jueves, 19 de abril de 2018

Defensa en Google Cloud "Coud Armour"



Hoy en google cloud en español hablamos de un nuevo servicio de seguridad de google Cloud: hablamos de  Cloud Armour, un nuevo servicio de seguridad DDoS y aplicaciones. Se basa en las mismas tecnologías y la misma infraestructura global que utiliza para proteger los servicios de Google, como Search, Gmail y YouTube.

Expuestos a toda la net.

Los expertos en seguridad dentro de google están todo el día para defender los servicios principales de Google de una amplia variedad de ataques maliciosos. Las métricas de los ataques DDoS dirigidos a los servicios de Google en la última década revelan que los volúmenes de ataque han aumentado exponencialmente en varios ejes: bits por segundo (bps), paquetes por segundo (pps) y HTTP (S) por segundo (qps).

"Absorber los ataques más grandes requiere el ancho de banda necesario para ver medio millón de videos de YouTube al mismo tiempo ... en HD".
- Dr. Damian Menscher, Defensa DDoS, Google

Para defenderse de esta amenaza, en google esta implementada una infraestructura y sistemas de seguridad para mitigar los ataques dirigidos a sus  servicios, y esta misma infraestructura respalda a Google Cloud.
Con global HTTP load balancing, el primer servicio de Google Cloud Platform (GCP) compatible con Cloud Armor, obtiene una defensa integrada contra los ataques DDoS contra la infraestructura. No se requiere ninguna configuración adicional, aparte de configurar el equilibrio de carga.

La defensa es un esfuerzo de colaboración.
"Trabajamos en estrecha colaboración con varios grupos de la industria para rastrear las amenazas emergentes, lo que nos permite protegernos a nosotros mismos y a los demás. Además, recibimos krebsonsecurity.com y otros objetivos frecuentes para asegurar que estamos entre los primeros en ver nuevos métodos de ataque. Esto nos permite diseñar defensas y desmantelar botnets antes de que tengan la oportunidad de crecer ".
- Dr. Damian Menscher, Defensa DDoS, Google

Compartir recursos entre Google y Google Cloud Services permite absorber fácilmente los ataques más grandes y también garantizar que un ataque a un cliente no afecte a otros.

Cloud Armor

Cloud Armour funciona en conjunto con el Load balancing HTTP (S) global y le permite desplegar y personalizar defensas para sus aplicaciones orientadas a Internet. De forma similar al equilibrio de carga HTTP (S) global, Cloud Armor se entrega al borde de la red de Google, lo que ayuda a bloquear ataques cerca de su origen. Se basa en tres pilares: un marco de políticas, un lenguaje de reglas completo y una infraestructura gestionada de forma global.

"Cloud Armor es un gran ejemplo de cómo Google continúa innovando en su estrategia de seguridad generalizada de defensa en profundidad, brindando una capa de control de seguridad que se puede gestionar desde el punto de vista de la red".
- Matt Hite, Ingeniero de redes, Evernote

Funciones y funcionalidad de Cloud Armor

Con Cloud Armor, puedes:


  • Defiende tus servicios contra los ataques DDoS de infraestructura a través del Load-Balancing HTTP (S)
  • Configurar políticas de seguridad, especificar reglas y orden de evaluación para estas reglas
  • Permitir, bloquear, previsualizar y registrar el tráfico
  • Implementar listas blancas y listas negras de IP para tráfico IPv4 e IPv6
  • Crea reglas personalizadas utilizando un lenguaje de reglas enriquecido para hacer coincidir el tráfico en función de cualquier combinación de parámetros de solicitud de capa 3 y HTTP (S) y permita o bloquee este tráfico (en alfa)
  • Permite el control basado en la geolocalización y la defensa basada en aplicaciones para SQL Injection (SQLi) y cross-site Scripting (XSS) ataques (en alfa)

Con la base anterior en su lugar, esperamos ampliar las capacidades de Cloud Armor en los próximos meses.

Framework de seguridad de Cloud Armor

La configuración de Cloud Armor está gestionada por políticas de seguridad. Para implementar Cloud Armor, debe crear una política de seguridad, agregar reglas y luego adjuntar esta política a uno o más servicios backend de equilibrio de carga HTTP (S).

Una política de seguridad de Cloud Armor se compone de una o más reglas, donde cada regla
 especifica los parámetros a buscar en el tráfico, la acción a seguir si el tráfico coincide con estos parámetros y un valor de prioridad que determina la posición de esta regla en el jerarquía política


Cloud Armor le permite crear múltiples políticas por proyecto. Puede personalizar la defensa de un subconjunto de servicios de back-end creando una política específica para estos servicios.


A continuación, mostramos cómo configurar listas negras de IP y listas blancas usando Cloud Armor:


Cloud Armor Rules Language (en alfa)

El lenguaje de reglas de Cloud Armor le permite personalizar las defensas para sus requisitos concretos. A menudo, los atacantes usan múltiples patrones conocidos y personalizados para intentar tirar el servicio. Las reglas personalizadas le permiten configurar patrones de ataque específicos para buscar en el tráfico y luego bloquear este tráfico a escala.

A continuación, se incluye un ejemplo de una regla personalizada para defenderse de un ataque que se considera que proviene de EE. UU. Y que contiene una cookie y un agente de usuario específicos.
Configuración usando gCloud CLI:



Configuración usando consola:


Para los ataques más comunes que reconocen la aplicación, Cloud Armor proporciona dos reglas preconfiguradas: defensas entre sitios ('xss-canary') y SQL Injection ('sqli-canary'). En el siguiente ejemplo, configuramos una regla de defensa de inyección SQL en la política "sql-injection-dev" utilizando gCloud CLI:


A continuación, puede ver la regla de defensa SQLi, junto con otras reglas, en la política:


Puede solicitar el acceso alfa a estas características registrándose mediante este formulario.

Visibilidad en el tráfico bloqueado y permitido

Puede ver el tráfico permitido y bloqueado en Stackdriver como se muestra a continuación:


Ecosistema Partner

En google cuenta con una cantidad de contactos de proveedores de seguridad que ofrecen soluciones que complementan las capacidades de Cloud Armor. Puede usarlos junto con el loadbalancing HTTP (S) global y Cloud Armor para crear una solución de seguridad integral. Tienes mas información aqui.

Empiece hoy

Cloud Armor es para todos los que implementan servicios orientados a Internet en Google Cloud. Puedes obtener más información visitando el sitio web Cloud Armor. Ademas ¡Esperam sus comentarios!