Открыть сервис

Google Cloud Armor

Google Cloud Armor — это облачный сервис сетевой безопасности, предоставляемый платформой Google Cloud Platform (GCP), предназначенный для защиты веб-приложений и сервисов, развёрнутых в инфраструктуре Google Cloud, от распределённых атак типа «отказ в обслуживании» (DDoS) и других веб-угроз, включая атаки на уровне приложений, такие как SQL-инъекции и межсайтовый скриптинг (XSS). Сервис функционирует на границе сети Google, используя её глобальную инфраструктуру для фильтрации трафика до того, как он достигнет целевых ресурсов.

История и развитие

Сервис Google Cloud Armor был анонсирован в августе 2017 года на конференции Google Cloud Next '17. Первоначально он был представлен как решение для защиты от DDoS-атак на уровне сети (L3/L4) и веб-приложений (L7), интегрированное с балансировщиками нагрузки Google Cloud HTTP(S) Load Balancing. В 2018 году сервис получил поддержку правил на основе IP-адресов и географических регионов, а также возможность интеграции с Google Cloud CDN для защиты кэшированного контента.

В 2019 году была добавлена поддержка пользовательских правил на языке Common Expression Language (CEL), что позволило создавать более гибкие политики фильтрации. В 2020 году Google Cloud Armor расширил функциональность за счёт включения предварительно настроенных правил для защиты от OWASP Top 10 (наиболее распространённых веб-уязвимостей), включая SQL-инъекции, XSS и атаки на локальное включение файлов (LFI). В 2021 году была представлена возможность использования адаптивной защиты (Adaptive Protection), которая использует машинное обучение для выявления аномалий в трафике и автоматического создания правил для блокировки подозрительных запросов. В 2022 году сервис получил поддержку защиты от DDoS-атак на уровне сети (L3/L4) с использованием протоколов GRE и VXLAN, а также возможность интеграции с Google Cloud Armor Managed Protection Plus, премиум-уровнем сервиса с расширенными возможностями.

Архитектура и принцип работы

Google Cloud Armor работает как распределённый фильтр трафика, размещённый на периметре сети Google. Трафик, направленный к защищённым ресурсам, сначала проходит через точки присутствия (PoP) Google, где анализируется и фильтруется в соответствии с настроенными политиками безопасности. Основные компоненты архитектуры:

  • Политики безопасности (Security Policies): Наборы правил, определяющих, какой трафик разрешён, а какой заблокирован. Политики могут быть глобальными (применяются ко всем регионам) или региональными.
  • Правила (Rules): Отдельные условия, задаваемые в рамках политики. Правила могут основываться на IP-адресах (IPv4/IPv6), географических регионах (по коду страны), HTTP-заголовках, URI-путях, параметрах запроса, а также на пользовательских выражениях на CEL.
  • Предварительно настроенные правила (Preconfigured Rules): Готовые наборы правил, предназначенные для защиты от распространённых веб-атак, таких как SQL-инъекции, XSS, LFI, RFI (удалённое включение файлов), атаки на парольные брутфорс и другие.
  • Адаптивная защита (Adaptive Protection): Механизм машинного обучения, который анализирует исторические данные о трафике и выявляет аномалии. При обнаружении подозрительной активности он может автоматически сгенерировать правило для блокировки соответствующего трафика.
  • Защита от DDoS (DDoS Protection): Встроенная защита от атак на уровне сети (L3/L4) и приложений (L7). Google Cloud Armor использует глобальную инфраструктуру Google для поглощения и фильтрации DDoS-трафика, включая атаки объёмом до нескольких терабит в секунду.

Классификация и уровни обслуживания

Google Cloud Armor предлагается в двух основных уровнях обслуживания, которые различаются набором функций и стоимостью:

  • Standard (Стандартный): Включает базовую защиту от DDoS-атак на уровне сети (L3/L4) и приложений (L7), возможность создания пользовательских правил на основе IP, геолокации и HTTP-заголовков, а также предварительно настроенные правила для защиты от OWASP Top 10. Этот уровень доступен всем пользователям GCP без дополнительной платы за сам сервис (оплачивается только трафик, обработанный правилами).
  • Managed Protection Plus (Управляемая защита Плюс): Премиум-уровень, предоставляющий расширенные возможности, включая адаптивную защиту на основе машинного обучения, доступ к предварительно настроенным правилам для защиты от ботов (Bot Management), круглосуточную поддержку от команды безопасности Google Cloud, а также приоритетную обработку трафика при DDoS-атаках. Этот уровень является платным и требует подписки.

