APP Aplikasi dan Informasi dari berbagai sumber.
EMIL KINER: Hai, nama saya Emil Kiner. Saya adalah manajer produk untuk Google Cloud Armor di tim produk keamanan jaringan di Google Cloud. Hari ini, saya akan berbicara kepada Anda tentang cara melindungi aplikasi Anda dari serangan penolakan layanan terdistribusi serta serangan web yang ditargetkan menggunakan Cloud Armor. Kami akan memulai dengan ikhtisar keamanan jaringan secara umum di Google Cloud. Dari sana, kami akan membahas semua pengumuman terbaru dan terhebat serta fitur baru yang telah kami luncurkan untuk Cloud Armor selama beberapa bulan terakhir.
Setelah itu, kita akan menyelami dan mendiskusikan secara mendalam bagaimana perlindungan aplikasi dan pertahanan DDoS bekerja. Dan kemudian kita akan membahas beberapa kasus penggunaan pelanggan tentang cara melindungi aplikasi Anda dalam skenario dunia nyata. Keamanan mengikuti model tanggung jawab bersama di Google Cloud. Kami bekerja untuk mengamankan jaringan dan infrastruktur kami dan menyediakan alat yang diperlukan pelanggan untuk melakukannya dalam proyek mereka sendiri. Kami memungkinkan dan mendorong pelanggan untuk mengikuti pendekatan pertahanan yang mendalam dan menerapkan kontrol keamanan di berbagai tingkat tumpukan dan infrastruktur mereka untuk menegakkan kontrol akses dan memastikan data dan beban kerja yang sangat penting tetap pribadi dan aman.
Di Google Cloud, kami memiliki beberapa kontrol keamanan jaringan utama. Mulai dari luar ke dalam, kami memiliki Cloud Armor, proxy yang sadar identitas, dan penyeimbang beban global sebagai lapisan 7 kami yang mengontrol di tepi jaringan. Cloud Armor, bersama dengan LB global, melindungi aplikasi dari serangan DDoS. Identity Aware Proxy adalah bagian dari lini produk BeyondCorp kami untuk memungkinkan akses ke aplikasi internal tanpa memerlukan VPN.
Firewall, berwarna merah, berlaku di tingkat VPC dan dapat digunakan untuk menyesuaikan akses untuk lalu lintas utara-selatan serta lalu lintas timur-barat masuk, keluar, atau melalui VPC.
Firewall digunakan untuk menentukan batas VPC tetapi bisa sedetail per host. Kontrol Layanan VPC, dengan warna biru, dapat digunakan untuk mengontrol akses ke dan dari layanan GCP dan API terkelola, seperti BigQuery atau Cloud Storage ke atau dari internet, VPC, atau sumber lokal. Dalam warna kuning, kami memiliki pencerminan paket yang memungkinkan Anda untuk menyebarkan paket tap dan mirror di VM atau batas klaster kontainer ke tujuan kolektor yang dapat dikonfigurasi . Terakhir, kami juga mendukung pengiriman lalu lintas keluar melalui Cloud NAT serta berbagai opsi VPN yang saling terhubung untuk meningkatkan privasi dan keamanan. Penyeimbangan beban cloud adalah komponen penting dari kisah keamanan jaringan ujung ke ujung .
Kami memiliki tiga jenis penyeimbangan beban global– penyeimbang beban HTTPS , proxy SSL, dan proxy TCP. Dua penyeimbang beban pertama adalah penghentian SSL, artinya Anda dapat membongkar penghentian dan dekripsi SSL ke proxy edge kami, dan kami akan menangani penegakan kebijakan SSL di hulu infrastruktur Anda. Dengan mengunggah sertifikat dan mengonfigurasi kebijakan SSL khusus , Anda dapat memastikan bahwa hanya versi dan sandi SSL/TLS yang telah disetujui sebelumnya yang diizinkan per VIP.
Semua penyeimbang beban global menggunakan sistem berbasis anycast global dua tingkat daripada mekanisme penyeimbangan beban berbasis DNS . Kami menyiarkan alamat IP load bouncer secara global, dan permintaan pengguna akhir diarahkan ke dan diakhiri di titik terdekat secara geografis, atau POP, dengan mereka.
