Men-deploy aturan yang disarankan Perlindungan Adaptif secara otomatis

Dokumen ini memberikan langkah-langkah konfigurasi untuk men-deploy aturan yang disarankan yang dihasilkan Adaptive Protection secara otomatis. Untuk mengaktifkan deployment aturan otomatis, Anda harus membuat aturan placeholder dengan nilai berikut:

  • Ekspresi pencocokan: evaluateAdaptiveProtectionAutoDeploy()
  • Tindakan: Apa pun
  • Prioritas: Apa pun. Sebaiknya tetapkan aturan izin eksplisit dengan prioritas yang lebih tinggi daripada aturan lainnya untuk traffic yang sah dan memiliki prioritas tinggi.

Jika menggunakan proxy upstream di depan Load Balancer Aplikasi eksternal, seperti CDN pihak ketiga, Anda dapat mengonfigurasi aturan placeholder untuk mencocokkan permintaan berdasarkan alamat IP klien asli dari header atau header yang ditentukan. Untuk menggunakan fitur pratinjau ini, konfigurasikan opsi userIpRequestHeaders[] di kolom advancedOptionsConfig. Untuk informasi selengkapnya, lihat referensi resource ComputeSecurityPolicy.

Contoh aturan placeholder

Perintah berikut adalah contoh aturan placeholder untuk kebijakan keamanan yang disebut POLICY_NAME, yang masing-masing menampilkan tindakan aturan yang berbeda. Anda dapat menambahkan aturan ini ke kebijakan keamanan yang ada atau membuat kebijakan baru. Untuk mengetahui informasi selengkapnya tentang cara membuat kebijakan keamanan, lihat Mengonfigurasi kebijakan keamanan Google Cloud Armor.

Memblokir traffic berbahaya

Contoh aturan ini dievaluasi menjadi true untuk permintaan yang diidentifikasi Adaptive Protection sebagai traffic serangan. Google Cloud Armor menerapkan tindakan pemblokiran ke permintaan penyerang:

gcloud compute security-policies rules create 1000 \
    --security-policy POLICY_NAME \
    --expression "evaluateAdaptiveProtectionAutoDeploy()" \
    --action deny-403

Mengalihkan traffic berbahaya ke tantangan reCAPTCHA

Contoh aturan ini mengalihkan traffic yang diidentifikasi Adaptive Protection sebagai malicious ke verifikasi reCAPTCHA:

gcloud compute security-policies rules create 1000 \
    --security-policy POLICY_NAME \
    --expression "evaluateAdaptiveProtectionAutoDeploy()" \
    --action redirect \
    --redirect-type google-recaptcha

Membatasi kapasitas traffic berbahaya

Contoh ini menerapkan pembatasan kapasitas Google Cloud Armor ke traffic yang diidentifikasi Adaptive Protection sebagai berbahaya:

gcloud compute security-policies rules create 1000 \
    --security-policy POLICY_NAME \
    --expression "evaluateAdaptiveProtectionAutoDeploy()" \
    --action throttle \
    --rate-limit-threshold-count 500 \
    --rate-limit-threshold-interval-sec 120 \
    --conform-action allow \
    --exceed-action deny-404 \
    --enforce-on-key ip

Mengonfigurasi parameter deployment otomatis Perlindungan Adaptif

Anda dapat mengonfigurasi nilai minimum untuk deployment aturan otomatis dengan menyesuaikan parameter berikut. Jika Anda tidak menetapkan nilai untuk parameter, Google Cloud Armor akan menggunakan nilai default.

  • Batas beban: selama serangan yang diberi tahu, Perlindungan Adaptif mengidentifikasi penyerang baru hanya jika beban ke layanan backend yang sedang diserang melebihi batas ini. Selain itu, aturan hanya di-deploy secara otomatis untuk pemberitahuan saat beban ke layanan backend yang sedang diserang melebihi nilai minimum ini.

    • Nilai default: 0.8

  • Nilai minimum keyakinan: aturan hanya di-deploy secara otomatis untuk pemberitahuan tentang potensi serangan dengan skor keyakinan yang lebih besar dari nilai minimum ini.

    • Nilai default: 0.5
  • Batas dasar pengukuran yang terpengaruh: aturan hanya di-deploy secara otomatis jika estimasi dampak terhadap traffic dasar pengukuran dari mitigasi yang disarankan berada di bawah batas ini.

    • Nilai default: 0.01 persen (0,01%, bukan 1%)
  • Masa berlaku ditetapkan: Google Cloud Armor berhenti menerapkan tindakan dalam aturan yang di-deploy secara otomatis kepada penyerang yang diidentifikasi setelah durasi ini. Aturan akan terus beroperasi terhadap permintaan baru.

    • Nilai default: 7200 detik

Anda dapat menggunakan contoh perintah berikut untuk memperbarui kebijakan keamanan agar menggunakan nilai minimum yang tidak default dan di-deploy secara otomatis. Ganti NAME dengan nama kebijakan keamanan Anda, dan ganti variabel yang tersisa dengan nilai yang Anda inginkan untuk kebijakan Anda.

gcloud beta compute security-policies update NAME [
    --layer7-ddos-defense-auto-deploy-load-threshold LOAD_THRESHOLD
    --layer7-ddos-defense-auto-deploy-confidence-threshold CONFIDENCE_THRESHOLD
    --layer7-ddos-defense-auto-deploy-impacted-baseline-threshold IMPACTED_BASELINE_THRESHOLD
    --layer7-ddos-defense-auto-deploy-expiration-sec EXPIRATION_SEC
]

Logging

Log yang dihasilkan oleh aturan yang otomatis di-deploy dengan Perlindungan Adaptif memiliki kolom tambahan berikut:

  • autoDeployed: setelah Anda mengonfigurasi deployment aturan otomatis, setiap log pemberitahuan yang dihasilkan Adaptive Protection memiliki kolom boolean autoDeployed, yang menunjukkan apakah pertahanan otomatis dipicu.
  • adaptiveProtection.autoDeployAlertId: setiap kali Adaptive Protection mengambil tindakan pada permintaan sebagai bagian dari pertahanan otomatis, log permintaan memiliki kolom adaptiveProtection.autoDeployAlertId tambahan, yang mencatat ID pemberitahuan. Kolom ini muncul di bagian enforcedSecurityPolicy atau previewSecurityPolicy, bergantung pada apakah kebijakan keamanan berada dalam mode pratinjau.

Untuk melihat log permintaan, lihat Menggunakan logging permintaan. Screenshot berikut menunjukkan contoh entri log Perlindungan Adaptif, dengan kolom autoDeployed dan adaptiveProtection.autoDeployAlertId.

Contoh log Perlindungan Adaptif.
Contoh log Perlindungan Adaptif (klik untuk memperbesar).

Batasan

  • Perlindungan Adaptif hanya tersedia untuk kebijakan keamanan backend yang dilampirkan ke layanan backend yang diekspos melalui Load Balancer Aplikasi eksternal. Perlindungan Adaptif tidak tersedia untuk Load Balancer Jaringan proxy eksternal.