Применение и сценарии использования

Google Cloud Armor используется для защиты различных типов веб-приложений и сервисов, развёрнутых в Google Cloud:

  • Защита веб-сайтов и веб-приложений: Блокировка DDoS-атак, SQL-инъекций, XSS и других веб-угроз.
  • Защита API: Фильтрация трафика к API-шлюзам и микросервисам, предотвращение несанкционированного доступа и атак на API.
  • Защита мобильных приложений: Обеспечение безопасности бэкенда мобильных приложений, развёрнутого в Google Cloud.
  • Защита от ботов: Блокировка автоматизированных запросов от вредоносных ботов, которые могут использоваться для скрапинга данных, создания фейковых аккаунтов или проведения атак.
  • Гео-блокировка: Ограничение доступа к ресурсам из определённых стран или регионов, что может быть полезно для соблюдения нормативных требований или снижения нагрузки.
  • Защита от DDoS-атак: Обеспечение доступности приложений во время крупномасштабных DDoS-атак.

Преимущества и ограничения

Преимущества

  • Интеграция с Google Cloud: Сервис тесно интегрирован с другими сервисами GCP, такими как Google Cloud Load Balancing, Google Cloud CDN и Google Kubernetes Engine (GKE), что упрощает развёртывание и управление.
  • Глобальная инфраструктура: Использование глобальной сети Google позволяет фильтровать трафик на границе сети, снижая нагрузку на защищаемые ресурсы и обеспечивая низкую задержку.
  • Гибкость правил: Поддержка пользовательских правил на CEL позволяет создавать сложные политики фильтрации, адаптированные под конкретные потребности.
  • Адаптивная защита: Механизм машинного обучения помогает выявлять новые и неизвестные угрозы, которые могут быть пропущены статическими правилами.
  • Масштабируемость: Сервис автоматически масштабируется для обработки больших объёмов трафика, включая DDoS-атаки.

Ограничения

  • Привязка к Google Cloud: Сервис работает только в экосистеме Google Cloud и не может быть использован для защиты ресурсов, размещённых в других облачных провайдерах или локальных центрах обработки данных.
  • Сложность настройки: Создание сложных политик безопасности на CEL может требовать определённых знаний и навыков.
  • Стоимость: Премиум-уровень Managed Protection Plus может быть дорогим для небольших проектов.
  • Зависимость от балансировщиков нагрузки: Google Cloud Armor работает только с HTTP(S) Load Balancing, что ограничивает его применение для сервисов, использующих другие типы балансировщиков.

Интересные факты

  • Google Cloud Armor использует ту же технологию защиты от DDoS-атак, которая применяется для защиты собственных сервисов Google, таких как Поиск, Gmail и YouTube.
  • Сервис способен поглощать DDoS-атаки объёмом до нескольких терабит в секунду благодаря глобальной инфраструктуре Google.
  • Адаптивная защита Google Cloud Armor обучается на основе данных о трафике, собранных за последние 7 дней, что позволяет ей адаптироваться к изменениям в поведении пользователей и атакующих.

Критика

Основная критика Google Cloud Armor связана с его ограниченной совместимостью с другими облачными платформами и локальной инфраструктурой. Это делает его менее привлекательным для организаций, использующих мультиоблачные или гибридные архитектуры. Кроме того, некоторые пользователи отмечают, что стоимость Managed Protection Plus может быть высокой для малого и среднего бизнеса, а настройка сложных политик на CEL требует дополнительного обучения.

Источники

  1. Официальная документация Google Cloud Armor.
  2. Google Cloud Next '17: анонс сервиса.
  3. Блог Google Cloud: обновления и новые функции Google Cloud Armor.
  4. OWASP Top 10: описание наиболее распространённых веб-уязвимостей.

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →