1. Введение
Здравствуйте! Добро пожаловать на практическое занятие по настройке правил WAF в Cloud Armor!
Google Cloud Armor — это решение Google для обеспечения безопасности корпоративных периферийных сетей, предоставляющее защиту от DDoS-атак, принудительное применение правил WAF и адаптивное управление в масштабе предприятия.
Cloud Armor расширила наборы предварительно настроенных правил WAF для защиты от 10 наиболее распространенных уязвимостей безопасности веб-приложений по версии OWASP . Эти наборы правил основаны на базовом наборе правил OWASP Modsecurity версии 3.0.2 и предназначены для защиты от наиболее распространенных угроз безопасности веб-приложений, включая локальное включение файлов (lfi), удаленное включение файлов (rfi), удаленное выполнение кода (rce) и многие другие.
В этом практическом занятии вы узнаете, как снизить риски, связанные с распространенными уязвимостями, используя правила WAF от Google Cloud Armor.
Что вы узнаете
- Как настроить группу экземпляров и глобальный балансировщик нагрузки для поддержки сервиса.
- Как настроить политики безопасности Cloud Armor с предварительно настроенными правилами WAF для защиты от LFI, RCE, сканеров, атак на протоколы и фиксации сессий.
- Как проверить, что Cloud Armor отразил атаку, проанализировав журналы событий.
Что вам понадобится
- Базовые знания Google Compute Engine ( практический семинар )
- Базовые знания сетевых технологий и протокола TCP/IP.
- Базовые знания командной строки Unix/Linux.
- Полезно предварительно ознакомиться с основами работы с сетями в GCP, в частности, с разделом «Сетевые возможности в Google Cloud».
- (Необязательно) Пройдите лабораторную работу Cloudnet20 Cloud Armor , чтобы научиться защищать рабочие нагрузки от SQL-инъекций, правил на основе IP-адресов и географических координат.
Топология и пример использования Codelab
Рисунок 1 — Топология кода в Codelab по правилам WAF Cloud Armor
Приложение OWASP Juice Shop полезно для обучения и повышения осведомленности в области безопасности, поскольку оно содержит экземпляры каждой из 10 самых распространенных уязвимостей безопасности OWASP — по своей сути. Злоумышленник может использовать его для тестирования. В этом практическом занятии мы будем использовать его для демонстрации некоторых атак на приложение, а затем защитим его с помощью правил брандмауэра Cloud Armor. Приложение будет размещено на Google Cloud Load Balancer, к которому будут применены политика и правила безопасности Cloud Armor. Оно будет доступно в общедоступном интернете, поэтому будет доступно практически из любой точки, и защищено с помощью правил брандмауэра Cloud Armor и VPC.
2. Настройка и требования
Настройка среды для самостоятельного обучения
- Войдите в Cloud Console и создайте новый проект или используйте существующий. Если у вас еще нет учетной записи Gmail или Google Workspace, вам необходимо ее создать .
Запомните идентификатор проекта (Project ID) — уникальное имя для всех проектов Google Cloud (указанное выше имя уже занято и вам не подойдёт, извините!). В дальнейшем в этом практическом занятии оно будет обозначаться как PROJECT_ID .
- Далее вам потребуется включить оплату в Cloud Console, чтобы использовать ресурсы Google Cloud.
Выполнение этого практического задания не должно стоить дорого, если вообще что-либо. Обязательно следуйте инструкциям в разделе «Очистка», где указано, как отключить ресурсы, чтобы избежать дополнительных расходов после завершения этого урока. Новые пользователи Google Cloud имеют право на бесплатную пробную версию стоимостью 300 долларов США .
Запустить Cloud Shell
Хотя Google Cloud можно управлять удаленно с ноутбука, в этом практическом занятии вы будете использовать Google Cloud Shell — среду командной строки, работающую в облаке.
В консоли GCP щелкните значок Cloud Shell на панели инструментов в правом верхнем углу:
Подготовка и подключение к среде займут всего несколько минут. После завершения вы должны увидеть что-то подобное:
Эта виртуальная машина оснащена всеми необходимыми инструментами разработки. Она предоставляет постоянный домашний каталог размером 5 ГБ и работает в облаке Google, что значительно повышает производительность сети и аутентификацию. Всю работу в этой лаборатории можно выполнять с помощью обычного браузера.
