Aplique o Google Threat Intelligence

A Google Threat Intelligence permite que os subscritores do Google Cloud Armor Enterprise protejam o respetivo tráfego, permitindo ou bloqueando o tráfego para os respetivos balanceadores de carga de aplicações externos com base em várias categorias de dados de informações sobre ameaças. Os dados de informações sobre ameaças da Google estão divididos nas seguintes categorias:

  • Nós de saída do Tor: o Tor é um software de código aberto que permite a comunicação anónima. Para excluir utilizadores que ocultam a respetiva identidade, bloqueie os endereços IP dos nós de saída do Tor (pontos em que o tráfego sai da rede Tor).
  • Endereços IP maliciosos conhecidos: endereços IP que têm de ser bloqueados para melhorar a postura de segurança da sua aplicação, porque sabe-se que os ataques a aplicações Web têm origem nesses endereços.
  • Motores de pesquisa: endereços IP que pode permitir para ativar a indexação do site.
  • Fornecedores de VPN: endereços IP usados por fornecedores de VPN com baixa reputação. Esta categoria pode ser bloqueada para negar tentativas de contornar regras baseadas em endereços IP.
  • Proxies anónimos: endereços IP usados por proxies anónimos conhecidos.
  • Mineiros de criptomoedas: endereços IP usados por Websites conhecidos de mineração de criptomoedas.
  • Intervalos de endereços IP da nuvem pública: esta categoria pode ser bloqueada para evitar que ferramentas automatizadas maliciosas naveguem em aplicações Web ou permitida se o seu serviço usar outras nuvens públicas.

Para usar a Google Threat Intelligence, defina regras de política de segurança que permitam ou bloqueiem o tráfego com base em algumas ou todas estas categorias através da expressão de correspondência evaluateThreatIntelligence, juntamente com um nome de feed que represente uma das categorias anteriores. Além disso, tem de subscrever o Cloud Armor Enterprise. Para mais informações sobre o Cloud Armor Enterprise, consulte a vista geral do Cloud Armor Enterprise.

Configure o Google Threat Intelligence

Para usar a Google Threat Intelligence, configure regras de política de segurança através da evaluateThreatIntelligence('FEED_NAME') expressão de correspondência, fornecendo um FEED_NAME com base na categoria que quer permitir ou bloquear. As informações em cada feed são atualizadas continuamente, o que protege os serviços contra novas ameaças sem passos de configuração adicionais. Os argumentos válidos são os seguintes.

Nome do feed Descrição
iplist-tor-exit-nodes Corresponde aos endereços IP dos nós de saída do Tor
iplist-known-malicious-ips Corresponde a endereços IP conhecidos por atacar aplicações Web
iplist-search-engines-crawlers Corresponde aos endereços IP dos motores de rastreio de motores de pesquisa
iplist-vpn-providers Corresponde a intervalos de endereços IP usados por fornecedores de VPN com reputação baixa
iplist-anon-proxies Corresponde a intervalos de endereços IP pertencentes a proxies anónimos abertos
iplist-crypto-miners Corresponde a intervalos de endereços IP pertencentes a sites de mineração de criptomoedas
iplist-cloudflare Corresponde aos intervalos de endereços IPv4 e IPv6 dos serviços de proxy da Cloudflare
iplist-fastly Corresponde a intervalos de endereços IP de serviços de proxy da Fastly
iplist-imperva Corresponde a intervalos de endereços IP dos serviços de proxy da Imperva
iplist-public-clouds
  • iplist-public-clouds-aws
  • iplist-public-clouds-azure
  • iplist-public-clouds-gcp
 Corresponde a endereços IP pertencentes a nuvens públicas
  • Corresponde a intervalos de endereços IP usados pelo Amazon Web Services
  • Corresponde aos intervalos de endereços IP usados pelo Microsoft Azure
  • Corresponde aos intervalos de endereços IP usados por Google Cloud

Pode configurar uma nova regra de política de segurança através do seguinte comando gcloud, com um FEED_NAME da tabela anterior e qualquer ACTION, como allow, deny ou throttle. Para mais informações sobre as ações das regras, consulte os tipos de políticas.

