Configurar políticas de segurança

A Media CDN usa políticas de segurança do Google Cloud Armor para evitar que tráfego indesejado atinja os serviços dela. Você pode permitir ou negar solicitações com base no seguinte:

• Endereços e intervalos IPv4 e IPv6 (CIDRs)
• Código do país (geografia)
• Filtragem da camada 7
• Google Threat Intelligence (requer o nível Enterprise do Google Cloud Armor)

Com esses recursos, é possível restringir downloads de conteúdo a usuários em locais específicos onde você tem restrições de licenciamento de conteúdo, permitir que apenas endereços IP corporativos acessem endpoints de teste ou de preparo e negar uma lista de endereços IP de clientes maliciosos conhecidos.

É possível decorar solicitações permitidas pelo Google Cloud Armor inserindo cabeçalhos personalizados com nomes e valores configuráveis.

A integração do Google Cloud Armor com a Inteligência de ameaças do Google permite controlar o tráfego de endereços IP e domínios maliciosos conhecidos, oferecendo proteção avançada contra ameaças.

As políticas de segurança do Google Cloud Armor se aplicam a todo o conteúdo veiculado pela Media CDN, incluindo conteúdo em cache e ausências no cache.

As políticas de segurança do Google Cloud Armor são configuradas por serviço da Media CDN. Todas as solicitações destinadas ao endereço IP (ou nomes de host) desse serviço têm a política de segurança aplicada de maneira consistente. Serviços diferentes podem ter políticas de segurança diferentes aplicadas a eles, e você pode criar vários serviços para diferentes regiões geográficas, conforme necessário.

Para uma proteção mais refinada do conteúdo no nível de cada usuário, recomendamos usar URLs e cookies assinados em conjunto com uma política do Google Cloud Armor.

A Media CDN não considera o cabeçalho referer durante a avaliação de regras das políticas de segurança de borda de filtragem de cabeçalho da camada 7 quando ele está definido como um dos seguintes valores:

• Vários URLs
• Um URL relativo
• Um URL absoluto válido que contenha informações do usuário ou um componente de fragmento

Configurar políticas de segurança

Siga estas instruções para configurar uma política de segurança.

Antes de começar

Para anexar uma política de segurança do Google Cloud Armor a um serviço da Media CDN, verifique o seguinte:

• Conheça o Google Cloud Armor.
• Ter um serviço de CDN de mídia em que você quer aplicar a política.
• Opcional, mas recomendado: ative o registro em seu serviço da Media CDN para identificar solicitações bloqueadas.

Você também precisa das seguintes permissões do Identity and Access Management para autorizar, criar e anexar políticas de segurança a um serviço da Media CDN:

• compute.securityPolicies.addAssociation
• compute.securityPolicies.create
• compute.securityPolicies.delete
• compute.securityPolicies.get
• compute.securityPolicies.list
• compute.securityPolicies.update
• compute.securityPolicies.use

Os usuários que precisam anexar um certificado a um serviço da Media CDN só precisam destas permissões do IAM:

• compute.securityPolicies.get
• compute.securityPolicies.list
• compute.securityPolicies.use

O papel roles/networkservices.edgeCacheUser inclui todas essas permissões.

Criar uma política de segurança

As políticas de segurança do Google Cloud Armor são compostas por várias regras, com cada regra definindo um conjunto de critérios de correspondência (uma expressão) para uma solicitação e uma ação. Por exemplo, uma expressão pode conter uma lógica de correspondência para clientes localizados na Índia, com a ação associada sendo allow. Se uma solicitação não corresponder à regra, o Google Cloud Armor continuará avaliando a próxima regra até que todas tenham sido testadas.

As políticas de segurança têm uma regra padrão com uma ação allow. A regra padrão permite solicitações que não correspondem às regras anteriores. Isso pode ser mudado para uma regra deny quando você quiser allow apenas solicitações que correspondam às regras anteriores e rejeitar todas as outras.

