Cloud Armor

关於Cloud Armor安全政策

• 首先也许从字面上或许不好意会什麽是Cloud Armor呢？其实他就是一个防御外部攻击的服务，主要的目的是保护您的Web应用，或许可以简单的理解成常听到的防火墙规则。

P.S. 设定IAM所需使用角色(roles/compute.securityAdmin)

• Cloud Armor保护的目标是 负载平衡器 预防DDoS後的Backend，也就是说他作用於服务入口Ingress的部分，用HTTPS来说，当连线进来到Cloud Armor可以做到两件事：

1. 第一匹配IP地址列表或IP地址范围列表(CIDR)
2. 第二个就比较高级了，可以根据path method headers 甚至ASN流量等等...

建立Cloud Armor

可以直接去Cloud Armor页面，建立起一个政策，政策内可以有许多规则，此时系统默认会有Allow Deny规则，然而因为一个政策可以包含多笔规则，那我们来看看有哪些设定项目可以调整，整理一下可以归纳为有以下四个：

• 定义允许或拒绝IP规则，定义规则运算式语法
• 新增需要作用负载平衡目标 (只能使用非CDN HTTP(S)负载平衡器後端服务来当做目标)
• 规则权限高低(同GCP防火墙规则数字越低权限越高)
• 最後是若是Allow Deny导向的回应(ex. 403)

规则运算式语法(可用&& ||运算逻辑设置)

举几个例子：

• 判断IP来源＆国家来源

origin.region_code == 'US' && !inIpRange(origin.ip, '1.2.3.0/24')

• 判断路径 headers

request.path.matches('/bad_path/') || has(request.headers['user-agent'])

• 缓解跨站脚本攻击(XSS)&缓解SQL 注入(SQLi) 攻击

evaluatePreconfiguredExpr('xss-stable') && evaluatePreconfiguredExpr('sqli-stable')