谷咕云计算

Google Cloud Armor

Google Cloud Armor 可幫助您保護 Google Cloud 部署免受多種型別的威脅，包括分散式拒絕服務 (DDoS) 攻擊以及跨站指令碼攻擊 (XSS) 和 SQL 注入 (SQLi) 等應用攻擊。Google Cloud Armor 具有一些自動保護功能，還有一些您需要手動配置。

安全政策

使用 Google Cloud Armor 安全政策來保護在負載平衡器後面執行的應用，以免它們受到分散式拒絕服務 (DDoS) 攻擊和其他基於網路的攻擊，無論這些應用是部署在 Google Cloud、混合部署還是多雲架構中。您可以在安全政策中使用可配置的匹配條件和操作來配置安全政策。Google Cloud Armor 還提供了預配置的安全政策，其中涵蓋各種用例。

規則語言

利用 Google Cloud Armor，您可以在安全政策中使用可配置的匹配條件和操作來定義優先規則。規則生效，這意味著如果規則是最高優先順序規則，且其特性與傳入請求的特性匹配，則系統會應用配置的操作。

預配置的 WAF 規則

Google Cloud Armor 預配置的 WAF 規則是具有數十個簽名的複雜 Web 應用防火牆 (WAF) 規則，這些規則是根據開源業界標準編譯而成的。每個簽名都對應於規則集中的攻擊檢測規則。Google 按原樣提供這些規則。透過這些規則，Google Cloud Armor 可以透過引用方便命名的規則評估數十種不同的流量簽名，而無需您手動定義每個簽名。

Google Cloud Armor 預配置規則有助於保護您的 Web 應用和服務免受來自網際網路的常見的攻擊，並且有助於緩解 OWASP 十大風險。規則來源為 OWASP 核心規則集 3.3.2 (CRS)。

可以對這些預先配置的規則進行調整，以停用雜亂或不必要的簽名。

Google Cloud Armor Enterprise

Cloud Armor Enterprise 是一項代管式應用保護服務，可幫助保護您的 Web 應用和服務免受分散式拒絕服務 (DDoS) 攻擊和來自網際網路的其他威脅。Cloud Armor Enterprise 會為負載平衡器提供始終有效的保護，並可讓您訪問 WAF 規則。

無論什麼層級，全球外部應用負載均衡器、傳統版應用負載均衡器和外部代理網路負載均衡器都會自動獲得 DDoS 攻擊防護。HTTP、HTTPS、HTTP/2 和 QUIC 協議均受支援。

Google Threat Intelligence

藉助 Google Cloud Armor Google 威脅情報，您可以根據多個類別的威脅情報資料允許或阻止流向全球外部應用負載平衡器和傳統版應用負載平衡器的流量，從而保護流量。

Google Cloud Armor 自動調節式保護

透過分析流向後端服務的流量格式、檢測可疑攻擊並生成提醒及生成建議的可緩解此類攻擊的 WAF 規則，自適應保護功能可保護您的應用和服務免受 L7 分散式拒絕服務攻擊 (DDoS)。您可以調整這些規則來滿足您的需求。

高階網路 DDoS 攻擊防護

高階網路 DDoS 防護可為使用網路負載平衡器、協議轉發或具有公共 IP 地址的虛擬機器的 Managed Protection Plus 訂閱者提供額外防護。高階網路 DDoS 防護提供始終開啟的攻擊監控和提醒、有針對性的攻擊緩解措施以及緩解遙測。

Google Cloud Armor 的工作原理

Google Cloud Armor 提供始終開啟的 DDoS 防護，以防範基於網路或協議的耗盡容量的 DDoS 攻擊。此防護功能用於負載均衡器後端的應用或服務。它能夠檢測和緩解網路攻擊，以便僅允許格式正確的請求透過負載均衡代理。安全政策強制執行自定義的第 7 層過濾政策，包括可緩解 OWASP 十大 Web 應用漏洞風險的預配置 WAF 規則。您可以將安全政策附加到以下負載平衡器的後端服務：
所有外部應用負載平衡器，包括傳統應用負載平衡器
區域級內部應用負載均衡器
全球外部代理網路負載平衡器 (TCP/SSL)
傳統代理網路負載均衡器 (TCP/SSL)
外部直通網路負載均衡器 (TCP/UDP)
利用 Google Cloud Armor 安全政策，您可以在 Google Cloud 儘可能靠近傳入流量來源的位置允許或拒絕對您的部署的訪問。這樣可以防止不受歡迎的流量佔用資源或進入您的 Virtual Private Cloud (VPC) 網路。

下圖說明了全球外部應用負載平衡器、傳統版應用負載平衡器、Google 網路和 Google 資料中心的位置。