Google Cloud Armor
Google Cloud Armor — это облачный сервис сетевой безопасности, предоставляемый платформой Google Cloud Platform (GCP), предназначенный для защиты веб-приложений и сервисов, развёрнутых в инфраструктуре Google Cloud, от распределённых атак типа «отказ в обслуживании» (DDoS) и других веб-угроз, включая атаки на уровне приложений, такие как SQL-инъекции и межсайтовый скриптинг (XSS). Сервис функционирует на границе сети Google, используя её глобальную инфраструктуру для фильтрации трафика до того, как он достигнет целевых ресурсов.
История и развитие
Сервис Google Cloud Armor был анонсирован в августе 2017 года на конференции Google Cloud Next '17. Первоначально он был представлен как решение для защиты от DDoS-атак на уровне сети (L3/L4) и веб-приложений (L7), интегрированное с балансировщиками нагрузки Google Cloud HTTP(S) Load Balancing. В 2018 году сервис получил поддержку правил на основе IP-адресов и географических регионов, а также возможность интеграции с Google Cloud CDN для защиты кэшированного контента.
В 2019 году была добавлена поддержка пользовательских правил на языке Common Expression Language (CEL), что позволило создавать более гибкие политики фильтрации. В 2020 году Google Cloud Armor расширил функциональность за счёт включения предварительно настроенных правил для защиты от OWASP Top 10 (наиболее распространённых веб-уязвимостей), включая SQL-инъекции, XSS и атаки на локальное включение файлов (LFI). В 2021 году была представлена возможность использования адаптивной защиты (Adaptive Protection), которая использует машинное обучение для выявления аномалий в трафике и автоматического создания правил для блокировки подозрительных запросов. В 2022 году сервис получил поддержку защиты от DDoS-атак на уровне сети (L3/L4) с использованием протоколов GRE и VXLAN, а также возможность интеграции с Google Cloud Armor Managed Protection Plus, премиум-уровнем сервиса с расширенными возможностями.
Архитектура и принцип работы
Google Cloud Armor работает как распределённый фильтр трафика, размещённый на периметре сети Google. Трафик, направленный к защищённым ресурсам, сначала проходит через точки присутствия (PoP) Google, где анализируется и фильтруется в соответствии с настроенными политиками безопасности. Основные компоненты архитектуры:
- Политики безопасности (Security Policies): Наборы правил, определяющих, какой трафик разрешён, а какой заблокирован. Политики могут быть глобальными (применяются ко всем регионам) или региональными.
- Правила (Rules): Отдельные условия, задаваемые в рамках политики. Правила могут основываться на IP-адресах (IPv4/IPv6), географических регионах (по коду страны), HTTP-заголовках, URI-путях, параметрах запроса, а также на пользовательских выражениях на CEL.
- Предварительно настроенные правила (Preconfigured Rules): Готовые наборы правил, предназначенные для защиты от распространённых веб-атак, таких как SQL-инъекции, XSS, LFI, RFI (удалённое включение файлов), атаки на парольные брутфорс и другие.
- Адаптивная защита (Adaptive Protection): Механизм машинного обучения, который анализирует исторические данные о трафике и выявляет аномалии. При обнаружении подозрительной активности он может автоматически сгенерировать правило для блокировки соответствующего трафика.
- Защита от DDoS (DDoS Protection): Встроенная защита от атак на уровне сети (L3/L4) и приложений (L7). Google Cloud Armor использует глобальную инфраструктуру Google для поглощения и фильтрации DDoS-трафика, включая атаки объёмом до нескольких терабит в секунду.
Классификация и уровни обслуживания
Google Cloud Armor предлагается в двух основных уровнях обслуживания, которые различаются набором функций и стоимостью:
- Standard (Стандартный): Включает базовую защиту от DDoS-атак на уровне сети (L3/L4) и приложений (L7), возможность создания пользовательских правил на основе IP, геолокации и HTTP-заголовков, а также предварительно настроенные правила для защиты от OWASP Top 10. Этот уровень доступен всем пользователям GCP без дополнительной платы за сам сервис (оплачивается только трафик, обработанный правилами).