O exemplo a seguir mostra como criar uma regra que bloqueia todos os clientes geolocalizados na Austrália com um HTTP 403 e permite todas as outras solicitações.

gcloud compute security-policies create block-australia \
    --type="CLOUD_ARMOR_EDGE" --project="PROJECT_ID"

Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/securityPolicies/block-australia].

gcloud compute security-policies rules create 1000 \
    --security-policy=block-australia --description "block AU" \
    --expression="origin.region_code == 'AU'" --action="deny-403"

Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/securityPolicies/block-australia].

resource "google_compute_security_policy" "default" {
  name        = "block-australia"
  type        = "CLOUD_ARMOR_EDGE"
  description = "block AU"

  rule {
    action      = "deny(403)"
    description = "block AU"
    priority    = "1000"
    match {
      expr {
        expression = "origin.region_code == 'AU'"
      }
    }
  }
  rule {
    action   = "allow"
    priority = "2147483647"
    match {
      versioned_expr = "SRC_IPS_V1"
      config {
        src_ip_ranges = ["*"]
      }
    }
    description = "default rule"
  }
}

Se você inspecionar a política, verá as duas regras: a primeira bloqueia solicitações originadas da Austrália (origin.region_code == 'AU'), e a segunda, de menor prioridade, permite todo o tráfego que não corresponde à regra (ou regras) de maior prioridade.

kind: compute#securityPolicy
name: block-australia
rules:
- action: deny(403)
  description: block AU
  kind: compute#securityPolicyRule
  match:
    expr:
      expression: origin.region_code == 'AU'
  preview: false
  priority: 1000
- action: allow
  description: default rule
  kind: compute#securityPolicyRule
  match:
    config:
      srcIpRanges:
      - '*'
    versionedExpr: SRC_IPS_V1
  preview: false
  priority: 2147483647
  ruleNumber: '1'
type: CLOUD_ARMOR_EDGE

Adicionar regras a uma política de segurança

As políticas de segurança do Google Cloud Armor são conjuntos de regras que correspondem aos atributos da camada 7 para proteger aplicativos ou serviços externos. Cada regra é avaliada em relação ao tráfego recebido.

Esses atributos podem ser usados para solicitações HTTP em políticas de segurança: request.headers, request.method, request.path, request.scheme e request.query. Para mais informações sobre como escrever expressões para regras de política de segurança, consulte a referência de linguagem de regras personalizadas do Google Cloud Armor.

Uma regra de política de segurança do Google Cloud Armor consiste em uma condição de correspondência e uma ação a ser tomada quando essa condição é atendida.

gcloud compute security-policies rules create PRIORITY \
    --security-policy POLICY_NAME \
    --description DESCRIPTION \
    --src-ip-ranges IP_RANGES | --expression EXPRESSION \
    --action=[ allow | deny-403 | deny-404 | deny-502 ] \
    --preview

Anexar uma política a um serviço

gcloud edge-cache services update MY_SERVICE \
    --edge-security-policy=SECURITY_POLICY

Atualizar uma regra em uma política de segurança

Use estas instruções para atualizar apenas uma regra em uma política de segurança do Google Cloud Armor. Se preferir, atualize atomicamente várias regras em uma política de segurança.

gcloud compute security-policies rules update PRIORITY [ \
    --security-policy POLICY_NAME  \
    --description DESCRIPTION  \
    --src-ip-ranges IP_RANGES  | --expression EXPRESSION \
    --action=[ allow | deny-403 | deny-404 | deny-502 ]  \
    --preview
  ]
  

gcloud compute security-policies rules update 1111 \
    --security-policy my-policy \
    --description "allow traffic from 192.0.2.0/24" \
    --src-ip-ranges "192.0.2.0/24" \
    --action "allow"

Ver uma vinculação de política

Para analisar qual política está anexada a um serviço atual, inspecione (descreva) esse serviço.

gcloud edge-cache services describe MY_SERVICE

name: "MY_SERVICE"
edgeSecurityPolicy: "SECURITY_POLICY

Remover uma política

Para remover uma política, atualize o serviço associado e transmita uma string vazia como a política.

  gcloud edge-cache services update MY_SERVICE \
      --edge-security-policy=""

Exemplos

Considere os seguintes exemplos detalhados de casos de uso.

