3 tính năng mới của Google Cloud Armor giúp bảo vệ trang web và ứng dụng của bạn

Tháng Sáu 3, 2021
Nga Pham

Giữa các mối nguy hiểm luôn rình rập xung quanh, đe dọa các trang web và ứng dụng, giữ an toàn cho sản phẩm của bạn là một công việc quan trọng cần được thực hiện thường xuyên. Nửa đầu năm 2020, Google Cloud đã ra mắt một số tính năng quan trọng cho Google Cloud Armor để hỗ trợ khách hàng bảo mật ứng dụng tốt hơn, bao gồm các quy tắc WAF (Web Application Firewall – tường lửa ứng dụng web), kiểm soát lượng truy cập dựa trên địa lý (geo-based access controls) và bộ nguyên tắc ngôn ngữ tùy chỉnh (custom rules language), hỗ trợ các server CDN và các kịch bản triển khai hết hợp (hybrid deployment scenarios). Các dịch vụ mới bao gồm:

1. Bản beta của Cloud Armor Managed Protection Plus – gói sản phẩm và dịch vụ giúp bảo vệ các ứng dụng internet-facing với một khoản phí đăng ký hàng tháng
2. Bản beta Danh sách IP được gọi tên do Google tổng hợp (Google-curated Named IP Lists)
3. Bộ quy tắc WAF mở rộng cho Remote File Inclusion (RFI – tấn công bằng cách chèn tập tin từ server khác), Local File Inclusion (LFI – tấn công bằng cách chèn tập tin từ server nội bộ) và Remote Code Execution (RCE – thực thi mã nguồn từ xa)

Cloud Armor: DDoS Prevention and WAF
Cloud Armor: DDoS Prevention and WAF

Giới thiệu Cloud Armor Managed Protection Plus

Cloud Armor Managed Protection Plus tận dụng lợi thế mạng lưới của Google và các sản phẩm, dịch vụ từ Google Cloud để giúp bảo vệ ứng dụng khỏi các cuộc tấn công DDoS và các nỗ lực khai thác nhắm đến mục tiêu (targeted exploit attempts). Với Managed Protection, bạn có thể tận dụng Google để bảo vệ ứng dụng của mình và thực hiện các nhiệm vụ quan trọng trên Internet một cách an toàn.

Managed Protection tiers
Managed Protection tiers (hiển thị cho những khách hàng đã đăng khí bản beta)

Managed Protection bao gồm hai dịch vụ: tiêu chuẩn (standard) và nâng cao (plus). Tất cả người dùng Cloud Armor hiện tại, và các khối lượng công việc đằng sau các bộ cân bằng tải trên toàn cầu của Google Cloud đều được tự động đăng ký dịch vụ Managed Protection Standard. Ở cấp độ này, các ứng dụng và dịch vụ cân bằng tải được bảo vệ bởi Google-scale volumetric và protocol-based DDoS (DDoS dựa trên giao thức), cũng như được quyền truy cập vào Cloud Armor WAF và bộ lọc Layer 7 (L7), bao gồm cả các quy tắc WAF được cấu hình trước.

Cloud Armor Managed Protection Plus hiện đang trong giai đoạn thử nghiệm, là dịch vụ cần đăng ký và trả phí theo tháng. Dịch vụ này thân thiện với các doanh nghiệp quy mô lớn, giúp giảm thiểu rủi ro bị tấn công bởi các cuộc tấn công L7 DDoS lớn. Managed Protection Plus đơn giản hóa quá trình bảo mật trong DDoS, Cloud Armor WAF và các dịch vụ khác trong tương lai. Khách hàng đăng ký Managed Protection Plus sẽ có quyền truy cập vào các dịch vụ DDoS và WAF, cũng như các bộ quy tắc được tổng hợp hàng tháng. Do việc sử dụng Cloud Armor WAF được bao gồm trong Managed Protection Plus, người đăng ký không cần lo lắng về số lượng truy vấn lớn cần xử lý hoặc quy mô của một cuộc tấn công L7. Ngoài ra, người đăng ký còn có thể truy cập vào các tính năng nâng cao đang được phát triển, bao gồm Danh sách địa chỉ IP được gọi tên và các bộ quy tắc, dịch vụ tổng hợp bởi Google trong tương lai.

Giới thiệu Danh sách địa chỉ IP được gọi tên

Danh sách địa chỉ IP được gọi tên, hiện đang trong giai đoạn thử nghiệm, là một bộ quy tắc do Google tổng hợp và quản lý, bao gồm các địa chỉ IP được cấu hình trước, có thể được tham chiếu và sử dụng lại trong các chính sách và dự án. Google bắt đầu cung cấp danh sách này cho các nhà cung cấp dịch vụ đầu nguồn (upstream providers) phổ biến, với sự cho phép từ người dùng thông qua chính sách bảo mật của Cloud Armor.

Named IP Lists
Named IP Lists

Với danh sách IP được gọi tên này, khách hàng không còn phải tự quản lý và cấu hình danh sách IP của các nhà cung cấp đầu nguồn của họ, mà có thể dựa vào Google để quản lý và cập nhật danh sách IP. Google hiện đang phát triển một danh sách các nhà cung cấp dịch vụ để đảm bảo khách hàng có thể truy cập từ dịch vụ của bên thứ ba một cách liền mạch thông qua chính sách bảo mật của Cloud Armor mà không phải theo dõi sự thay đổi các IP nguồn của nhà cung cấp. Danh sách IP được cập nhật bởi các đồng bộ thông thường với API của các nhà cung cấp dịch vụ trung gian.

Quy tắc WAF mới: RFI, LFI, RCE

Là một phần trong nỗ lực của Google Cloud nhằm mở rộng phạm vị các quy tắc WAF được cấu hình trước cho tất cả các khách hàng của Cloud Armor, bản beta của các quy tắc RFI, LFI và RCE hiện đã được phát hành. Nhìn chung, các quy tắc này bao gồm chữ ký (signatures) tiêu chuẩn từ Bộ quy tắc cốt lõi ModSecurity (ModSecurity core Rule Set) sẽ giảm thiểu các lỗ hổng của lớp Command Injection, đồng thời tăng cường độ bao phủ bên ngoài (out-of-the-box coverage) cho top 10 lỗ hổng của OWASP.

New WAF rules.jpg

Giống như các quy tắc WAF được cấu hình trước, các quy tắc mới chứa hàng loạt các chữ ký phụ (sub-signatures) và có thể được điều chỉnh dựa trên cơ sở các ứng dụng của người dùng cuối. Như thường lệ, các hoạt động từ xa bao gồm ghi nhận log sau mỗi yêu cầu (per-request logging), ghi nhận số liệu yêu cầu thời gian thực (near real-time request volume metrics) và kết quả bảo mật tương quan (correlated security findings) sẽ lần lượt được gửi đến Nhật ký đám mây (Cloud Logging), Giám sát đám mây (Cloud Monitoring) và Trung tâm chỉ huy bảo mật đám mây (Cloud Security Command Center).

Kết luận

Google Cloud Armor sẽ hỗ trợ giảm thiểu các công việc bảo mật ứng dụng cho khách hàng. Các tính năng và dịch vụ mới được công bố đã đơn giản hóa việc triển khai ứng dụng của khách hàng và giảm chi phí hoạt động khi tích hợp với các đối tác và nhà cung cấp dịch vụ đầu nguồn.

Nguồn: Google Cloud Blog