gcloud compute security-policies rules create 1000 \
    --security-policy=NAME \
    --expression="evaluateThreatIntelligence('FEED_NAME')" \
    --action="ACTION"

Se quiser excluir um endereço IP ou um intervalo de endereços IP que, de outra forma, a inteligência contra ameaças da Google poderia bloquear da avaliação, pode adicionar o endereço à lista de exclusões através da seguinte expressão, substituindo ADDRESS pelo endereço ou intervalo de endereços que quer excluir.

evaluateThreatIntelligence('iplist-known-malicious-ips', ['ADDRESS'])

Use listas de endereços IP com nomes

As listas de endereços IP com nome do Cloud Armor permitem-lhe referenciar listas de endereços IP e intervalos de IP mantidos por fornecedores externos. Pode configurar listas de endereços IP com nomes numa política de segurança. Não precisa de especificar manualmente cada endereço IP ou intervalo de IP individualmente.

Neste documento, os termos endereço IP e lista de endereços IP incluem intervalos de endereços IP.

As listas de endereços IP com nome são listas de endereços IP agrupados sob nomes diferentes. Normalmente, o nome refere-se ao fornecedor. As listas de endereços IP com nomes não estão sujeitas ao limite de quota no número de endereços IP por regra.

As listas de endereços IP com nome não são políticas de segurança. Incorporá-las numa política de segurança referindo-se a elas como expressões da mesma forma que se refere a uma regra pré-configurada.

Por exemplo, se um fornecedor externo tiver uma lista de endereços IP de {ip1, ip2, ip3....ip_N_} com o nome provider-a, pode criar uma regra de segurança que permita todos os endereços IP que estão na lista provider-a e exclua os endereços IP que não estão nessa lista:

gcloud beta compute security-policies rules create 1000 \
    --security-policy POLICY_NAME \
    --expression "evaluatePreconfiguredExpr('provider-a')" \
    --action "allow"

Não pode criar as suas próprias listas de endereços IP com nomes personalizados. Esta funcionalidade só está disponível relativamente a listas de endereços IP nominados que são mantidas por fornecedores externos que têm uma parceria com a Google. Se estas listas de endereços IP denominadas não satisfizerem as suas necessidades, pode criar uma política de segurança em que as regras permitem ou negam o acesso aos seus recursos com base no endereço IP a partir do qual as solicitações têm origem. Para mais informações, consulte o artigo Configure políticas de segurança do Cloud Armor.

Para usar listas de endereços IP com nomes, tem de subscrever o Google Cloud Armor Enterprise e inscrever projetos no Cloud Armor Enterprise. Para mais informações, consulte o artigo Disponibilidade de listas de endereços IP com nome.

Permitir tráfego apenas de fornecedores de terceiros autorizados

Um exemplo de utilização típico é criar uma lista de autorizações que contenha os endereços IP de um parceiro externo permitido para garantir que apenas o tráfego proveniente deste parceiro pode aceder ao balanceador de carga e aos back-ends.

Por exemplo, os fornecedores de RFCs têm de extrair conteúdo dos servidores de origem a intervalos regulares para os distribuir pelas respetivas caches. Uma parceria com a Google oferece uma ligação direta entre os fornecedores de RFC e o limite da rede da Google. Os utilizadores da RFC 7230 na Google Cloud podem usar esta ligação direta durante as obtenções de origem. Neste caso, o utilizador da RFC pode querer criar uma política de segurança que permita apenas o tráfego proveniente desse fornecedor de RFC específico.

Neste exemplo, um fornecedor de RFC publica a respetiva lista de endereços IP 23.235.32.0/20, 43.249.72.0/22, ⋯,. Um utilizador da RFC configura uma regra de segurança que só permite tráfego proveniente destes endereços IP. Como resultado, são permitidos dois pontos de acesso de fornecedores de RFC (23.235.32.10 e 43.249.72.10) e, por isso, o respetivo tráfego é permitido. O tráfego do ponto de acesso não autorizado 198.51.100.1 está bloqueado.