Exemplo: identificar solicitações bloqueadas

É necessário ativar a geração de registros para um determinado serviço do Edge Cache para que as solicitações bloqueadas sejam registradas.

As solicitações permitidas ou negadas por uma política de filtragem são registradas no Logging. Para filtrar solicitações rejeitadas, a seguinte consulta de geração de registros para a configuração prod-video-service seria assim:

resource.type="edge_cache_service"
jsonPayload.statusDetails="denied_by_security_policy"

Exemplo: personalizar códigos de resposta

É possível configurar uma regra do Google Cloud Armor para retornar um código de status específico como a ação associada a uma determinada regra. Na maioria dos casos, é melhor retornar um código de status HTTP 403 DENY para sinalizar claramente que o cliente foi bloqueado pela regra.

Os códigos de status aceitos são:

• HTTP 403 Forbidden
• HTTP 404 Not Found
• HTTP 502 Bad Gateway

O exemplo a seguir mostra como configurar o código de status retornado:

Para especificar um dos [allow | deny-403 | deny-404 | deny-502] como a ação associada à regra, execute o seguinte comando. Este exemplo configura a regra para retornar um código de status HTTP 502.

gcloud compute security-policies rules create 1000 \
    --security-policy=block-australia --description "block AU" \
    --expression="origin.region_code == 'AU'" --action="deny-502"

Cada regra em uma política de segurança pode definir uma resposta de código de status diferente.

Exemplo: negar clientes fora de um país, exceto para endereços IP permitidos

Um caso comum na veiculação de mídia é negar conexões de clientes que estão fora da região para a qual você tem licenças de conteúdo ou mecanismos de pagamento.

Por exemplo, você pode permitir apenas clientes localizados na Índia, bem como todos os endereços IP na lista de permissões, incluindo os de parceiros de conteúdo e seus próprios funcionários, no intervalo 192.0.2.0/24, e rejeitar todos os outros.

Usando a linguagem de regras personalizadas do Google Cloud Armor, a seguinte expressão faz isso:

origin.region_code == "IN" || inIpRange(origin.ip, '192.0.2.0/24')

Essa expressão é configurada como uma regra allow, com uma regra deny padrão configurada para corresponder a todos os outros clientes. As políticas de segurança sempre têm uma regra padrão. Normalmente, você configura isso para o tráfego default deny que não permite explicitamente. Em outros casos, você pode bloquear parte do tráfego e default allow todo o restante.

Na saída da política de segurança, observe o seguinte:

• A regra de prioridade mais alta (priority: 0) permite o tráfego da Índia OU da lista definida de endereços IP.
• A regra de prioridade mais baixa representa um default deny. O mecanismo de regras nega todos os clientes que não são avaliados como verdadeiros por regras de prioridade mais alta.
• É possível combinar várias regras usando operadores booleanos.

A política permite o tráfego de clientes na Índia e de um intervalo de IP definido, mas nega todo o outro tráfego.

Ao ver os detalhes da política, a saída será semelhante a esta:

kind: compute#securityPolicy
name: allow-india-only
type: "CLOUD_ARMOR_EDGE"
rules:
- action: allow
  description: ''
  kind: compute#securityPolicyRule
  match:
    expr:
      expression: origin.region_code == "IN" || inIpRange(origin.ip, '192.0.2.0/24')
  preview: false
  priority: 0
- action: deny(403)
  description: Default rule, higher priority overrides it
  kind: compute#securityPolicyRule
  match:
    config:
      srcIpRanges:
      - '*'
    versionedExpr: SRC_IPS_V1
  preview: false
  priority: 2147483647

Também é possível definir um cabeçalho de resposta personalizado com a variável de cabeçalho {region_code}. Esse cabeçalho pode ser inspecionado usando JavaScript e refletido ao cliente.

