La piattaforma di intelligence sulle minacce di Google Cloud Armor consente agli abbonati a Google Cloud Armor Enterprise di proteggere il proprio traffico consentendo o bloccando il traffico verso i bilanciatori del carico delle applicazioni esterni in base a diverse categorie di dati di intelligence sulle minacce. I dati di Threat Intelligence sono suddivisi nelle seguenti categorie:
- Nodi di uscita Tor: Tor è un software open source che consente la comunicazione anonima. Per escludere gli utenti che nascondono la propria identità, blocca gli indirizzi IP degli exit node Tor (punti in cui il traffico esce dalla rete Tor).
- Indirizzi IP dannosi noti: indirizzi IP che devono essere bloccati per migliorare la strategia di sicurezza della tua applicazione perché è noto che da lì hanno origine gli attacchi alle applicazioni web.
- Motori di ricerca: indirizzi IP che puoi consentire per attivare l'indicizzazione del sito.
- Fornitori VPN: indirizzi IP utilizzati da fornitori VPN con reputazione bassa. Questa categoria può essere bloccata per impedire i tentativi di aggirare le regole basate sull'indirizzo IP.
- Proxy anonimi: indirizzi IP utilizzati da proxy anonimi noti.
- Miner di criptovalute: indirizzi IP utilizzati da siti web di mining di criptovalute noti.
- Intervalli di indirizzi IP di cloud pubblico: questa categoria può essere bloccata per impedire a strumenti automatici dannosi di navigare nelle applicazioni web o consentita se il servizio utilizza altri cloud pubblici.
Per utilizzare la conoscenza delle minacce, definisci regole dei criteri di sicurezza che consentono o bloccano il traffico in base ad alcune o a tutte queste categorie utilizzando l'espressione di corrispondenza evaluateThreatIntelligence insieme a un nome del feed che rappresenta una delle categorie precedenti. Inoltre, devi abbonarti a
Cloud Armor Enterprise. Per ulteriori informazioni su Cloud Armor Enterprise, consulta la panoramica di Cloud Armor Enterprise.
Configurare la threat intelligence
Per utilizzare la conoscenza delle minacce, configura le regole dei criteri di sicurezza utilizzando l'espressione di corrispondenza evaluateThreatIntelligence('FEED_NAME'), fornendo un FEED_NAME in base alla categoria che vuoi consentire o bloccare. Le informazioni all'interno di ogni feed vengono aggiornate continuamente, proteggendo i servizi da nuove minacce senza ulteriori passaggi di configurazione. Gli argomenti validi sono i seguenti.
| Nome del feed | Descrizione |
|---|---|
iplist-tor-exit-nodes |
Corrisponde agli indirizzi IP dei nodi di uscita Tor |
iplist-known-malicious-ips |
Corrispondenza con indirizzi IP noti per gli attacchi alle applicazioni web |
iplist-search-engines-crawlers |
Corrisponde agli indirizzi IP dei crawler dei motori di ricerca |
iplist-vpn-providers |
Corrispondenza a intervalli di indirizzi IP utilizzati da fornitori VPN con reputazione bassa |
iplist-anon-proxies |
Corrisponde agli intervalli di indirizzi IP che appartengono a proxy anonimi aperti |
iplist-crypto-miners |
Corrisponde agli intervalli di indirizzi IP appartenenti a siti di cryptomining |
iplist-cloudflare |
Corrisponde agli intervalli di indirizzi IPv4 e IPv6 dei servizi proxy di Cloudflare |
iplist-fastly |
Corrisponde agli intervalli di indirizzi IP dei servizi proxy Fastly |
iplist-imperva |
Corrisponde agli intervalli di indirizzi IP dei servizi proxy Imperva |
iplist-public-clouds
|
Corrispondenza degli indirizzi IP appartenenti ai cloud pubblici
|
Puoi configurare una nuova regola del criterio di sicurezza utilizzando il seguente comando gcloud, con un FEED_NAME della tabella precedente e qualsiasi ACTION come allow, deny o throttle. Per ulteriori informazioni sulle azioni delle regole, consulta i tipi di criteri.