Прежде чем начать
Внутри Cloud Shell убедитесь, что идентификатор вашего проекта указан правильно.
gcloud config list project gcloud config set project [YOUR-PROJECT-NAME] PROJECT_ID=[YOUR-PROJECT-NAME] echo $PROJECT_ID
Включить API
Включите все необходимые службы
gcloud services enable compute.googleapis.com gcloud services enable logging.googleapis.com gcloud services enable monitoring.googleapis.com
3. Создайте сеть VPC.
Создайте сеть VPC.
Из Cloud Shell
gcloud compute networks create ca-lab-vpc --subnet-mode custom
Выход
Created NAME SUBNET_MODE BGP_ROUTING_MODE IPV4_RANGE GATEWAY_IPV4 ca-lab-vpc CUSTOM REGIONAL
Создайте подсеть
Из Cloud Shell
gcloud compute networks subnets create ca-lab-subnet \
--network ca-lab-vpc --range 10.0.0.0/24 --region us-central1
Выход
Created NAME REGION NETWORK RANGE ca-lab-subnet us-central1 ca-lab-vpc 10.0.0.0/24
Создание правил брандмауэра VPC
После создания VPC и подсети необходимо настроить несколько правил брандмауэра. Первое правило будет использоваться для разрешения доступа всех IP-адресов к внешнему IP-адресу веб-сайта тестового приложения через порт 3000. Второе правило будет использоваться для разрешения проверок работоспособности с исходного IP-адреса балансировщиков нагрузки .
Из Cloud Shell
gcloud compute firewall-rules create allow-js-site --allow tcp:3000 --network ca-lab-vpc
Выход
Creating firewall...done. NAME NETWORK DIRECTION PRIORITY ALLOW DENY DISABLED allow-js-site ca-lab-vpc INGRESS 1000 tcp:3000 False
Создайте правила брандмауэра, разрешающие проверки работоспособности из диапазонов проверок работоспособности Google.
Из Cloud Shell
gcloud compute firewall-rules create allow-health-check \
--network=ca-lab-vpc \
--action=allow \
--direction=ingress \
--source-ranges=130.211.0.0/22,35.191.0.0/16 \
--target-tags=allow-healthcheck \
--rules=tcp
Выход
Creating firewall...done. NAME NETWORK DIRECTION PRIORITY ALLOW DENY DISABLED allow-health-check ca-lab-vpc INGRESS 1000 tcp False
4. Настройте тестовое приложение.
Следующий шаг — создание тестового приложения, в данном случае веб-сервера OWASP Juice Shop.
При создании вычислительного экземпляра мы используем образ контейнера, чтобы гарантировать наличие на сервере необходимых служб. Этот сервер будет развернут в us-central1-c и получит сетевой тег, позволяющий проводить проверки работоспособности.
Создайте приложение OWASP Juice Shop.
Используйте известное приложение OWASP Juice Shop с открытым исходным кодом в качестве уязвимого приложения. Вы также можете использовать это приложение для прохождения проверок безопасности OWASP через их веб-сайт .
Из Cloud Shell
gcloud compute instances create-with-container owasp-juice-shop-app --container-image bkimminich/juice-shop \
--network ca-lab-vpc \
--subnet ca-lab-subnet \
--private-network-ip=10.0.0.3 \
--machine-type n1-standard-2 \
--zone us-central1-c \
--tags allow-healthcheck
Выход
NAME ZONE MACHINE_TYPE PREEMPTIBLE owasp-juice-shop-app us-central1-c n1-standard-2 INTERNAL_IP EXTERNAL_IP STATUS 10.0.0.3 <public IP> RUNNING
Настройка компонента балансировщика нагрузки в облаке: группа экземпляров
Создайте группу неуправляемых экземпляров.
Из Cloud Shell
gcloud compute instance-groups unmanaged create juice-shop-group \
--zone=us-central1-c
Выход
NAME LOCATION SCOPE NETWORK MANAGED INSTANCES juice-shop-group us-central1-c zone 0
Добавьте экземпляр Juice Shop GCE в группу неуправляемых экземпляров.
Из Cloud Shell
gcloud compute instance-groups unmanaged add-instances juice-shop-group \
--zone=us-central1-c \
--instances=owasp-juice-shop-app
Выход
Updated [https://www.googleapis.com/compute/v1/projects/<project name>/zones/us-central1-c/instanceGroups/juice-shop-group].
Укажите в качестве именованного порта порт приложения Juice Shop.
Из Cloud Shell
gcloud compute instance-groups unmanaged set-named-ports \ juice-shop-group \ --named-ports=http:3000 \ --zone=us-central1-c
Выход
Updated [https://www.googleapis.com/compute/v1/projects/<project name>/zones/us-central1-c/instanceGroups/juice-shop-group].
Теперь, когда вы создали группу неуправляемых экземпляров, следующим шагом будет создание проверки работоспособности, серверной службы, карты URL-адресов, целевого прокси-сервера и правила переадресации.
Настройка компонента облачного балансировщика нагрузки: проверка работоспособности.
Создайте проверку работоспособности для сервисного порта Juice Shop.
Из Cloud Shell
gcloud compute health-checks create tcp tcp-port-3000 \
--port 3000
Выход
Created NAME PROTOCOL tcp-port-3000 TCP
Настройка компонента облачного балансировщика нагрузки: серверная служба
Создайте параметры серверной службы.
Из Cloud Shell
gcloud compute backend-services create juice-shop-backend \
--protocol HTTP \
--port-name http \
--health-checks tcp-port-3000 \
--enable-logging \
--global
Выход
NAME BACKENDS PROTOCOL juice-shop-backend HTTP
Добавьте группу экземпляров Juice Shop в серверную службу.
Из Cloud Shell
gcloud compute backend-services add-backend juice-shop-backend \
--instance-group=juice-shop-group \
--instance-group-zone=us-central1-c \
--global
Выход
Updated [https://www.googleapis.com/compute/v1/projects/cythom-host1/global/backendServices/juice-shop-backend].
Настройка компонента балансировщика нагрузки Cloud: сопоставление URL-адресов.
Создайте карту URL-адресов для отправки в бэкэнд.
Из Cloud Shell
gcloud compute url-maps create juice-shop-loadbalancer \
--default-service juice-shop-backend
Выход
NAME DEFAULT_SERVICE juice-shop-loadbalancer backendServices/juice-shop-backend
Настройка компонента балансировщика нагрузки Cloud: целевой прокси
Создайте целевой прокси-сервер для отображения карты URL-адресов.
Из Cloud Shell
gcloud compute target-http-proxies create juice-shop-proxy \
--url-map juice-shop-loadbalancer
Выход
NAME URL_MAP juice-shop-proxy juice-shop-loadbalancer
Настройка компонента облачного балансировщика нагрузки: правило переадресации
Создайте правило пересылки для балансировщика нагрузки.
Из Cloud Shell
gcloud compute forwarding-rules create juice-shop-rule \
--global \
--target-http-proxy=juice-shop-proxy \
--ports=80
Выход
Created [https://www.googleapis.com/compute/v1/projects/cythom-host1/global/forwardingRules/juice-shop-rule].
Убедитесь, что сервис Juice Shop работает.
Из Cloud Shell
PUBLIC_SVC_IP="$(gcloud compute forwarding-rules describe juice-shop-rule --global --format="value(IPAddress)")"
Из Cloud Shell
echo $PUBLIC_SVC_IP
Выход
<public VIP of service>
Подождите несколько минут, прежде чем продолжить, иначе вы можете получить ответ HTTP/1.1 404 Not Found.
Из Cloud Shell
curl -Ii http://$PUBLIC_SVC_IP
Выход
HTTP/1.1 200 OK <...>
Вы также можете перейти в браузер, чтобы посмотреть раздел «Магазин соков»!
Теперь мы готовы изучить уязвимости Juice Shop и способы защиты от них с помощью наборов правил WAF Cloud Armor.
5. Продемонстрировать известные уязвимости
В целях экономии времени мы продемонстрируем состояния до и после распространения правил Cloud Armor WAF в сжатом виде.
Выявлена уязвимость LFI: обход пути.
Включение локальных файлов (Local File Inclusion) — это процесс отслеживания файлов, присутствующих на сервере, путем использования отсутствия проверки входных данных в запросе для потенциального раскрытия конфиденциальных данных. Ниже просто показано, что обход пути возможен. В браузере или с помощью curl отследите существующий путь, обслуживаемый приложением.
Из Cloud Shell
curl -Ii http://$PUBLIC_SVC_IP/ftp
Выход
HTTP/1.1 200 OK <...>
Обратите внимание, что обход пути тоже работает:
Из Cloud Shell
curl -Ii http://$PUBLIC_SVC_IP/ftp/../
Выход
HTTP/1.1 200 OK <...>
Обнаружена уязвимость RCE.
Удаленное выполнение кода включает в себя различные сценарии внедрения команд UNIX и Windows, позволяющие злоумышленникам выполнять команды операционной системы, обычно доступные только привилегированным пользователям. Ниже показано простое выполнение команды ls с передачей соответствующего параметра.
Из Cloud Shell
curl -Ii http://$PUBLIC_SVC_IP/ftp?doc=/bin/ls
Выход
HTTP/1.1 200 OK <...>
Вы можете удалить флаги curl, чтобы увидеть полный вывод.
Проверьте доступ известного сканера.
Как коммерческие, так и открытые приложения для сканирования используются для различных целей, включая поиск уязвимостей. Эти инструменты используют общеизвестные заголовки User-Agent и другие заголовки. Обратите внимание, что curl работает с общеизвестным заголовком User-Agent:
Из Cloud Shell
curl -Ii http://$PUBLIC_SVC_IP -H "User-Agent: blackwidow"
Выход
HTTP/1.1 200 OK <...>
Наблюдайте за атакой на протокол: разделение HTTP-трафика.
Некоторые веб-приложения используют ввод данных от пользователя для генерации заголовков в ответах. Если приложение не фильтрует входные данные должным образом, злоумышленник может потенциально испортить входной параметр последовательностью %0d%0a (последовательность CRLF, используемая для разделения строк). В этом случае ответ может быть интерпретирован как два отдельных ответа любым обработчиком, например, промежуточным прокси-сервером, что может привести к предоставлению ложной информации в последующих запросах. Вставка последовательности %0d%0a во входной параметр может привести к отображению вводящей в заблуждение страницы.
Из Cloud Shell
curl -Ii "http://$PUBLIC_SVC_IP/index.html?foo=advanced%0d%0aContent-Length:%200%0d%0a%0d%0aHTTP/1.1%20200%20OK%0d%0aContent-Type:%20text/html%0d%0aContent-Length:%2035%0d%0a%0d%0a<html>Sorry,%20System%20Down</html>"
Выход
HTTP/1.1 200 OK <...>
Наблюдайте за фиксацией взгляда во время сеанса.
Из Cloud Shell
curl -Ii http://$PUBLIC_SVC_IP -H session_id=X
Выход
HTTP/1.1 200 OK <...>
6. Определите правила WAF для Cloud Armor.
Перечислите предварительно настроенные правила WAF:
Из Cloud Shell
gcloud compute security-policies list-preconfigured-expression-sets
Выход
EXPRESSION_SET
Sqli-canary
RULE_ID
owasp-crs-v030001-id942110-sqli
owasp-crs-v030001-id942120-sqli
<...>
Создайте политику безопасности Cloud Armor.
Из Cloud Shell:
gcloud compute security-policies create block-with-modsec-crs \
--description "Block with OWASP ModSecurity CRS"
Обновите правило по умолчанию в политике безопасности.
Обратите внимание, что приоритет правила по умолчанию имеет числовое значение 2147483647.
Из Cloud Shell:
gcloud compute security-policies rules update 2147483647 \
--security-policy block-with-modsec-crs \
--action "deny-403"
Поскольку по умолчанию установлено действие «запретить», мы должны разрешить доступ с вашего IP-адреса. Пожалуйста, найдите свой публичный IP-адрес (curl, ipmonkey, whatismyip и т. д.).
Из Cloud Shell:
MY_IP=$(curl ifconfig.me)
Добавьте первое правило, разрешающее доступ с вашего IP-адреса (ВСТАВЬТЕ СВОЙ IP-АДРЕС НИЖЕ).
Из Cloud Shell:
gcloud compute security-policies rules create 10000 \
--security-policy block-with-modsec-crs \
--description "allow traffic from my IP" \
--src-ip-ranges "$MY_IP/32" \
--action "allow"
Обновите политику безопасности, чтобы заблокировать атаки LFI.
Примените основной набор правил OWASP ModSecurity, который предотвращает обход путей для включения локальных файлов.
Из Cloud Shell:
gcloud compute security-policies rules create 9000 \
--security-policy block-with-modsec-crs \
--description "block local file inclusion" \
--expression "evaluatePreconfiguredExpr('lfi-stable')" \
--action deny-403
Обновите политику безопасности, чтобы заблокировать удаленное выполнение кода (RCE).
В соответствии с основным набором правил OWASP ModSecurity, применяются правила, которые отслеживают удаленное выполнение кода, включая внедрение команд. Типичные команды операционной системы обнаруживаются и блокируются.
Из Cloud Shell:
gcloud compute security-policies rules create 9001 \
--security-policy block-with-modsec-crs \
--description "block rce attacks" \
--expression "evaluatePreconfiguredExpr('rce-stable')" \
--action deny-403
Обновите политику безопасности, чтобы заблокировать сканеры безопасности.
Примените основной набор правил OWASP ModSecurity для блокировки известных сканеров безопасности, HTTP-клиентов, использующих скрипты, и веб-краулеров.
Из Cloud Shell:
gcloud compute security-policies rules create 9002 \
--security-policy block-with-modsec-crs \
--description "block scanners" \
--expression "evaluatePreconfiguredExpr('scannerdetection-stable')" \
--action deny-403
Обновите политику безопасности, чтобы блокировать атаки по протоколу.
В соответствии с основным набором правил OWASP ModSecurity, следует применять правила, которые отслеживают символы возврата каретки (CR) %0d и перевода строки (LF) %0a, а также другие типы атак на протокол, такие как подмена HTTP-запросов (HTTP Request Smuggling).
Из Cloud Shell:
gcloud compute security-policies rules create 9003 \
--security-policy block-with-modsec-crs \
--description "block protocol attacks" \
--expression "evaluatePreconfiguredExpr('protocolattack-stable')" \
--action deny-403
Обновите политику безопасности, чтобы заблокировать фиксацию сессии.
В соответствии с основным набором правил OWASP ModSecurity, примените правила, которые...
Из Cloud Shell:
gcloud compute security-policies rules create 9004 \
--security-policy block-with-modsec-crs \
--description "block session fixation attacks" \
--expression "evaluatePreconfiguredExpr('sessionfixation-stable')" \
--action deny-403
Привяжите политику безопасности к серверной части.
Из Cloud Shell:
gcloud compute backend-services update juice-shop-backend \
--security-policy block-with-modsec-crs \
--global
Для распространения правил может потребоваться некоторое время (но не более 10 минут). Убедившись, что прошло достаточно времени, проверьте ранее выявленные уязвимости, чтобы подтвердить применение правил Cloud Armor WAF на следующем этапе.
7. Проверьте работу защиты Cloud Armor с помощью набора основных правил OWASP ModSecurity.
Убедитесь, что уязвимость LFI устранена.
Из Cloud Shell
curl -Ii http://$PUBLIC_SVC_IP/?a=../
Выход
HTTP/1.1 403 Forbidden <...>
Убедитесь, что атака удаленного выполнения (RCE) предотвращена.
Из Cloud Shell
curl -Ii http://$PUBLIC_SVC_IP/ftp?doc=/bin/ls
Выход
HTTP/1.1 403 Forbidden <..>
Подтвердите обнаружение известного сканера.
Из Cloud Shell
curl -Ii http://$PUBLIC_SVC_IP -H "User-Agent: blackwidow"
Выход
HTTP/1.1 403 Forbidden <..>
Подтвердите, что атака на протокол предотвращена.
Согласно набору основных правил OWASP ModSecurity версии 3.0.2, атака на протокол предотвращается следующим образом:
Из Cloud Shell
curl -Ii "http://$PUBLIC_SVC_IP/index.html?foo=advanced%0d%0aContent-Length:%200%0d%0a%0d%0aHTTP/1.1%20200%20OK%0d%0aContent-Type:%20text/html%0d%0aContent-Length:%2035%0d%0a%0d%0a<html>Sorry,%20System%20Down</html>"
Выход
HTTP/1.1 403 Forbidden <..>
Подтвердите, что попытки фиксации взгляда заблокированы.
Из Cloud Shell
curl -Ii http://$PUBLIC_SVC_IP/?session_id=a
Выход
HTTP/1.1 403 Forbidden <..>
8. Ознакомьтесь с правилами безопасности Cloud Armor.
Теперь, когда мы создали политику безопасности, давайте посмотрим, какие именно правила были настроены.
Правила оцениваются по приоритету: сначала оцениваются правила с меньшими номерами, и после срабатывания обработки обработка правил с более высокими значениями приоритета не продолжается.
- Приоритет 9000 — Блокировка LFI (включение локальных файлов)
- Приоритет 9001 — Блокировка RCE (удаленное выполнение кода/внедрение команд)
- Приоритет 9002 — Обнаружены сканеры блоков
- Приоритет 9003 — Блокировка атак на протоколы, таких как разделение HTTP-трафика и подмена HTTP-трафика.
- Приоритет 9004 — Атаки с блокировкой сессии.
- Приоритет 10000 — Разрешите доступ к веб-сайту с вашего IP-адреса.
- Приоритет по умолчанию - Запретить.
*Обратите внимание, что правило «разрешить ваш IP-адрес» настроено с наивысшим приоритетом для обеспечения доступа к сайту, однако блокирует любые атаки.
9. Просмотрите журналы политик безопасности Cloud Armor.
На странице консоли Cloud Armor вы можете просмотреть подробную информацию о политике безопасности, перейдя на вкладку Logs , а затем по ссылке « View policy logs , чтобы попасть на страницу ведения журналов Cloud. Фильтрация будет выполнена автоматически на основе интересующей вас политики безопасности, например, resource.type:(http_load_balancer) AND jsonPayload.enforcedSecurityPolicy.name:(block-with-modsec-crs) . Обратите внимание на коды ошибок 403 и разверните подробную информацию в журнале, чтобы увидеть имя применяемой политики безопасности, значение соответствующего поля и далее предварительно настроенные идентификаторы выражений (или идентификатор сигнатуры). На следующих скриншотах показаны примеры журналов для применяемых политик безопасности, настроенных в этом практическом задании.
Журнал LFI
Журнал RCE
Журнал обнаружения сканера
Журнал атак по протоколу
Журнал фиксации взгляда во время сеанса
10. Уборка лаборатории
Теперь, когда лабораторная работа завершена, приведите в порядок имеющиеся ресурсы.
Выполните эти команды, чтобы удалить политику безопасности Cloud Armor, балансировщик нагрузки, экземпляры, правила брандмауэра и сеть VPC.
Удалите политику безопасности Cloud Armor из серверной части.
gcloud -q compute backend-services update juice-shop-backend --security-policy "" --global
Удалите политику безопасности Cloud Armor.
Удаление политики безопасности автоматически приведет к удалению связанных с ней правил.
gcloud -q compute security-policies delete block-with-modsec-crs
Удалите ресурсы балансировщика нагрузки.
К числу ресурсов балансировщика нагрузки, подлежащих удалению, относятся правило переадресации, целевые HTTP-прокси, карты URL, бэкэнд, проверки работоспособности и группа экземпляров.
gcloud -q compute forwarding-rules delete juice-shop-rule --global
gcloud -q compute target-http-proxies delete juice-shop-proxy
gcloud -q compute url-maps delete juice-shop-loadbalancer
gcloud -q compute backend-services delete juice-shop-backend \
--global
gcloud -q compute health-checks delete tcp-port-3000
gcloud -q compute instance-groups unmanaged delete juice-shop-group --zone=us-central1-c
Удалите экземпляр
gcloud -q compute instances delete owasp-juice-shop-app --zone us-central1-c
Удалите правила брандмауэра, подсети и VPC.
gcloud -q compute firewall-rules delete allow-health-check gcloud -q compute firewall-rules delete allow-js-site gcloud -q compute networks subnets delete ca-lab-subnet --region us-central1 gcloud -q compute networks delete ca-lab-vpc
11. Поздравляем!
Поздравляем с завершением практического занятия по настройке правил WAF в Cloud Armor!
Что мы рассмотрели
- Как настроить группу экземпляров и глобальный балансировщик нагрузки Cloud Load Balancer
- Как настроить политики безопасности Cloud Armor с предварительно настроенными правилами WAF для защиты от LFI, RCE, сканеров, атак на протоколы и фиксации сессий.
- Как подтвердить с помощью логов, что Cloud Armor предотвратил некоторые из 10 самых распространенных атак по версии OWASP.
Следующие шаги
- Защитите свое приложение от 10 самых распространенных уязвимостей OWASP с помощью предварительно настроенных правил WAF в Cloud Armor.
- Доработайте правила на основе уровней чувствительности.
- Для более точного обеспечения безопасности используйте справочник по языку пользовательских правил .