Abr*_*ham 3 google-cloud-platform google-cloud-armor google-cloud-load-balancer google-cloud-run
引用https://cloud.google.com/load-balancing/docs/https/setting-up-https-serverless#enabling
虽然可以使用 Cloud Run(全托管)、Cloud Functions 和 App Engine 后端为后端服务配置 Google Cloud Armor,但此功能存在某些限制,尤其是 Cloud Run(全托管)和 App Engine。有权访问由 Google Cloud 分配给这些服务的默认网址的用户可以绕过负载均衡器并直接转到服务网址,从而绕过任何已配置的 Google Cloud Armor 安全政策。
避免针对 Cloud Run URL ( *.run.app)的攻击者绕过 Cloud Armor 的最佳方法是什么?
通常我会让 Cloud Run 只能由服务帐户调用,但 Cloud Load Balancer 不能使用服务帐户调用 Cloud Run。另一种方法是将 Cloud Load Balancer 配置为在标头中使用令牌,并将在 Cloud Run 中运行的应用程序配置为仅接受具有正确标头/令牌的调用,但我不想在应用程序中这样做。
您应该将服务的入口限制为“内部和负载平衡”,以禁用来自默认域的访问,并且只允许来自 Cloud Armor 的流量:
gcloud beta run services update SERVICE --ingress internal-and-cloud-load-balancing
| 归档时间: |
|
| 查看次数: |
479 次 |
| 最近记录: |