Dari sana, permintaan digabungkan dan diproksi melalui backbone serat Google ke backend pelanggan di wilayah terdekat secara geografis dengan kapasitas yang tersedia. Pada setiap tahap proses, kami mengoptimalkan latensi, dengan mempertimbangkan kapasitas jika aplikasi yang mendasari diterapkan di beberapa wilayah. Cloud Armor adalah firewall aplikasi web dan layanan mitigasi DDoS, yang mampu memberikan perlindungan dan pemfilteran lapisan 7 untuk beban kerja yang diterapkan di GCP, lokal , atau dengan penyedia infrastruktur lainnya.
Cloud Armor sangat terintegrasi dengan infrastruktur penyeimbangan beban global dan mampu memeriksa dan memfilter permintaan masuk setelah penghentian SSL terjadi. Lebih khusus lagi, dengan Cloud Armor, pelanggan dapat melindungi aplikasi berbasis HTTP mereka dari serangan DDos, memfilter permintaan yang masuk menurut geografi, atau sebagian besar parameter L7, seperti header permintaan atau cookie.
Selain itu, sebagai firewall aplikasi web, Cloud Armor berisi aturan yang telah dikonfigurasi sebelumnya untuk mencegah serangan yang paling umum dan upaya eksploitasi kerentanan.
Pengguna memiliki akses ke telemetri waktu nyata dalam bentuk log yang dikirim ke Cloud Logging yang berisi keputusan Cloud Armor berdasarkan permintaan; dasbor pemantauan yang memberikan tampilan terperinci tentang lalu lintas yang diizinkan, ditolak, atau dipratinjau; serta temuan keamanan WAF terkait yang dikirim ke Pusat Komando Keamanan Cloud. Mulai bulan Maret tahun ini , serangkaian kemampuan WAF yang kaya untuk Cloud Armor telah tersedia secara umum. Aturan yang telah dikonfigurasi sebelumnya dapat membantu mengurangi 10 risiko teratas OWASP. Kami telah mem-porting set aturan inti keamanan mod, memperkenalkan aturan untuk mendeteksi dan memblokir injeksi SQL dan upaya skrip lintas situs seperti yang tersedia secara umum .
Selain itu, aturan untuk penyertaan file lokal, penyertaan file jarak jauh , dan eksekusi kode jarak jauh tersedia sebagai versi beta.
Sisa dari kumpulan aturan inti ditargetkan untuk dirilis selama tahun ini. Dengan aturan berbasis geografis, pelanggan dapat menerapkan kontrol akses berdasarkan geografi sumber setiap permintaan. Pemetaan IP-ke-geo bersumber dari tim geo Google sendiri , sehingga Anda dapat memastikan keakuratannya. Kami juga telah meluncurkan bahasa aturan yang dapat diperluas yang memungkinkan pengguna mengonfigurasi kebijakan pemfilteran lapisan 7 khusus di seluruh header permintaan , parameter permintaan, dan cookie.
Terakhir, Cloud Armor kini terintegrasi dengan Pusat Komando Keamanan dengan temuan Cloud Armor serta aset yang dikirim ke dasbor CSCC untuk memperingatkan para pembela tentang potensi serangan terhadap aplikasi dan situs web yang dilindungi. Kami baru-baru ini sangat meningkatkan fleksibilitas penerapan Cloud Armor untuk melindungi kumpulan infrastruktur pelanggan yang diperluas di GCP serta dalam kasus penggunaan hibrid yang berlokasi di lokal atau di penyedia cloud lainnya.
Cloud Armor sekarang mendukung perlindungan server asal CDM cloud dengan menerapkan kebijakan keamanan pada permintaan dinamis, serta cache miss yang ditujukan untuk server asal CDM. Aplikasi pelanggan seringkali kompleks, melayani baik konten statis yang dapat disimpan dalam cache maupun permintaan dinamis dari layanan yang sama. Dengan Cloud Armor dapat memeriksa dan memfilter permintaan yang ditujukan ke server asal CDN.
