Dokumen ini memberikan langkah-langkah konfigurasi untuk men-deploy aturan yang disarankan yang dihasilkan Adaptive Protection secara otomatis. Untuk mengaktifkan deployment aturan otomatis, Anda harus membuat aturan placeholder dengan nilai berikut:
- Ekspresi pencocokan:
evaluateAdaptiveProtectionAutoDeploy()
- Tindakan: Apa pun
- Prioritas: Apa pun. Sebaiknya tetapkan aturan izin eksplisit dengan prioritas yang lebih tinggi daripada aturan lainnya untuk traffic yang sah dan memiliki prioritas tinggi.
Jika menggunakan proxy upstream di depan Load Balancer Aplikasi eksternal, seperti
CDN pihak ketiga, Anda dapat mengonfigurasi aturan placeholder untuk mencocokkan permintaan berdasarkan
alamat IP klien asli dari header atau header yang ditentukan. Untuk menggunakan
fitur pratinjau ini, konfigurasikan opsi userIpRequestHeaders[]
di
kolom advancedOptionsConfig
. Untuk informasi selengkapnya, lihat referensi resource ComputeSecurityPolicy.
Contoh aturan placeholder
Perintah berikut adalah contoh aturan placeholder untuk kebijakan keamanan
yang disebut POLICY_NAME
, yang masing-masing menampilkan tindakan aturan yang berbeda.
Anda dapat menambahkan aturan ini ke kebijakan keamanan yang ada atau membuat kebijakan baru. Untuk
mengetahui informasi selengkapnya tentang cara membuat kebijakan keamanan, lihat
Mengonfigurasi kebijakan keamanan Google Cloud Armor.
Memblokir traffic berbahaya
Contoh aturan ini dievaluasi menjadi true
untuk permintaan yang diidentifikasi Adaptive Protection
sebagai traffic serangan. Google Cloud Armor menerapkan tindakan pemblokiran
ke permintaan penyerang:
gcloud compute security-policies rules create 1000 \ --security-policy POLICY_NAME \ --expression "evaluateAdaptiveProtectionAutoDeploy()" \ --action deny-403
Mengalihkan traffic berbahaya ke tantangan reCAPTCHA
Contoh aturan ini mengalihkan traffic yang diidentifikasi Adaptive Protection sebagai malicious ke verifikasi reCAPTCHA:
gcloud compute security-policies rules create 1000 \ --security-policy POLICY_NAME \ --expression "evaluateAdaptiveProtectionAutoDeploy()" \ --action redirect \ --redirect-type google-recaptcha
Membatasi kapasitas traffic berbahaya
Contoh ini menerapkan pembatasan kapasitas Google Cloud Armor ke traffic yang diidentifikasi Adaptive Protection sebagai berbahaya:
gcloud compute security-policies rules create 1000 \ --security-policy POLICY_NAME \ --expression "evaluateAdaptiveProtectionAutoDeploy()" \ --action throttle \ --rate-limit-threshold-count 500 \ --rate-limit-threshold-interval-sec 120 \ --conform-action allow \ --exceed-action deny-404 \ --enforce-on-key ip
Mengonfigurasi parameter deployment otomatis Perlindungan Adaptif
Anda dapat mengonfigurasi nilai minimum untuk deployment aturan otomatis dengan menyesuaikan parameter berikut. Jika Anda tidak menetapkan nilai untuk parameter, Google Cloud Armor akan menggunakan nilai default.
Batas beban: selama serangan yang diberi tahu, Perlindungan Adaptif mengidentifikasi penyerang baru hanya jika beban ke layanan backend yang sedang diserang melebihi batas ini. Selain itu, aturan hanya di-deploy secara otomatis untuk pemberitahuan saat beban ke layanan backend yang sedang diserang melebihi nilai minimum ini.
Nilai default:
0.8
Nilai minimum keyakinan: aturan hanya di-deploy secara otomatis untuk pemberitahuan tentang potensi serangan dengan skor keyakinan yang lebih besar dari nilai minimum ini.
- Nilai default:
0.5
- Nilai default:
Batas dasar pengukuran yang terpengaruh: aturan hanya di-deploy secara otomatis jika estimasi dampak terhadap traffic dasar pengukuran dari mitigasi yang disarankan berada di bawah batas ini.
- Nilai default:
0.01
persen (0,01%, bukan 1%)
- Nilai default:
Masa berlaku ditetapkan: Google Cloud Armor berhenti menerapkan tindakan dalam aturan yang di-deploy secara otomatis kepada penyerang yang diidentifikasi setelah durasi ini. Aturan akan terus beroperasi terhadap permintaan baru.
- Nilai default:
7200
detik
- Nilai default:
Anda dapat menggunakan contoh perintah berikut untuk memperbarui kebijakan keamanan agar menggunakan
nilai minimum yang tidak default dan di-deploy secara otomatis. Ganti NAME
dengan
nama kebijakan keamanan Anda, dan ganti variabel yang tersisa dengan
nilai yang Anda inginkan untuk kebijakan Anda.
gcloud beta compute security-policies update NAME [ --layer7-ddos-defense-auto-deploy-load-threshold LOAD_THRESHOLD --layer7-ddos-defense-auto-deploy-confidence-threshold CONFIDENCE_THRESHOLD --layer7-ddos-defense-auto-deploy-impacted-baseline-threshold IMPACTED_BASELINE_THRESHOLD --layer7-ddos-defense-auto-deploy-expiration-sec EXPIRATION_SEC ]
Logging
Log yang dihasilkan oleh aturan yang otomatis di-deploy dengan Perlindungan Adaptif memiliki kolom tambahan berikut:
autoDeployed
: setelah Anda mengonfigurasi deployment aturan otomatis, setiap log pemberitahuan yang dihasilkan Adaptive Protection memiliki kolom booleanautoDeployed
, yang menunjukkan apakah pertahanan otomatis dipicu.adaptiveProtection.autoDeployAlertId
: setiap kali Adaptive Protection mengambil tindakan pada permintaan sebagai bagian dari pertahanan otomatis, log permintaan memiliki kolomadaptiveProtection.autoDeployAlertId
tambahan, yang mencatat ID pemberitahuan. Kolom ini muncul di bagianenforcedSecurityPolicy
ataupreviewSecurityPolicy
, bergantung pada apakah kebijakan keamanan berada dalam mode pratinjau.
Untuk melihat log permintaan, lihat Menggunakan logging permintaan. Screenshot
berikut menunjukkan contoh entri log Perlindungan Adaptif,
dengan kolom autoDeployed
dan adaptiveProtection.autoDeployAlertId
.
Batasan
- Perlindungan Adaptif hanya tersedia untuk kebijakan keamanan backend yang dilampirkan ke layanan backend yang diekspos melalui Load Balancer Aplikasi eksternal. Perlindungan Adaptif tidak tersedia untuk Load Balancer Jaringan proxy eksternal.