Esta página foi traduzida pela API Cloud Translation.

Vista geral do produto

O Google Cloud Armor ajuda a proteger as suas implementações Google Cloud contra vários tipos de ameaças, incluindo ataques de negação de serviço distribuída (DDoS) e ataques de aplicações, como scripting entre sites (XSS) e injeção de SQL (SQLi). O Cloud Armor inclui algumas proteções automáticas e outras que tem de configurar manualmente. Este documento fornece uma vista geral destas funcionalidades, algumas das quais só estão disponíveis para balanceadores de carga de aplicações externos globais e balanceadores de carga de aplicações clássicos.

Políticas de segurança

Use políticas de segurança do Cloud Armor para proteger aplicações em execução atrás de um balanceador de carga contra negação de serviço distribuída (DDoS) e outros ataques baseados na Web, quer as aplicações estejam implementadas no Google Cloud, numa implementação híbrida ou numa arquitetura de várias nuvens. As políticas de segurança podem ser configuradas manualmente, com condições de correspondência e ações configuráveis numa política de segurança. O Cloud Armor também inclui políticas de segurança pré-configuradas, que abrangem uma variedade de exemplos de utilização. Para mais informações, consulte a vista geral da política de segurança do Cloud Armor.

Idioma das regras

O Cloud Armor permite-lhe definir regras prioritárias com condições de correspondência e ações configuráveis numa política de segurança. Uma regra entra em vigor, o que significa que a ação configurada é aplicada, se a regra for a regra de prioridade mais alta cujos atributos correspondem aos atributos do pedido recebido. Para mais informações, consulte a referência da linguagem de regras personalizadas do Cloud Armor.

Regras de WAF pré-configuradas

As regras de WAF pré-configuradas do Google Cloud Armor são regras complexas de firewall de aplicações Web (WAF) com dezenas de assinaturas compiladas a partir de normas da indústria de código aberto. Cada assinatura corresponde a uma regra de deteção de ataques no conjunto de regras. A Google oferece estas regras tal como estão. As regras permitem que o Cloud Armor avalie dezenas de assinaturas de tráfego distintas, consultando regras com nomes convenientes, em vez de exigir que defina cada assinatura manualmente.

As regras pré-configuradas do Cloud Armor ajudam a proteger as suas aplicações Web e serviços de ataques comuns da Internet e ajudam a mitigar os riscos do OWASP Top 10. A origem da regra é o OWASP Core Rule Set 3.3.2 (CRS).

Estas regras pré-configuradas podem ser ajustadas para desativar assinaturas ruidosas ou desnecessárias de outra forma. Para mais informações, consulte o artigo Ajustar as regras do WAF do Cloud Armor.

Google Cloud Armor Enterprise

O Cloud Armor Enterprise é o serviço de proteção de aplicações gerido que ajuda a proteger as suas aplicações e serviços Web contra ataques de negação de serviço distribuída (DDoS) e outras ameaças da Internet. O Cloud Armor Enterprise apresenta proteções sempre ativadas para o seu balanceador de carga e dá-lhe acesso a regras de WAF.

A proteção contra DDoS é fornecida automaticamente para balanceadores de carga de aplicações externos globais, balanceadores de carga de aplicações clássicos e balanceadores de carga de rede de proxy externos, independentemente do nível. Os protocolos HTTP, HTTPS, HTTP/2 e QUIC são todos suportados. Além disso, os subscritores do Cloud Armor Enterprise podem Aceder à telemetria de visibilidade de ataques DDoS.

Para mais informações, consulte o artigo Vista geral do Cloud Armor Enterprise.

Google Threat Intelligence

A inteligência contra ameaças da Google do Cloud Armor permite-lhe proteger o seu tráfego, permitindo ou bloqueando o tráfego para os balanceadores de carga de aplicações externos globais e os balanceadores de carga de aplicações clássicos com base em várias categorias de dados de inteligência contra ameaças. Para mais informações sobre o Google Threat Intelligence, consulte o artigo Aplique o Google Threat Intelligence.

Proteção adaptativa do Google Cloud Armor

A proteção adaptativa ajuda a proteger as suas aplicações e serviços contra ataques de negação de serviço distribuído (DDoS) de camada 7, analisando padrões de tráfego para os seus serviços de back-end, detetando e enviando alertas sobre ataques suspeitos, e gerando regras de WAF sugeridas para mitigar esses ataques. Estas regras podem ser ajustadas para satisfazer as suas necessidades. A proteção adaptativa pode ser ativada com base em cada política de segurança, mas requer uma subscrição ativa do Cloud Armor Enterprise no projeto.

Para mais informações, consulte a vista geral da proteção adaptativa do Google Cloud Armor.

Proteção avançada contra DDoS de rede

A proteção avançada contra DDoS de rede oferece proteções adicionais aos subscritores da Managed Protection Plus que usam equilibradores de carga de rede, encaminhamento de protocolos ou VMs com endereços IP públicos. A proteção avançada contra DDoS de rede oferece monitorização e alertas de ataques sempre ativados, mitigações de ataques direcionados e telemetria de mitigação. Para mais informações, consulte o artigo Configure a proteção avançada contra DDoS de rede.

Como funciona o Cloud Armor

O Cloud Armor oferece proteção DDoS sempre ativada contra ataques DDoS volumétricos baseados na rede ou no protocolo. Esta proteção destina-se a aplicações ou serviços atrás de balanceadores de carga. É capaz de detetar e mitigar ataques de rede para permitir apenas pedidos bem formados através dos proxies de equilíbrio de carga. As políticas de segurança aplicam políticas de filtragem personalizadas da camada 7, incluindo regras de WAF pré-configuradas que mitigam os riscos de vulnerabilidade das aplicações Web do OWASP Top 10. Pode anexar políticas de segurança aos serviços de back-end dos seguintes equilibradores de carga:

Todos os balanceadores de carga de aplicações externos, incluindo os balanceadores de carga de aplicações clássicos
Balanceador de carga de aplicações interno regional
Balanceador de carga de rede de proxy externo global (TCP/SSL)
Balanceador de carga de rede de proxy clássico (TCP/SSL)
Balanceador de carga de rede de passagem externo (TCP/UDP)

As políticas de segurança do Cloud Armor permitem-lhe conceder ou negar acesso à sua implementação no limite, o mais próximo possível da origem do tráfego de entrada. Google Cloud Isto impede que o tráfego indesejável consuma recursos ou entre nas suas redes da nuvem virtual privada (VPC).

O diagrama seguinte ilustra a localização dos balanceadores de carga de aplicações externos globais, dos balanceadores de carga de aplicações clássicos, da rede Google e dos centros de dados da Google.

Política do Cloud Armor no limite da rede. — Política do Cloud Armor no limite da rede (clique para aumentar)

Pode usar algumas ou todas estas funcionalidades para proteger a sua aplicação. Pode usar políticas de segurança para fazer a correspondência com condições conhecidas, criar regras de WAF para se proteger contra ataques comuns, como os encontrados no OWASP Core Rule Set 3.3.2, e usar as proteções incorporadas do Google Cloud Armor Enterprise contra ataques DDoS.