Pengguna sekarang dapat mengurangi serangan penghilang cache yang mahal secara komputasi , serta membantu melindungi bagian dinamis situs web dan aplikasi dari 10 risiko teratas OWASP. Perusahaan sering kali perlu menerapkan serangkaian kontrol keamanan yang konsisten untuk aplikasi mereka, di mana pun mereka diterapkan, baik saat bermigrasi ke GCP atau berjalan dalam konfigurasi hibrid permanen . Kami baru-baru ini meluncurkan dukungan untuk jaringan internet dan grup titik yang memungkinkan pelanggan memanfaatkan semua infrastruktur Google Edge , termasuk penyeimbang beban cloud, Cloud CDM, dan Cloud Armor untuk melindungi situs web atau aplikasi mereka, di mana pun mereka dihosting. Sekarang Google dapat membantu melindungi aplikasi tahunan, baik dari serangan DDoS atau serangan web umum lainnya tanpa harus men-deploy aplikasi secara langsung di GCP.
Terakhir, dukungan ingress GKE untuk Cloud Armor baru-baru ini mencapai ketersediaan umum.
Pengguna GKE dapat membantu melindungi beban kerja mereka yang terkemas dengan menempatkannya di belakang penyeimbang beban cloud dan mengonfigurasi kebijakan keamanan Cloud Armor untuk pemfilteran lapisan 7 dan kasus penggunaan WAF. Kami juga dengan bangga mengumumkan ketersediaan sebagai beta, kemampuan yang sangat diminta untuk mengizinkan atau menolak lalu lintas melalui kebijakan keamanan Cloud Armor berdasarkan daftar IP bernama yang telah dikonfigurasi sebelumnya. Banyak pelanggan kami menerima traffic ke project GCP mereka dari penyedia layanan upstream , seperti CDM lainnya. Sebelum kemampuan ini , pelanggan harus mengelola sendiri daftar IP dari penyedia upstream untuk memastikan mereka dapat menerima permintaan tersebut melalui kebijakan keamanan Cloud Armor . Sekarang pelanggan dapat mengonfigurasi kebijakan keamanan untuk menolak semua lalu lintas dari internet secara default dan hanya mengizinkan lalu lintas dari rentang IP yang diinginkan dengan merujuk daftar IP yang disebutkan.
Untuk saat ini, daftar IP bernama bersifat global dan tidak ditentukan pengguna. Kami meluncurkan versi beta dengan tiga mitra peluncuran– Fastly, Cloudflare, dan Imperva– tetapi berniat untuk menambahkan penyedia layanan lain dari waktu ke waktu.
Akhirnya, kami sangat senang dan bangga mengumumkan peluncuran beta Cloud Armor Managed Protection , serangkaian layanan mitigasi DDoS dan WAF yang ditawarkan di dua tingkat layanan, standar dan plus, yang menggabungkan semua fitur dan kemampuan Cloud Armor dengan tambahan layanan bernilai tambah, semuanya untuk langganan bulanan yang ramah perusahaan dan dapat diprediksi . Bulan lalu, kami menerbitkan posting blog yang mengumumkan bahwa Google telah berhasil mendeteksi dan mengurangi serangan DDoS terbesar yang pernah tercatat hingga saat ini. Sekarang, dengan perlindungan terkelola, pelanggan Google Cloud dapat memanfaatkan kapasitas Edge yang sama serta keahlian pertahanan DDoS untuk melindungi aplikasi mereka sendiri dan beban kerja lain yang terbuka untuk umum , dengan paket langganan yang menawarkan harga yang ramah perusahaan dan dapat diprediksi secara kritis , yang tidak didorong oleh pemasukan volume permintaan.
Penggunaan WAF Cloud Armor termasuk aturan, kebijakan, dan permintaan yang disertakan dalam paket berlangganan, artinya harga bulanan Cloud Armor akan tetap relatif tetap, bahkan jika Anda menjadi sasaran serangan DDoS lapisan 7 volume tinggi yang perlu dimitigasi oleh Cloud Armor .
