问题标签 [google-cloud-armor]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
google-cloud-platform - 有没有办法让被 WAF 规则拒绝的 IP 再次通过规则解除限制?
我已经参考https://cloud.google.com/armor/docs/rules-language-reference设置了 Google Cloud Armor 安全策略。它工作得很好。检测到来自我办公室的模拟 SQL 注入攻击,随后的访问被阻止。Stackdriver 日志条目显示“拒绝”的相应强制安全策略结果,并且应用的表达式 ID 为“owasp-crs-v030001-id942421-sqli”。关键WAF规则如下:
evaluatePreconfiguredExpr('xss-stable') && evaluatePreconfiguredExpr('sqli-stable')
有一点我无法控制。在我的模拟攻击之后,我办公室的所有访问都被一路封锁。一旦我将 Cloud Armor 安全策略与 LB 分离并重新附加到 LB,我办公室的访问仍然被阻止。删除该安全策略并重新创建它并没有帮助。这意味着存在一个看不见的 SQLi 和 XSS 攻击者持久数据库,并且我的办公室 IP 可能已在其中注册,从而导致“所有时间”的拒绝。
问题是:如何在不修改规则的情况下从那个看不见的“SQLi 和 XSS 黑名单”数据库中删除我的 IP 以重新获得后端访问权限?在我们的 Cloud Armor 生产操作中,曾经被禁止的 IP 在其攻击源被移除后可能希望重新获得对目标后端服务的访问权限。
当然,如果我添加比 WAF 规则更高优先级的权限规则,我可以重新获得对目标后端的访问权限,但是会绕过 WAF 检查,这不是我想要的。
提前感谢您的宝贵时间。
栗岛
google-cloud-platform - Google Cloud Armor - 缺少默认规则
我创建了一个云盔甲安全策略,但它没有默认规则。我很困惑,因为文档与此相矛盾。
https://cloud.google.com/compute/docs/reference/rest/beta/securityPolicies
属于此策略的规则列表。必须始终存在默认规则(优先级为 2147483647 并匹配“*”的规则)。如果在创建安全策略时没有提供任何规则,则会添加一个带有“允许”操作的默认规则。
根据我的测试,默认行为似乎是Allow. 这个默认规则是隐藏的还是我遗漏了什么?
该规则是使用 Terraform 创建的,但我认为这并不重要。
kubernetes - 如何将两个不同的 Cloud Armor BackendConfigs 注释到服务
我有两个 Cloud Armor 政策。政策“A”允许我们的办公网络连接到特定服务。策略“B”允许客户使用服务来使用 API。
我无法将策略“B”的规则添加到策略“A”,因为这样规则(客户 ip)将有权访问应用策略“A”的所有服务。因此,我将其分离为独立的策略“B”。
所以我现在有两个不同的 BackendConfig 资源。一份参考政策“A”,一份参考政策“B”。
我采取的下一步是以某种方式将两个云装甲后端配置应用于一个特定的服务。办公网络应该可以访问该服务以及我们客户的 IP。这就是我认为它可能工作的方式:
不幸的是,这不起作用。在 GCP 的策略面板中会出现以下警告:
知道如何使这种独占访问成为可能吗?
google-app-engine - 如何将 Cloud Armor 与 GAE Flex 结合使用?
我想知道是否可以将 Cloud Armor 与 GAE Flex 一起使用?因为在Cloud Armor 的文档中,它说您必须使用HTTPS 负载均衡器。由于 GAE Flex 没有负载均衡器,我们如何将 Cloud Armor 与 GAE Flex 一起使用?我们必须使用 WAF 来防止 DDOS 攻击。是否可以通过 HTTPS 负载均衡器将 Cloud Armor 与 GAE Flex 一起使用?如果是这样,你能解释我如何实现这个目标吗?
谢谢你。
google-cloud-platform - GCP Cloud Armor DDoS 设置
我想知道云盔甲是如何工作的。当我创建“策略中的空规则”(允许所有流量)时,是否默认启用 DDoS 保护?还是 DDoS 保护只是 HTTP(s) 负载均衡器的一部分?
有我的笔记:
- HTTP(s) 负载均衡器默认具有基本的 DDoS 保护,例如 SYN 洪水、IP 片段洪水、端口耗尽等...
- Cloud Armor 仅通过“空策略”规范默认添加额外保护
- 您可以在 Cloud Armor 中根据 IP 位置等进行额外过滤,以获得更好的保护
- 在每种情况下,您都需要考虑 GCS 签名 url、WAF、VPC、IAM、内部网络等以获得最佳效果 - 最后还要制作安全的应用程序(第一次查看的验证码保护等)
- 如果仍然不够,您可以使用合作伙伴解决方案
你能告诉我我哪里错了吗?关于如何在 GCP 中保护你的网络,你最好的建议是什么?谢谢。
google-cloud-armor - 如何知道攻击是否达到了谷歌云盔甲的预配置规则?
我是这个领域的新手,我需要一些帮助。规则被攻击时没有日志。谁能帮我这个?当攻击发生时,我在哪里可以找到按规则阻止的日志?我一直在阅读文档,但仍然一无所获,如果你们能帮助我,我很高兴
google-cloud-armor - Cloud Armor WAF 上的详细 mod 安全规则
我一直在寻找 Cloud Armor WAF 的每条规则的细节。我刚刚为每条规则找到了手册(付费一本)和某种代码正则表达式。我仍然没有找到每条规则的任何解释细节。有这方面的官方文件吗?
google-cloud-platform - 如何使用 cloudarmor 为我的 gke 入口配置 DDoS?
我正在为我的入口使用 L7 谷歌 LB,并将其连接到使用仅允许某些 IP 的 cloudarmor 策略。
我想设置 DDoS 保护,但文档让我感到困惑
Google Cloud Armor 安全政策仅适用于外部 HTTP(S) 负载平衡器后面的后端服务。负载均衡器可以位于高级层或标准层。自动为 HTTP(S) 负载平衡、SSL 代理负载平衡和 TCP 代理负载平衡提供 DDoS 保护。
这是否意味着我所要做的就是将任何(甚至是空的?)云装甲策略应用于 gke L7 LB 入口,我将获得 DDoS?或者是说所有 L7 LB 都已经带有 DDoS 并且我不需要对 cloudarmor 做任何事情——如果说我正在寻找的只是 DDoS 保护?
google-cloud-platform - 谷歌云盔甲如何用一种表达方式屏蔽多个国家?
我可以使用以下规则在谷歌云盔甲中阻止多个国家。
origin.region_code == "RU" || origin.region_code == "UA"
但它认为这条规则有 2 个表达式,所以我每条规则只能阻止 5 个国家,并且必须添加额外的规则来阻止更多的国家。
有没有一种方法(例如 in_origin_regioncode),我可以在一个表达式中提供我想阻止的所有国家/地区的逗号分隔列表?