP-Adresslisten

Google Cloud Armor Enterprise ist allgemein verfügbar. Die Verfügbarkeit von benannten IP-Adresslisten von Drittanbietern sieht so aus:

  1. Wenn Sie die Google Cloud Armor Enterprise-Stufe abonniert haben, sind Sie berechtigt, benannte IP-Adresslisten in registrierten Projekten zu verwenden. Sie können Regeln mit benannten IP-Adresslisten erstellen, aktualisieren und löschen.
  2. Wenn Ihr Abo für die Google Cloud Armor Enterprise-Stufe abläuft oder Sie anderweitig zur Standardstufe zurückkehren, können Sie keine Regeln mit benannten IP-Adresslisten hinzufügen oder ändern. Vorhandene Regeln können Sie jedoch löschen und aktualisieren, um eine benannte IP-Liste zu entfernen.
  3. In Projekten, die bereits Regeln mit benannten IP-Adresslisten enthalten, die Sie jedoch nicht für Google Cloud Armor Enterprise registriert haben, können Sie vorhandene Regeln mit benannten IP-Adresslisten weiterhin verwenden, aktualisieren und löschen. In solchen Projekten können Sie neue Regeln erstellen, die benannte IP-Adresslisten enthalten.

Nächste Schritte