Google Cloud Armor te ayuda a proteger tus Google Cloud implementaciones frente a varios tipos de amenazas, como los ataques de denegación de servicio distribuido (DDoS) y los ataques a aplicaciones, como los de cross-site scripting (XSS) y los de inyección de SQL (SQLi). Cloud Armor ofrece algunas protecciones automáticas y otras que debes configurar manualmente. En este documento se ofrece una descripción general de estas funciones, algunas de las cuales solo están disponibles para los balanceadores de carga de aplicación externos globales y los balanceadores de carga de aplicación clásicos.
Políticas de seguridad
Utiliza las políticas de seguridad de Cloud Armor para proteger las aplicaciones que se ejecutan detrás de un balanceador de carga frente a ataques de denegación de servicio distribuido (DDoS) y otros ataques web, tanto si las aplicaciones están desplegadas en Google Cloudcomo si lo están en un despliegue híbrido o en una arquitectura multinube. Las políticas de seguridad se pueden configurar manualmente, con condiciones de coincidencia y acciones configurables en una política de seguridad. Cloud Armor también incluye políticas de seguridad preconfiguradas que abarcan una gran variedad de casos prácticos. Para obtener más información, consulta la información general sobre la política de seguridad de Cloud Armor.
Lenguaje de reglas
Cloud Armor te permite definir reglas priorizadas con condiciones de coincidencia y acciones configurables en una política de seguridad. Una regla se aplica, lo que significa que se lleva a cabo la acción configurada, si es la regla con la prioridad más alta cuyos atributos coinciden con los de la solicitud entrante. Para obtener más información, consulta la referencia del lenguaje de reglas personalizadas de Cloud Armor.
Reglas de WAF preconfiguradas
Las reglas de WAF preconfiguradas de Google Cloud Armor son reglas complejas de cortafuegos de aplicaciones web (WAF) con decenas de firmas que se compilan a partir de los estándares de software libre del sector. Cada firma corresponde a una regla de detección de ataques del conjunto de reglas. Google ofrece estas reglas tal cual. Las reglas permiten que Cloud Armor evalúe docenas de firmas de tráfico distintas haciendo referencia a reglas con nombres prácticos, en lugar de requerir que definas cada firma manualmente.
Las reglas preconfiguradas de Cloud Armor ayudan a proteger tus aplicaciones y servicios web frente a los ataques habituales de Internet y a mitigar los 10 riesgos principales de OWASP. La fuente de la regla es OWASP Core Rule Set 3.3.2 (CRS).
Estas reglas preconfiguradas se pueden ajustar para inhabilitar firmas ruidosas o innecesarias. Para obtener más información, consulta el artículo sobre activar las reglas de WAF de Cloud Armor.
Google Cloud Armor Enterprise
Cloud Armor Enterprise es un servicio de protección de aplicaciones gestionado que te ayuda a proteger tus aplicaciones y servicios web frente a ataques de denegación de servicio distribuido (DDoS) y otras amenazas de Internet. Cloud Armor Enterprise ofrece protección constante para tu balanceador de carga y te da acceso a reglas de WAF.
La protección contra DDoS se proporciona automáticamente a los balanceadores de carga de aplicación externos globales, los balanceadores de carga de aplicación clásicos y los balanceadores de carga de red con proxy externos, independientemente del nivel. Se admiten los protocolos HTTP, HTTPS, HTTP/2 y QUIC. Además, los suscriptores de Cloud Armor Enterprise pueden acceder a la telemetría de visibilidad de los ataques DDoS.
Para obtener más información, consulta la descripción general de Cloud Armor Enterprise.
Google Threat Intelligence
La inteligencia de amenazas de Google Cloud Armor te permite proteger tu tráfico permitiendo o bloqueando el tráfico a tus balanceadores de carga de aplicaciones externos globales y a tus balanceadores de carga de aplicaciones clásicos en función de varias categorías de datos de inteligencia de amenazas. Para obtener más información sobre Inteligencia de amenazas de Google, consulta el artículo Aplicar Inteligencia de amenazas de Google.
Google Cloud Armor Adaptive Protection
Adaptive Protection te ayuda a proteger tus aplicaciones y servicios frente a ataques de denegación de servicio distribuido (DDoS) de capa 7. Para ello, analiza los patrones de tráfico de tus servicios backend, detecta ataques sospechosos y te avisa de ellos, y genera reglas de cortafuegos de aplicaciones web (WAF) sugeridas para mitigar dichos ataques. Estas reglas se pueden ajustar para que se adapten a tus necesidades. Adaptive Protection se puede habilitar por política de seguridad, pero requiere una suscripción activa a Cloud Armor Enterprise en el proyecto.
Para obtener más información, consulta la información general sobre Adaptive Protection de Google Cloud Armor.
Protección de red avanzada contra DDoS
La protección de red avanzada contra DDoS ofrece protección adicional a los suscriptores de Managed Protection Plus que usan balanceadores de carga de red, reenvío de protocolos o máquinas virtuales con direcciones IP públicas. La protección de red avanzada contra DDoS proporciona monitorización y alertas de ataques continuas, mitigaciones de ataques dirigidos y telemetría de mitigación. Para obtener más información, consulta el artículo sobre cómo configurar la protección de red avanzada contra DDoS.
Cómo funciona Cloud Armor
Cloud Armor ofrece protección continua contra ataques DDoS volumétricos basados en protocolos o redes. Esta protección es para aplicaciones o servicios que se encuentran detrás de balanceadores de carga. Puede detectar y mitigar ataques de red para permitir que solo las solicitudes bien formadas pasen por los proxies de balanceo de carga. Las políticas de seguridad aplican políticas de filtrado de capa 7 personalizadas, incluidas reglas de cortafuegos de aplicaciones web (WAF) preconfiguradas que reducen los riesgos de vulnerabilidad de las aplicaciones web de los 10 principales de OWASP. Puedes adjuntar políticas de seguridad a los servicios de backend de los siguientes balanceadores de carga:- Todos los balanceadores de carga de aplicación externos, incluidos los clásicos
- Balanceador de carga de aplicación interno regional
- Balanceador de carga de red con proxy externo global (TCP/SSL)
- Balanceador de carga de red de proxy clásico (TCP/SSL)
- Balanceador de carga de red de paso a través externo (TCP/UDP)
Las políticas de seguridad de Cloud Armor te permiten permitir o denegar el acceso a tu implementación en el Google Cloud perímetro, lo más cerca posible de la fuente del tráfico entrante. De esta forma, se evita que el tráfico no deseado consuma recursos o entre en tus redes de nube privada virtual (VPC).
En el siguiente diagrama se muestra la ubicación de los balanceadores de carga de aplicación externos globales, los balanceadores de carga de aplicación clásicos, la red de Google y los centros de datos de Google.Puedes usar algunas o todas estas funciones para proteger tu aplicación. Puedes usar políticas de seguridad para detectar condiciones conocidas, crear reglas de WAF para protegerte frente a ataques habituales, como los que se encuentran en el conjunto de reglas principales 3.3.2 de OWASP, y usar las protecciones integradas de Google Cloud Armor Enterprise frente a ataques DDoS.
Siguientes pasos
- Consultar casos prácticos habituales de Cloud Armor
- Información sobre Google Cloud Armor Enterprise
- Información sobre Adaptive Protection de Google Cloud Armor