Seiring waktu, kami akan memperluas layanan yang ditawarkan di tingkat plus, dimulai dengan kumpulan aturan yang dikurasi Google yang akan datang, seperti daftar IP bernama yang diumumkan sebelumnya. Untuk informasi lebih lanjut tentang perlindungan terkelola, silakan merujuk ke blog Cloud Armor yang mengumumkan versi beta, serta halaman produk untuk formulir pendaftaran untuk mendapatkan informasi lebih lanjut. Di GCP, pelanggan menikmati tingkat perlindungan DDoS yang tak tertandingi dari berbagai jenis serangan.
Penting untuk dipahami bahwa perlindungan awan DDoS yang dapat diterima pelanggan sama dengan yang telah dikembangkan selama 20 tahun terakhir untuk melindungi dan memastikan ketersediaan layanan Google sendiri.
Berkat sifat global jaringan Google, kami dapat menyerap dan menghilangkan atau dengan cara lain mengurangi serangan jaringan atau volumetrik lapisan 3 dan 4 di berbagai komponen di infrastruktur penyeimbang beban global kami . Cara kerja mitigasi otomatis ini adalah bahwa ketiga jenis penyeimbang beban global hanya akan mem-proxy permintaan kembali ke layanan backend pelanggan ketika permintaan tersebut telah menyelesaikan jabat tangan TCP tiga arah . Untuk serangan DDoS volumetrik dan berbasis protokol, seperti amplifikasi atau refleksi UDP, serta banjir TCP, jabat tangan TCP sebenarnya tidak pernah dibuat, jadi kami dapat dengan aman menghentikan lalu lintas yang tidak diinginkan ini jauh di hulu infrastruktur Anda. Ini terjadi secara otomatis di hulu infrastruktur pelanggan. Selanjutnya, kebijakan keamanan Cloud Armor dapat dikonfigurasi dan dilampirkan ke layanan backend seimbang beban untuk lebih memberikan perlindungan lapisan 7 aplikasi dan kontrol akses.
Kebijakan keamanan Cloud Armor dapat dikonfigurasi untuk membatasi akses berdasarkan IP atau geo sumber , kumpulan aturan WAF yang telah dikonfigurasi sebelumnya, serta bahasa aturan kami yang sepenuhnya dapat disesuaikan untuk membuat kebijakan pemfilteran lapisan 7 kustom. Menyelam sedikit lebih jauh, kebijakan keamanan Cloud Armor dapat secara bersamaan menjalankan aturan WAF yang telah dikonfigurasi sebelumnya, serta aturan yang ditentukan pengguna untuk memeriksa header permintaan, parameter, dan cookie. Kebijakan disimpan, dievaluasi, dan diterapkan di ujung jaringan Google jauh di hulu infrastruktur pelanggan . Dalam contoh di slide ini, kami memiliki kebijakan yang pertama-tama menolak akses ke klien eksternal yang meminta akses ke portal admin dari aplikasi contoh kami. Selanjutnya, kebijakan keamanan Cloud Armor dikonfigurasi untuk menjalankan aturan WAF yang telah dikonfigurasi sebelumnya guna mendeteksi dan memblokir tanda tangan yang diketahui untuk injeksi SQL dan serangan skrip lintas situs, yang secara kolektif memiliki lusinan subtanda tangan di bawah tenda.
Terakhir, jika permintaan tidak menargetkan portal admin atau berisi injeksi SQL atau tanda tangan skrip lintas situs, kami akan mengizinkan lalu lintas tersebut sebagaimana dikonfigurasi melalui aturan default. Sekarang, kita akan membahas beberapa contoh kasus penggunaan tentang bagaimana pelanggan dapat melindungi aplikasi mereka. Untuk melindungi aplikasi Anda dari serangan DDoS berbasis protokol dan volumetrik , yang diperlukan hanyalah menerapkan salah satu penyeimbang beban global di depan beban kerja HTTP atau TCP Anda. Setelah dipandu oleh penyeimbang beban, Cloud Armor , bersama dengan LD, akan secara otomatis mengurangi serangan DDoS seperti serangan amplifikasi DNS, banjir SYN, dan serangan DDoS lapisan 3 dan 4 umum lainnya. Satu-satunya permintaan yang akan diproksi kembali ke aplikasi Anda adalah permintaan yang telah menyelesaikan jabat tangan tiga arah dan merupakan permintaan lapisan 7 yang terbentuk dengan baik.