Endereço IP com nome do Cloud Armor.
Endereço IP denominado do Cloud Armor (clique para aumentar).

Simplificar a configuração e a gestão através da utilização de regras pré-configuradas

Os fornecedores de RFCs usam frequentemente endereços IP bem conhecidos e que muitos utilizadores de RFCs precisam de usar. Estas listas mudam ao longo do tempo, à medida que os fornecedores adicionam, removem e atualizam os endereços IP.

A utilização de uma lista de endereços IP com nome numa regra de política de segurança simplifica o processo de configuração e gestão de endereços IP, uma vez que o Cloud Armor sincroniza automaticamente as informações dos fornecedores de CDN diariamente. Isto elimina o processo moroso e propenso a erros de manter manualmente uma grande lista de endereços IP.

Segue-se um exemplo de uma regra pré-configurada que permite todo o tráfego de um fornecedor:

evaluatePreconfiguredExpr('provider-a') => allow traffic

Fornecedores de listas de endereços IP

Os fornecedores de listas de endereços IP na tabela seguinte são suportados para o Cloud Armor. Estes são fornecedores de RFC que estabeleceram uma parceria com a Google. As respetivas listas de endereços IP são publicadas através de URLs públicos individuais.

Estes parceiros fornecem listas separadas de endereços IPv4 e IPv6. O Cloud Armor usa os URLs fornecidos para obter listas e, em seguida, converte as listas em listas de endereços IP com nomes. Faz referência às listas pelos nomes na tabela.

Por exemplo, o código seguinte cria uma regra na política de segurança POLICY_NAME com a prioridade 750, incorporando a lista de endereços IP designada da Cloudflare e permitindo o acesso a partir desses endereços IP:

gcloud beta compute security-policies rules create 750 \
    --security-policy POLICY_NAME \
    --expression "evaluatePreconfiguredExpr('sourceiplist-cloudflare')" \
    --action "allow"
Fornecedor URLs Nome da lista de endereços IP
Fastly https://api.fastly.com/public-ip-list sourceiplist-fastly
Cloudflare

https://www.cloudflare.com/ips-v4

https://www.cloudflare.com/ips-v6

 sourceiplist-cloudflare
Imperva

https://my.imperva.com/api/integration/v1/ips

O acesso à lista da Imperva requer um pedido POST. Também pode usar o seguinte comando:

curl -d "" https://my.imperva.com/api/integration/v1/ips

 sourceiplist-imperva

Para listar as listas de endereços IP nominados pré-configuradas, use este comando da CLI gcloud:

gcloud compute security-policies list-preconfigured-expression-sets \
    --filter="id:sourceiplist"

Isto devolve:

EXPRESSION_SET
sourceiplist-fastly
sourceiplist-cloudflare
sourceiplist-imperva

Sincronizar listas de endereços IP

O Cloud Armor sincroniza as listas de endereços IP com cada fornecedor apenas quando deteta alterações num formato válido. O Cloud Armor executa a validação de sintaxe básica nos endereços IP em todas as listas.

Disponibilidade de listas de endereços IP com nome

O Google Cloud Armor Enterprise está em disponibilidade geral. A disponibilidade de listas de endereços IP nominativas de terceiros é a seguinte:

  1. Se subscreve o nível Google Cloud Armor Enterprise, tem uma licença para usar listas de endereços IP com nomes em projetos inscritos. Pode criar, atualizar e eliminar regras com listas de endereços IP com nome.
  2. Se a sua subscrição do nível Google Cloud Armor Enterprise expirar ou, de outra forma, voltar ao nível Standard, não pode adicionar nem modificar regras com listas de endereços IP com nome, mas pode eliminar regras existentes e atualizar regras para remover uma lista de IPs com nome.
  3. Para projetos que já incluem regras com listas de endereços IP com nomes e nos quais não se inscreveu no Google Cloud Armor Enterprise, pode continuar a usar, atualizar e eliminar regras existentes com listas de endereços IP com nomes. Em tais projetos, pode criar novas regras que incorporem listas de endereços IP com nomes.

O que se segue?