Google Cloud Armor: 3 основных функции для защиты ваших сайтов и приложений

С кажущимся бесконечным списком угроз обеспечение безопасности ваших сайтов и приложений является постоянной проблемой. В Google мы стремимся помочь вам безопасно и эффективно управлять критически важными рабочими нагрузками, одновременно сокращая трудозатраты. За первую половину этого года мы сделали несколько критически важных функций и возможностей, в целом доступных для Google Cloud Armor, включая правила WAF, средства управления доступом на основе гео, язык пользовательских правил, поддержку серверов CDN Origins и поддержку сценариев гибридного развертывания.,

В Google Cloud Next ’20: OnAir мы упрощаем способ использования Cloud Armor для защиты ваших веб-сайтов и приложений от попыток эксплойтов, а также от распределенных атак типа «отказ в обслуживании» (DDoS).

Мы объявляем о выпуске бета-версии Cloud Armor Managed Protection Plus, пакета продуктов и услуг, которые помогают защитить ваши интернет-приложения за предсказуемую ежемесячную абонентскую плату.

Мы публикуем списки именованных IP-адресов Google в качестве бета-версии.

Мы продолжаем расширять наш набор предварительно настроенных правил WAF, запуская бета-правила для Удаленного включения файлов (RFI), Локального включения файлов (LFI) и Удаленного выполнения кода (RCE).



Представляем Cloud Armor Managed Protection Plus
Cloud Armor Managed Protection Plus использует границы сети Google, а также набор продуктов и услуг из всего Google Cloud, чтобы помочь защитить ваши приложения от DDoS-атак и целевых попыток эксплойтов. С помощью управляемой защиты вы теперь можете воспользоваться теми же масштабами и опытом, которые использует Google для защиты ваших приложений и критически важных служб от злонамеренных действий в Интернете.


Управляемая защита доступна в двух уровнях обслуживания: Стандартный и Плюс. Все существующие пользователи Cloud Armor, а также рабочие нагрузки, стоящие за любым из наших глобальных балансировщиков нагрузки, автоматически регистрируются в стандарте управляемой защиты. На этом уровне вы получаете масштабную и основанную на протоколах DDoS-защиту Google для любых ваших приложений и сервисов с балансировкой глобальной нагрузки, а также доступ к возможностям фильтрации Cloud Armor WAF и уровня 7 (L7), включая предварительно настроенный WAF правила, основанные на использовании цены, основанные на правилах, политиках и запросах.

Cloud Armor Managed Protection Plus, который в настоящее время находится в бета-версии, представляет собой услугу подписки с предсказуемой, удобной для предприятия моделью ежемесячных цен, которая снижает риск затрат от защиты от крупной D7S-атаки L7. Managed Protection Plus оптимизирует и расширяет возможности защиты от DDoS, Cloud Armor WAF и других дополнительных услуг в будущем. Клиенты, подписавшиеся на Managed Protection Plus, получат доступ к службам DDoS и WAF, а также куративным наборам правил по предсказуемой ежемесячной цене в зависимости от размера развертывания. Поскольку использование Cloud Armor WAF включено в Managed Protection Plus, подписчикам больше не нужно беспокоиться о количестве обработанных запросов или размере атаки L7. Подписчики Managed Protection Plus также получат доступ к растущему списку расширенных возможностей, включая именованные списки IP-адресов и будущие наборы правил и сервисов Google. Зарегистрируйте свои проекты для доступа к бета-версии.


Представляем именованные списки IP
Списки именованных IP-адресов, которые в настоящее время находятся в стадии бета-тестирования, представляют собой наборы правил Google, содержащие предварительно настроенный список IP-адресов, на которые можно ссылаться и которые можно повторно использовать в рамках политик и проектов. Мы начинаем с предоставления Именованных списков IP-адресов, которые имеют исходные диапазоны IP-адресов для обычных поставщиков вышестоящих сервисов, которые многие наши пользователи хотели бы разрешить с помощью своих политик безопасности Cloud Armor.


Клиентам часто приходится настраивать политики безопасности Cloud Armor с большим набором диапазонов IP-адресов, чтобы разрешить трафик от вышестоящего поставщика. Благодаря именованным спискам IP-адресов клиентам больше не нужно самостоятельно управлять списком IP-адресов своих вышестоящих провайдеров, и вместо этого они могут полагаться на Google, чтобы курировать и обновлять список IP-адресов. В настоящее время мы работаем с растущим списком поставщиков услуг, чтобы гарантировать, что клиенты могут беспрепятственно разрешать трафик от сторонних служб с помощью политики безопасности Cloud Armor, не отслеживая меняющиеся списки поставщиков IP-адресов поставщиков услуг.

Теперь вы можете ссылаться на эти именованные списки IP-адресов при создании пользовательских правил. Базовый список IP-адресов обновляется путем регулярной синхронизации с API сторонних поставщиков услуг.

Новые правила WAF: RFI, LFI, RCE
В рамках наших усилий по расширению сферы действия предварительно настроенных правил WAF для всех клиентов Cloud Armor мы делаем доступными правила бета-тестирования RFI, LFI и RCE. В совокупности эти правила содержат сигнатуры отраслевого стандарта из основного набора правил ModSecurity, чтобы помочь смягчить уязвимости класса Command Injection и одновременно расширить готовое покрытие для уязвимостей OWASP Top 10.


Как и другие предварительно сконфигурированные правила WAF, новые правила содержат десятки подподписей и могут настраиваться конечными пользователями для каждого приложения. Как обычно, богатый набор телеметрии, включая ведение журнала по запросу, показатели объема запросов, близкие к реальному времени, и соответствующие выводы по безопасности, отправляются в Cloud Logging, Cloud Monitoring и Cloud Security Command Center соответственно.

Вывод
Google Cloud Armor помогает защитить быстро растущий набор критически важных рабочих нагрузок клиентов, а также поддерживает их требования соответствия, такие как PCI DSS, для их развертываний Google Cloud. Благодаря возможностям и услугам, о которых мы объявили на этой неделе, вы можете упростить развертывание и снизить накладные расходы при интеграции с вышестоящими партнерами и поставщиками услуг.

docs.google.com/forms/d/e/1FAIpQLSe_pRA7f8lKm-TvggmAUZusPqf_LqONv1f6IoU_UugCvJaQWw/viewform
cloud.google.com/armor/docs/armor-named-ip
cloud.google.com/armor/docs/rule-tuning
cloud.google.com/armor