Exemplo: bloquear o tráfego de IPs maliciosos conhecidos

A expressão a seguir da linguagem das regras personalizadas do Google Cloud Armor bloqueia o tráfego de endereços IP identificados como maliciosos:

evaluateThreatIntelligence('iplist-known-malicious-ips')

A expressão direciona o Google Cloud Armor para verificar as solicitações recebidas na lista de endereços IP maliciosos conhecidos do Google, que é atualizada constantemente, e oferece proteção robusta e automatizada.

Para bloquear automaticamente endereços IP maliciosos, configure suas políticas de segurança de borda com regras do Google Threat Intelligence.

Os comandos da Google Cloud CLI a seguir mostram como adicionar uma nova regra do Google Threat Intelligence a uma política atual, como my-edge-policy:

  gcloud compute security-policies create my-edge-policy \
      --type=CLOUD_ARMOR_EDGE

  gcloud edge-cache services update my-edge-cache-service \
      --edge-security-policy "my-edge-policy"

  gcloud compute security-policies rules create 1000 \
      --security-policy "my-edge-policy" \
      --expression "evaluateThreatIntelligence('iplist-known-malicious-ips')" \
      --action "deny-403"

Exemplo: bloquear clientes maliciosos por endereço IP e intervalos de IP

Usando a linguagem de regras personalizadas do Google Cloud Armor, a seguinte expressão faz isso:

inIpRange(origin.ip, '192.0.2.2/32') || inIpRange(origin.ip, '192.0.2.170/32')

É possível bloquear intervalos de IP até uma máscara /8 em IPv4 e /32 em IPv6. Um caso comum para plataformas de streaming é bloquear os intervalos de IP de saída de proxies ou provedores de VPN para minimizar a violação do licenciamento de conteúdo:

inIpRange(origin.ip, '192.0.2.0/24') || inIpRange(origin.ip, '198.51.100.0/24') || inIpRange(origin.ip, '203.0.113.0/24') || inIpRange(origin.ip, '2001:DB8::B33F:2002/64')

Os intervalos de endereços IPv4 e IPv6 são compatíveis.

Exemplo: permitir apenas uma lista fixa de regiões geográficas

Se você tiver uma lista de códigos de países, use o operador booleano OR || para combinar condições de correspondência.

Usando a linguagem das regras personalizadas do Google Cloud Armor, a expressão a seguir permite usuários identificados como da Austrália ou da Nova Zelândia:

origin.region_code == "AU" || origin.region_code == "NZ"

Isso também pode ser combinado com expressões origin.ip ou inIpRange(origin.ip, '...') para permitir testadores, parceiros e seus intervalos de IP corporativos, mesmo que não sejam de uma das regiões especificadas.

Há o número documentado de subexpressões para cada regra com uma expressão personalizada. Se você precisar combinar mais subexpressões, defina várias regras em uma única política.

Exemplo: bloquear clientes de um conjunto específico de países

Um exemplo menos comum seria bloquear clientes de um determinado conjunto de países, mas permitir solicitações de todos os outros.

Para fazer isso, crie uma política que bloqueie o país e todos os clientes em que a região não pode ser determinada. Em seguida, use uma regra de permissão padrão para todas as outras solicitações.

O exemplo a seguir descreve uma política que bloqueia clientes do Canadá e clientes com local desconhecido, mas permite todo o restante do tráfego:

  kind: compute#securityPolicy
  name: block-canada
  type: "CLOUD_ARMOR_EDGE"
  rules:
  - action: deny(403)
    description: ''
    kind: compute#securityPolicyRule
    match:
      expr:
        expression: origin.region_code == "CA" || origin.region_code == "ZZ"
    preview: false
    priority: 0
  - action: allow
    description: Default rule, higher priority overrides it
    kind: compute#securityPolicyRule
    match:
      config:
        srcIpRanges:
        - '*'
      versionedExpr: SRC_IPS_V1
    preview: false
    priority: 2147483647

Exemplo: negar solicitações de conteúdo armazenado em cache com cabeçalhos específicos

Uma política de segurança de borda se aplica a todas as solicitações direcionadas a qualquer serviço da Media CDN a que a política está anexada. Essa aplicação de política ocorre antes de qualquer pesquisa de cache. As solicitações não permitidas pela política de segurança perimetral são negadas com o código de status configurado.

