Google Cloud Armor 可協助您保護 Google Cloud 部署作業,防範多種威脅,包括分散式阻斷服務 (DDoS) 攻擊,以及跨網站指令碼攻擊 (XSS) 和 SQL 植入 (SQLi) 等應用程式攻擊。Cloud Armor 功能提供部分自動防護措施,以及部分需要手動設定的措施。本文將簡要介紹這些功能,其中有幾項功能僅適用於全域外部應用程式負載平衡器和傳統版應用程式負載平衡器。
安全性政策
無論應用程式是部署在 Google Cloud、混合式部署環境或多雲端架構,您都可以使用 Cloud Armor 安全性政策,保護負載平衡器後方執行的應用程式,免受分散式阻斷服務 (DDoS) 和其他網路攻擊侵擾。您可以手動設定安全性政策,並在安全性政策中設定相符條件和動作。Cloud Armor 也提供預先設定的安全政策,涵蓋各種用途。詳情請參閱 Cloud Armor 安全性政策總覽。
規則語言
您可以在安全性政策中定義優先順序規則,並設定比對條件和動作。如果規則的屬性與傳入要求的屬性相符,且該規則的優先順序最高,系統就會套用設定的動作,讓規則生效。詳情請參閱 Cloud Armor 自訂規則語言參考資料。
預先設定的網路應用程式防火牆規則
Google Cloud Armor 預先設定的 WAF 規則是複雜的網頁應用程式防火牆 (WAF) 規則,包含依開放原始碼業界標準編譯的數十個簽名。每個簽章都對應規則集中的攻擊偵測規則。Google 會依現狀提供這些規則。Cloud Armor 參照方便命名的規則,即可評估數十種不同的流量簽章,而不必手動定義每個簽章。
Cloud Armor 預先設定的規則可保護網頁應用程式和服務,防範網際網路上的常見攻擊,並降低 OWASP 前 10 大風險。規則來源為 OWASP 核心規則集 3.3.2 (CRS)。
您可以調整這些預先設定的規則,停用雜訊或其他不必要的簽章。詳情請參閱調整 Cloud Armor WAF 規則。
Google Cloud Armor Enterprise
Cloud Armor Enterprise 是代管的應用程式防護服務,可保護網頁應用程式和服務,防範分散式阻斷服務 (DDoS) 攻擊與其他網際網路威脅。Cloud Armor Enterprise 功能可為負載平衡器提供全天候防護,並讓您存取 WAF 規則。
無論層級為何,系統都會自動為全域外部應用程式負載平衡器、傳統版應用程式負載平衡器和外部 Proxy 網路負載平衡器提供 DDoS 保護。支援 HTTP、HTTPS、HTTP/2 和 QUIC 通訊協定。此外,Cloud Armor Enterprise 訂閱者可以存取 DDoS 攻擊可視性遙測資料。
詳情請參閱「Cloud Armor Enterprise 總覽」。
Google Threat Intelligence
Cloud Armor Google 威脅情報可根據多種威脅情報資料類別,允許或封鎖傳送至全域外部應用程式負載平衡器和傳統應用程式負載平衡器的流量,確保流量安全。如要進一步瞭解 Google Threat Intelligence,請參閱「套用 Google Threat Intelligence」。
Google Cloud Armor Adaptive Protection
Adaptive Protection 會分析後端服務的流量模式、偵測並發出疑似攻擊的快訊,以及產生建議的 WAF 規則來降低這類攻擊的風險,協助您保護應用程式和服務免受第 7 層分散式阻斷服務 (DDoS) 攻擊。您可以視需求調整這些規則。您可以針對個別安全性政策啟用自動調整式防護機制,但專案必須採用有效的 Cloud Armor Enterprise 訂閱方案。
詳情請參閱 Google Cloud Armor 自動調整式防護機制總覽。
進階的網路分散式阻斷服務防護功能
進階網路 DDoS 防護功能可為使用網路負載平衡器、通訊協定轉送或具備公開 IP 位址 VM 的 Managed Protection Plus 訂閱者,提供額外防護。進階網路 DDoS 防護功能提供全天候攻擊監控和快訊、目標攻擊緩解措施,以及緩解遙測資料。詳情請參閱設定進階網路 DDoS 防護功能。
Cloud Armor 的運作方式
Cloud Armor 提供全天候 DDoS 防護,可防範網路或通訊協定型巨流量 DDoS 攻擊。這項防護功能適用於負載平衡器後方的應用程式或服務。這項功能可偵測並防範網路攻擊,確保只有格式正確的要求能通過負載平衡 Proxy。安全政策會強制執行自訂第 7 層篩選政策,包括預先設定的 WAF 規則,可防範 OWASP 前 10 大網頁應用程式安全漏洞風險。您可以將安全性政策附加至下列負載平衡器的後端服務:- 所有外部應用程式負載平衡器,包括傳統版應用程式負載平衡器
- 區域性內部應用程式負載平衡器
- 全域外部 Proxy 網路負載平衡器 (TCP/SSL)
- 傳統版 Proxy 網路負載平衡器 (TCP/SSL)
- 外部直通式網路負載平衡器 (TCP/UDP)
Cloud Armor 安全性政策可讓您在 Google Cloud 邊緣允許或拒絕存取部署作業,盡可能靠近傳入流量的來源位置。這有助於防止不當流量消耗資源,或進入虛擬私有雲 (VPC) 網路。
下圖說明全域外部應用程式負載平衡器、傳統版應用程式負載平衡器、Google 網路和 Google 資料中心的所在位置。
您可以運用部分或所有這些功能來保護應用程式。您可以運用安全政策比對已知條件、建立 WAF 規則來防範常見攻擊 (例如 OWASP Core Rule Set 3.3.2 中的攻擊),以及使用 Google Cloud Armor Enterprise 內建的 DDoS 攻擊防護機制。