Untuk menambahkan perlindungan lapisan 7 untuk aplikasi Anda, hal pertama yang perlu Anda lakukan adalah mengonfigurasi kebijakan keamanan Cloud Armor dan melampirkannya ke layanan backend yang menghosting aplikasi atau beban kerja yang akan dilindungi.
Kebijakan keamanan Cloud Armor digunakan untuk menyesuaikan akses ke sumber daya yang dilindungi. Ada hubungan satu-ke-banyak antara kebijakan dan backend, artinya satu kebijakan dapat dilampirkan ke beberapa layanan backend, tetapi setiap backend hanya dapat memiliki satu kebijakan keamanan yang melindunginya. Setiap kebijakan terdiri dari daftar aturan yang diprioritaskan serta aturan default. Saat permintaan masuk mencoba menjangkau layanan backend pelanggan , Cloud Armor akan mengevaluasi setiap aturan dalam urutan prioritas terhadap lalu lintas.
Aturan pencocokan pertama akan menang, artinya aturan itu akan menentukan tindakan yang harus diambil– izinkan atau tolak dalam kasus ini. Jika lalu lintas tidak cocok dengan aturan apa pun , tindakan yang dikonfigurasi dengan aturan default akan diterapkan untuk mengizinkan atau menolak lalu lintas melalui backend yang ditargetkan. Visibilitas dan telemetri adalah kunci untuk solusi perlindungan aplikasi yang komprehensif . Cloud Armor memaparkan informasi ini hampir secara real time di beberapa platform telemetri di Google Cloud. Log per permintaan ditangkap dan dikirim ke Cloud Logging yang berisi semua keputusan yang dibuat Cloud Armor terkait permintaan lapisan 7, serta aturan mana yang diaktifkan dan alasannya.
Telemetri real-time untuk volume permintaan tersedia di berbagai tingkat perincian melalui pemantauan cloud di dasbor kami yang telah dikonfigurasi sebelumnya untuk membantu Anda memvisualisasikan dan membangun kebijakan pembelajaran terhadap perubahan pola lalu lintas.
Terakhir, temuan keamanan terkait tentang lonjakan lalu lintas yang tidak terduga dikirim ke Pusat Komando Keamanan untuk memicu penyelidikan dan kemungkinan alur kerja respons insiden. Menyatukan semuanya, berikut adalah contoh kasus penggunaan canggih yang memanfaatkan kemampuan untuk memperbarui kebijakan keamanan Cloud Armor secara dinamis melalui REST API atau CLI kami yang kaya fitur. Di sini, kita melihat aplikasi yang digawangi oleh penyeimbang beban cloud dengan Google Cloud Armor diaktifkan.
Telemetri dikumpulkan hingga alur kerja pemantauan dan analitik , baik yang dibuat sendiri oleh pelanggan, komersial siap pakai, atau menggunakan alat analisis data bawaan GCP , seperti BigQuery.
Sumber telemetri dan logging lainnya ditambahkan ke sistem, termasuk dari aplikasi, dari Cloud Armor, dan perangkat lain di jaringan. Selanjutnya, ancaman untuk algoritma deteksi penipuan akan menghubungkan berbagai telemetri dan menghasilkan tanda tangan tambahan dari lalu lintas berbahaya untuk memblokir hulu. Tanda tangan ini kemudian dapat secara dinamis dimasukkan ke dalam kebijakan keamanan Cloud Armor sebagai aturan baru untuk memblokir dengan cepat perilaku berbahaya yang baru terdeteksi, semua di tepi jaringan Google. Dengan itu, saya ingin mengucapkan terima kasih karena telah bergabung dengan saya hari ini. Jika Anda memiliki pertanyaan lain , silakan lihat blog kami yang baru-baru ini diterbitkan atau halaman produk.
Dan jangan ragu untuk menghubungi Anda dengan pertanyaan mendetail, dan kami akan dengan senang hati menindaklanjutinya dengan Anda. Terima kasih.