A expressão a seguir corresponde a solicitações do endereço IP 1.2.3.4 que contêm a string user1 no cabeçalho user-agent:

inIpRange(origin.ip, '1.2.3.4/32') && request.headers['user-agent'].contains('user1')

O comando a seguir adiciona a regra de filtragem 105 à política de segurança de borda my-edge-policy, que está anexada a um serviço da Media CDN:

gcloud compute security-policies rules create 105 \
    --security-policy "my-edge-policy" \
    --expression = "inIpRange(origin.ip, '1.2.3.4/32') && request.headers['user-agent'].contains('charlie')" \
    --action= deny-403 \
    --description="block requests from IP addresses in which the user-agent header contains the string charlie"
    

Registro de ações de aplicação

Cada registro de solicitação fornece detalhes sobre qual política de segurança foi aplicada e se a solicitação foi permitida (ALLOW) ou rejeitada (DENY).

Para ativar a geração de registros, verifique se logConfig.enable está definido como true no seu serviço. Os serviços sem registros ativados não registram eventos de política de segurança.

Quando um cliente está localizado fora dos Estados Unidos e uma política de segurança chamada deny-non-us-clients está em vigor, negando solicitações originadas fora dos EUA, esta é a entrada de registro de uma solicitação negada:

enforcedSecurityPolicy:
  name: deny-non-us-clients
  outcome: DENY

Os serviços sem uma política do Google Cloud Armor anexada contêm no_policy como o valor de enforcedSecurityPolicy.name e um outcome de ALLOW. Por exemplo, uma entrada de registro de solicitação para um serviço sem uma política anexada tem os seguintes valores:

enforcedSecurityPolicy:
  name: no_policy
  outcome: ALLOW

Entender as classificações de GeoIP

A Media CDN usa fontes de dados internas de classificação de IP do Google para derivar um local (região, estado, província ou cidade) de um endereço IP. Se você estiver migrando ou dividindo o tráfego entre vários provedores, um pequeno número de endereços IP poderá ser associado a locais diferentes.

• O Google Cloud Armor usa códigos regionais ISO 3166-1 alfa 2 para associar um cliente a um local geográfico.
• Por exemplo, US para os Estados Unidos ou AU para a Austrália.
• Em alguns casos, uma região corresponde a um país, mas nem sempre é o caso. Por exemplo, o código US inclui todos os estados dos Estados Unidos, um distrito e seis áreas remotas.
• Saiba mais em unicode_region_subtag no Unicode Technical Standard.
• Para clientes em que não é possível derivar o local, o origin.region_code é definido como ZZ.

É possível adicionar dados geográficos aos cabeçalhos de resposta a um endpoint da Media CDN (com routing.routeRules[].headerActions[].responseHeadersToAdd[]) ou refletir os dados geográficos fornecidos a uma função do Cloud para validar diferenças entre origens de dados de geoIP durante a integração e o teste iniciais.

Além disso, os registros de solicitações da Media CDN incluem o clientRegion e outros dados específicos do cliente que podem ser validados em relação às fontes de dados atuais.

A seguir

• Saiba como usar solicitações assinadas para autorizar conteúdo por usuário.
• Consulte a referência das regras do Google Cloud Armor para entender como as regras de correspondência de IP e geográfica podem ser expressas e combinadas.
• Acesse a documentação de geração de registros para entender como consultar registros de solicitações e verificar quais foram bloqueadas.