gcloud compute security-policies rules create 1000 \
--security-policy=NAME \
--expression="evaluateThreatIntelligence('FEED_NAME')" \
--action="ACTION"
Se vuoi escludere un indirizzo IP o un intervallo di indirizzi IP che altrimenti la Threat Intelligence potrebbe bloccare dalla valutazione, puoi aggiungere l'indirizzo all'elenco di esclusione utilizzando la seguente espressione, sostituendo ADDRESS con l'indirizzo o l'intervallo di indirizzi da escludere.
evaluateThreatIntelligence('iplist-known-malicious-ips', ['ADDRESS'])
Utilizzo di elenchi di indirizzi IP denominati
Gli elenchi di indirizzi IP denominati di Google Cloud Armor ti consentono di fare riferimento a elenchi di indirizzi IP e intervalli IP gestiti da fornitori di terze parti. Puoi configurare elenchi di indirizzi IP denominati all'interno di un criterio di sicurezza. Non è necessario specificare manualmente ogni indirizzo IP o intervallo IP singolarmente.
In questo documento, i termini indirizzo IP ed elenco di indirizzi IP includono gli intervalli di indirizzi IP.
Gli elenchi di indirizzi IP denominati sono elenchi di indirizzi IP raggruppati con nomi diversi. Il nome in genere si riferisce al fornitore. Gli elenchi di indirizzi IP denominati non sono soggetti al limite di quota per il numero di indirizzi IP per regola.
Gli elenchi di indirizzi IP denominati non sono criteri di sicurezza. Puoi incorporarli in un criterio di sicurezza facendovi riferimento come espressioni nello stesso modo in cui faresti riferimento a una regola preconfigurata.
Ad esempio, se un fornitore di terze parti ha un elenco di indirizzi IP di {ip1, ip2,
ip3....ip_N_} denominato provider-a, puoi creare una regola di sicurezza che consenta tutti gli indirizzi IP nell'elenco provider-a ed escluda gli indirizzi IP non presenti nell'elenco:
gcloud beta compute security-policies rules create 1000 \
--security-policy POLICY_NAME \
--expression "evaluatePreconfiguredExpr('provider-a')" \
--action "allow"
Non puoi creare elenchi di indirizzi IP denominati personalizzati. Questa funzionalità è disponibile solo per quanto riguarda gli elenchi di indirizzi IP denominati gestiti da fornitori di terze parti in partnership con Google. Se questi elenchi di indirizzi IP denominati non soddisfano le tue esigenze, puoi creare un criterio di sicurezza in cui le regole consentono o negano l'accesso alle tue risorse in base all'indirizzo IP da cui provengono le richieste. Per ulteriori informazioni, consulta Configurare i criteri di sicurezza di Google Cloud Armor.
Per utilizzare gli elenchi di indirizzi IP denominati, devi abbonarti a Google Cloud Armor Enterprise e registrare i progetti in Cloud Armor Enterprise. Per ulteriori informazioni, consulta Disponibilità di elenchi di indirizzi IP con nome.
Consentire il traffico solo da fornitori di terze parti consentiti
Un tipico caso d'uso è creare una lista consentita contenente gli indirizzi IP di un partner di terze parti consentito per assicurarsi che solo il traffico proveniente da questo partner possa accedere al bilanciatore del carico e ai backend.
Ad esempio, i fornitori di CDN devono estrarre i contenuti dai server di origine a intervalli regolari per distribuirli nelle proprie cache. Una partnership con Google fornisce una connessione diretta tra i provider CDN e il perimetro della rete Google. Gli utenti CDN su Google Cloud possono utilizzare questa connessione diretta durante i tiri delle origini. In questo caso, l'utente CDN potrebbe voler creare un criterio di sicurezza che consenta solo il traffico proveniente da quel determinato provider CDN.
In questo esempio, un fornitore di CDN pubblica il proprio elenco di indirizzi IP
23.235.32.0/20, 43.249.72.0/22, ⋯,. Un utente CDN configura una regola di sicurezza che consente solo il traffico proveniente da questi indirizzi IP. Di conseguenza, sono consentiti due punti di accesso del fornitore CDN (23.235.32.10 e 43.249.72.10) e quindi il loro traffico. Il traffico proveniente dal punto di accesso non autorizzato198.51.100.1 è bloccato.