- Managed Protection Plus (Управляемая защита Плюс): Премиум-уровень, предоставляющий расширенные возможности, включая адаптивную защиту на основе машинного обучения, доступ к предварительно настроенным правилам для защиты от ботов (Bot Management), круглосуточную поддержку от команды безопасности Google Cloud, а также приоритетную обработку трафика при DDoS-атаках. Этот уровень является платным и требует подписки.
Применение и сценарии использования
Google Cloud Armor используется для защиты различных типов веб-приложений и сервисов, развёрнутых в Google Cloud:
- Защита веб-сайтов и веб-приложений: Блокировка DDoS-атак, SQL-инъекций, XSS и других веб-угроз.
- Защита API: Фильтрация трафика к API-шлюзам и микросервисам, предотвращение несанкционированного доступа и атак на API.
- Защита мобильных приложений: Обеспечение безопасности бэкенда мобильных приложений, развёрнутого в Google Cloud.
- Защита от ботов: Блокировка автоматизированных запросов от вредоносных ботов, которые могут использоваться для скрапинга данных, создания фейковых аккаунтов или проведения атак.
- Гео-блокировка: Ограничение доступа к ресурсам из определённых стран или регионов, что может быть полезно для соблюдения нормативных требований или снижения нагрузки.
- Защита от DDoS-атак: Обеспечение доступности приложений во время крупномасштабных DDoS-атак.
Преимущества и ограничения
Преимущества
- Интеграция с Google Cloud: Сервис тесно интегрирован с другими сервисами GCP, такими как Google Cloud Load Balancing, Google Cloud CDN и Google Kubernetes Engine (GKE), что упрощает развёртывание и управление.
- Глобальная инфраструктура: Использование глобальной сети Google позволяет фильтровать трафик на границе сети, снижая нагрузку на защищаемые ресурсы и обеспечивая низкую задержку.
- Гибкость правил: Поддержка пользовательских правил на CEL позволяет создавать сложные политики фильтрации, адаптированные под конкретные потребности.
- Адаптивная защита: Механизм машинного обучения помогает выявлять новые и неизвестные угрозы, которые могут быть пропущены статическими правилами.
- Масштабируемость: Сервис автоматически масштабируется для обработки больших объёмов трафика, включая DDoS-атаки.
Ограничения
- Привязка к Google Cloud: Сервис работает только в экосистеме Google Cloud и не может быть использован для защиты ресурсов, размещённых в других облачных провайдерах или локальных центрах обработки данных.
- Сложность настройки: Создание сложных политик безопасности на CEL может требовать определённых знаний и навыков.
- Стоимость: Премиум-уровень Managed Protection Plus может быть дорогим для небольших проектов.
- Зависимость от балансировщиков нагрузки: Google Cloud Armor работает только с HTTP(S) Load Balancing, что ограничивает его применение для сервисов, использующих другие типы балансировщиков.
Интересные факты
- Google Cloud Armor использует ту же технологию защиты от DDoS-атак, которая применяется для защиты собственных сервисов Google, таких как Поиск, Gmail и YouTube.
- Сервис способен поглощать DDoS-атаки объёмом до нескольких терабит в секунду благодаря глобальной инфраструктуре Google.
- Адаптивная защита Google Cloud Armor обучается на основе данных о трафике, собранных за последние 7 дней, что позволяет ей адаптироваться к изменениям в поведении пользователей и атакующих.
Критика
Основная критика Google Cloud Armor связана с его ограниченной совместимостью с другими облачными платформами и локальной инфраструктурой. Это делает его менее привлекательным для организаций, использующих мультиоблачные или гибридные архитектуры. Кроме того, некоторые пользователи отмечают, что стоимость Managed Protection Plus может быть высокой для малого и среднего бизнеса, а настройка сложных политик на CEL требует дополнительного обучения.
Источники
- Официальная документация Google Cloud Armor.
- Google Cloud Next '17: анонс сервиса.
- Блог Google Cloud: обновления и новые функции Google Cloud Armor.
- OWASP Top 10: описание наиболее распространённых веб-уязвимостей.
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →