Google cloud platform 在云运行时使用云盔甲，避免绕过_Google Cloud Platform_Google Cloud Run_Google Cloud Load Balancer_Google Cloud Armor

Google cloud platform 在云运行时使用云盔甲，避免绕过

google-cloud-platform

Google cloud platform 在云运行时使用云盔甲，避免绕过,google-cloud-platform,google-cloud-run,google-cloud-load-balancer,google-cloud-armor,Google Cloud Platform,Google Cloud Run,Google Cloud Load Balancer,Google Cloud Armor,引用虽然可以为具有云运行（完全管理）、云功能和应用程序引擎后端的后端服务配置Google Cloud Armor，但与此功能相关的某些限制，尤其是云运行（完全管理）和应用程序引擎。有权访问Google Cloud分配给这些服务的默认URL的用户可以绕过负载平衡器，直接访问服务URL，从而绕过任何已配置的Google Cloud Armor安全策略什么是避免攻击者绕过云防护的最佳方法，目标是云运行URL（*.Run.app）通常情况下，我会让云运行只由服务帐户调用，但云负载平衡器不能使用服务

引用

虽然可以为具有云运行（完全管理）、云功能和应用程序引擎后端的后端服务配置Google Cloud Armor，但与此功能相关的某些限制，尤其是云运行（完全管理）和应用程序引擎。有权访问Google Cloud分配给这些服务的默认URL的用户可以绕过负载平衡器，直接访问服务URL，从而绕过任何已配置的Google Cloud Armor安全策略

什么是避免攻击者绕过云防护的最佳方法，目标是云运行URL（

*.Run.app

）

通常情况下，我会让云运行只由服务帐户调用，但云负载平衡器不能使用服务帐户调用云运行。另一种方法是将云负载平衡器配置为在头中使用令牌，并将在云运行中运行的应用程序配置为仅接受具有正确头/令牌的呼叫，但我不希望在应用程序中这样做。

您应该将服务的入口限制为“内部和负载平衡”要禁用从默认域的访问并仅允许来自云装甲的流量，请执行以下操作：

gcloud beta run services update SERVICE --ingress internal-and-cloud-load-balancing

谢谢，最好更新文档，指定您现在可以（尽管是Beta版）配置云运行入口。我还注意到，google beta Terraform提供商似乎还没有提供这一功能。