Semplificazione della configurazione e della gestione mediante l'utilizzo di regole preconfigurate
I fornitori di CDN utilizzano spesso indirizzi IP noti e che molti utenti di CDN devono utilizzare. Questi elenchi cambiano nel tempo, man mano che i provider aggiungono, rimuovono e aggiornati gli indirizzi IP.
L'utilizzo di un elenco di indirizzi IP denominati in una regola del criterio di sicurezza semplifica la procedura di configurazione e gestione degli indirizzi IP perché Google Cloud Armor sincronizza automaticamente le informazioni dei fornitori CDN su base giornaliera. In questo modo, viene eliminata la procedura di gestione manuale di un elenco di indirizzi IP di grandi dimensioni, che è dispendiosa in termini di tempo e soggetta a errori.
Di seguito è riportato un esempio di regola preconfigurata che consente tutto il traffico proveniente da un provider:
evaluatePreconfiguredExpr('provider-a') => allow traffic
Fornitori di elenchi di indirizzi IP
I fornitori di elenchi di indirizzi IP nella tabella seguente sono supportati per Google Cloud Armor. Si tratta di provider CDN che hanno stretto una partnership con Google. I relativi elenchi di indirizzi IP vengono pubblicati tramite singoli URL pubblici.
Questi partner forniscono elenchi separati di indirizzi IPv4 e IPv6. Google Cloud Armor utilizza gli URL forniti per recuperare gli elenchi e poi li converte in elenchi di indirizzi IP denominati. Fai riferimento agli elenchi tramite i nomi riportati nella tabella.
Ad esempio, il seguente codice crea una regola nel criterio di sicurezzaPOLICY_NAME con priorità 750, che incorpora l'elenco di indirizzi IP denominati di Cloudflare e consente l'accesso da questi indirizzi IP:
gcloud beta compute security-policies rules create 750 \
--security-policy POLICY_NAME \
--expression "evaluatePreconfiguredExpr('sourceiplist-cloudflare')" \
--action "allow"
| Provider | URL | Nome dell'elenco di indirizzi IP |
|---|---|---|
| Fastly | https://api.fastly.com/public-ip-list |
sourceiplist-fastly |
| Cloudflare |
|
sourceiplist-cloudflare |
| Imperva |
Per accedere all'elenco di Imperva è necessaria una richiesta
|
sourceiplist-imperva |
Per elencare gli elenchi di indirizzi IP denominati preconfigurati, utilizza questo comando gcloud CLI:
gcloud compute security-policies list-preconfigured-expression-sets \
--filter="id:sourceiplist"
Restituisce:
EXPRESSION_SET sourceiplist-fastly sourceiplist-cloudflare sourceiplist-imperva
Sincronizzazione degli elenchi di indirizzi IP
Google Cloud Armor sincronizza gli elenchi di indirizzi IP con ciascun fornitore solo quando rileva modifiche in un formato valido. Google Cloud Armor esegue la convalida di base della sintassi degli indirizzi IP in tutti gli elenchi.
Disponibilità di elenchi di indirizzi IP denominati
Google Cloud Armor Enterprise è disponibile in generale. La disponibilità di elenchi di indirizzi IP denominati di terze parti è la seguente:
- Se hai sottoscritto un abbonamento al livello Google Cloud Armor Enterprise, hai la licenza per utilizzare gli elenchi di indirizzi IP denominati nei progetti registrati. Puoi creare, aggiornare e eliminare regole con elenchi di indirizzi IP denominati.
- Se il tuo abbonamento al livello Enterprise di Google Cloud Armor scade o se ritorni al livello Standard, non puoi aggiungere o modificare regole con elenchi di indirizzi IP denominati, ma puoi eliminare le regole esistenti e aggiornarle per rimuovere un elenco IP denominato.
- Per i progetti che includono già regole con elenchi di indirizzi IP denominati e che non hai registrato in Google Cloud Armor Enterprise, puoi continuare a utilizzare, aggiornare ed eliminare le regole esistenti con elenchi di indirizzi IP denominati. In questi progetti, puoi creare nuove regole che includono elenchi di indirizzi IP denominati.
Passaggi successivi
- Configura i criteri di sicurezza di Google Cloud Armor
- Visualizza i prezzi dei livelli Cloud Armor Enterprise
- Risolvere i problemi