Securitatea este un element esențial al oricărui serviciu cloud. Toate companiile vor să știe că informațiile lor sunt în siguranță. Google Cloud Armor vă poate proteja sistemele de atacurile bazate pe web și poate atenua atacurile distribuite de refuzare a serviciului (DDoS). Vă asigură securitate la nivel de întreprindere, indiferent dacă aplicația este implementată în Google Cloud, on-premise sau într-o infrastructură multicloud.
Frecvența atacurilor DDoS este tot mai mare în ultimii ani, atât la nivel global, cât și mai mult în regiunea EMEA (Europa, Orientul Mijlociu, Africa), potrivit unui raport publicat de firma de securitate cibernetică Radware. La sfârșitul anului 2022, frecvența atacurilor DDoS blocate a crescut de 3,5 ori (de la 8,4 pe zi la sfârșitul anului 2021, la 29,3 ori pe zi un an mai târziu).
În EMEA, organizațiile au înregistrat în medie 45 de atacuri pe zi, potrivit acestui raport. Cifra este de patru ori mai mare comparativ cu un an mai devreme (când se înregistrau 11,3 atacuri pe zi). Securitatea și protecția împotriva atacurilor de rețea au devenit una dintre cele mai mari provocări pentru orice organizație. În acest articol, vă prezentăm Google Cloud Armor și cum funcționează. Veți afla ce este, ce atacuri poate bloca și cum poate fi integrat cu alte servicii Google Cloud.
Ce este Google Cloud Armor?
Cloud Armor este o soluție Google Cloud pentru protecție împotriva atacurilor DDoS. Aceasta furnizează protecție automată împotriva atacurilor DDoS de tip L3 și L4, dar poate oferi și protecție de tip Layer 7. Include și unele caracteristici inovatoare, cum ar fi limitarea ratei, gestionarea bot-urilor și protecție adaptivă.
Cloud Armor funcționează și ca un Firewall pentru aplicații web, ceea ce înseamnă că poate recunoaște și bloca tipurile comune de atacuri. Acesta conține reguli preconfigurate, ce pot fi ajustate în sub-reguli specifice. Astfel, puteți proteja aplicația împotriva atacurilor de SQL injection, atacurilor XSS (cross-site-scripting) comune și altor câtorva atacuri de fixare a sesiunii.
Cloud Armor poate seta controale de acces bazate pe IP și localizare geo, astfel încât să puteți permite sau refuza traficul în funcție de sursă și locația geografică sau puteți filtra traficul pe baza adreselor IPv4 sau IPv6 sau a CIDR-urilor.
Unele dintre funcțiile de securitate oferite de Google Cloud Armor funcționează automat, însă acest lucru nu se aplică tuturor. Important este că merită să folosiți protecția Google Cloud Armor chiar și atunci când Google Cloud nu este singura voastră soluție cloud. Protecția va funcționa și în cazul unui model cloud hibrid sau multi-cloud. Într-o astfel de arhitectură, back-end-ul pentru echilibrarea încărcăturii trebuie să fie de tip Internet NEG (network endpoint group).
Câmpul de bătălie: atacurile DDoS Layer 7, care vizează aplicațiile web
Dacă sunteți familiarizat cu modelul de referință ISO/OSI care standardizează comunicarea în rețea între diferite dispozitive, știți că layer 7, la cel mai înalt nivel, corespunde nivelului de aplicație. La acest nivel se aplică funcția „Protecție adaptivă”.
Sarcina sa este de a bloca un atac înainte ca acesta să ajungă la backend-ul echilibratorului de încărcare. Fiecare regulă de securitate este împărțită într-un set de reguli de filtrare bazate pe adresa IP a cererii primite, intervalul de adrese IP sau codul de regiune. Când se creează reguli personalizate, sunt utilizați parametrii din layerele L3-L7.
Definirea regulilor WAF (web application firewall)
În Google Cloud Armor, este posibil să definiți reguli cu diferite priorități, acordând prioritate implementărilor diferite în funcție de acestea. De asemenea, puteți utiliza reguli WAF (web application firewall) preconfigurate care conțin zeci de semnături compilate din standardele din industrie, disponibile open source. Fiecare astfel de semnătură corespunde unei reguli pentru detectarea atacurilor în cadrul unui set de reguli. Regulile WAF se concentrează pe limitarea primelor 10 amenințări legate de vulnerabilități în securitatea aplicației web OWASP.
Utilizarea regulilor poate fi de mare conveniență pentru companii. Acestea permit Google Cloud Armor să evalueze zeci de semnături de trafic diferite. Astfel, face referire la reguli definite de utilizatori în loc să solicite definirea manuală a fiecărei semnături.
Cum funcționează Google Cloud Armor?
Google Cloud Armor garantează:
- Protecție continuă împotriva atacurilor DDoS în rețea sau de protocol.
- Protecție pentru aplicațiile și serviciile din backend-ul echilibratorului de încărcare.
- Detectarea și atenuarea atacurilor de rețea, permițând doar cereri legitime prin serverele proxy.
- Utilizarea parametrilor din straturile L3-L7 în cazul regulilor personaizare. Protecția adaptivă poate fi activată pentru fiecare dintre aceste reguli, care detectează și blochează atacurile DDoS de la Layer 7.
În diagrama de mai jos este ilustrată locația modulelor externe globale Load Balancer, a rețelei Google și a centrelor de date Google.
Utilizări practice ale Cloud Armor
Configurarea Cloud Armor este foarte simplă. Veți găsi Cloud Armor în consola Google Cloud în secțiunea Rețea/Securitatea rețelei. Acolo, puteți crea o politică de securitate și o puteți configura pentru a vă ajuta să vă protejați aplicația web.
Mai jos puteți vedea câteva exemple pratice ale protecției Cloud Armor.
Permiterea accesului de la anumite adrese IP cu ajutorul listelor de acces
O situație comună este reprezentată în diagrama de mai jos. În acest caz, numai membrii organizației, cu adrese IP sau blocuri IP atribuite de organizație și listați cu acces, pot acces serviciile din backend-ul echilibratorului de încărcare. Acest lucru permite controlul asupra accesului atât la dispozitivele de echilibrare a încărcăturii aplicației externe, cât și la cele clasice.
Blocarea anumitor adrese folosind listele de refuz
Serviciul permite, de asemenea, o operațiune inversă precum cea exemplificată mai sus. Aceasta implică crearea unor reguli de securitate care resping traficul provenind din anumite adrese IP sau intervale CIDR. Această practică este ilustrată în următoarea diagramă:
Reguli personalizate pentru filtrarea parametrilor între layere
În Google Cloud Armor, puteți utiliza limbajul personalizat al regulilor pentru a defini una sau mai multe expresii. Când serviciul primește o solicitare, o evaluează pe baza acestor expresii, permițând astfel blocarea sau accesul pentru traficul extern.
FOTC, partener premium Google
