Diese Seite wurde von der Cloud Translation API übersetzt.

Vorgeschlagene Adaptive Protection-Regeln automatisch bereitstellen

In diesem Dokument finden Sie Konfigurationsschritte für die automatische Bereitstellung der von Adaptive Protection generierten vorgeschlagenen Regeln. Wenn Sie die automatische Regelbereitstellung aktivieren möchten, müssen Sie eine Platzhalterregel mit den folgenden Werten erstellen:

Übereinstimmungsausdruck: evaluateAdaptiveProtectionAutoDeploy()
Aktion: beliebig
Priorität: beliebig Es wird empfohlen, für einen legitimen Traffic mit hoher Priorität eine explizite allow-Regel mit einer höheren Priorität festzulegen als Ihre anderen Regeln.

Wenn Sie einen vorgelagerten Proxy vor Ihrem externen Application Load Balancer verwenden, z. B. ein CDN eines Drittanbieters, können Sie die Platzhalterregel so konfigurieren, dass Anfragen basierend auf der IP-Adresse des ursprünglichen Clients aus einem oder mehreren angegebenen Headern abgeglichen werden. Wenn Sie diese Vorschaufunktion verwenden möchten, konfigurieren Sie die Option userIpRequestHeaders[] im Feld advancedOptionsConfig. Weitere Informationen finden Sie in der Ressourcenreferenz ComputeSecurityPolicy.

Beispiel für Platzhalterregeln

Die folgenden Befehle sind Beispiel-Platzhalterregeln für Sicherheitsrichtlinien namens POLICY_NAME, die jeweils eine andere Regelaktion enthalten. Sie können diese Regeln einer vorhandenen Sicherheitsrichtlinie hinzufügen oder eine neue Richtlinie erstellen. Weitere Informationen zum Erstellen von Sicherheitsrichtlinien finden Sie unter Google Cloud Armor-Sicherheitsrichtlinien konfigurieren.

Schädlichen Traffic blockieren

Bei dieser Beispielregel wird für Anfragen, die von Adaptive Protection als Angriffs-Traffic erkannt werden, true zurückgegeben. Google Cloud Armor wendet die Blockierungsaktion auf die angreifende Anfrage an:

gcloud compute security-policies rules create 1000 \
    --security-policy POLICY_NAME \
    --expression "evaluateAdaptiveProtectionAutoDeploy()" \
    --action deny-403

Schadhaften Traffic zu einer reCAPTCHA-Aufgabe weiterleiten

In dieser Beispielregel wird Traffic, der vom adaptiven Schutz als schädlich eingestuft wird, zu einer reCAPTCHA-Aufgabe weitergeleitet:

gcloud compute security-policies rules create 1000 \
    --security-policy POLICY_NAME \
    --expression "evaluateAdaptiveProtectionAutoDeploy()" \
    --action redirect \
    --redirect-type google-recaptcha

Ratenbegrenzung für schädlichen Traffic

In diesem Beispiel wird die Google Cloud Armor-Geschwindigkeitsbegrenzung auf Traffic angewendet, der von Adaptive Protection als schädlich eingestuft wird:

gcloud compute security-policies rules create 1000 \
    --security-policy POLICY_NAME \
    --expression "evaluateAdaptiveProtectionAutoDeploy()" \
    --action throttle \
    --rate-limit-threshold-count 500 \
    --rate-limit-threshold-interval-sec 120 \
    --conform-action allow \
    --exceed-action deny-404 \
    --enforce-on-key ip

Parameter für die automatische Bereitstellung von Adaptive Protection konfigurieren

Sie können die Schwellenwerte für die automatische Bereitstellung von Regeln konfigurieren, indem Sie die folgenden Parameter anpassen. Wenn Sie den Wert für einen Parameter nicht festlegen, verwendet Google Cloud Armor den Standardwert.

Lastgrenzwert: Während eines gemeldeten Angriffs identifiziert Adaptive Protection nur dann neue Angreifer, wenn die Last des angegriffenen Backend-Dienstes diesen Grenzwert überschreitet. Außerdem werden Regeln nur dann automatisch für Benachrichtigungen bereitgestellt, wenn die Last des angegriffenen Backend-Dienstes diesen Grenzwert überschreitet.
- Standardwert: 0.8
  Achtung: Das Festlegen des Felds „Lastgrenzwert“ hat keine Auswirkungen auf serverlose Back-Ends. Der Wert des Lastgrenzwerts wird nicht zum Erkennen eines Angriffs oder zum Auslösen der automatischen Bereitstellung für Backend-Dienste verwendet, die mit den folgenden Netzwerk-Endpunktgruppen (NEGs) konfiguriert sind:
  - Eine serverlose NEG, die Traffic an die App Engine, Cloud Run oder Cloud Run Functions sendet.
  - Eine Internet-NEG, die Traffic an einen externen Ursprung sendet.
Konfidenzgrenzwert: Regeln werden nur automatisch für Benachrichtigungen zu potenziellen Angriffen mit Konfidenzwerten bereitgestellt, die diesen Grenzwert überschreiten.
- Standardwert: 0.5
Betroffener Baseline-Grenzwert: Regeln werden nur automatisch bereitgestellt, wenn die geschätzte Auswirkung auf den Basistraffic aus der vorgeschlagenen Risikominderung unter diesem Grenzwert liegt.
- Standardwert: 0.01 Prozent (0,01%, nicht 1%)
Ablaufzeit festgelegt: Nach dieser Zeitspanne wird die Aktion in der automatisch bereitgestellten Regel nicht mehr auf einen identifizierten Angreifer angewendet. Die Regel wird weiterhin auf neue Anfragen angewendet.
- Standardwert: 7200 Sekunden

Mit dem folgenden Beispielbefehl können Sie Ihre Sicherheitsrichtlinie aktualisieren, um nicht standardmäßige, automatisch bereitgestellte Grenzwerte zu verwenden. Ersetzen Sie NAME durch den Namen Ihrer Sicherheitsrichtlinie und die übrigen Variablen durch die gewünschten Werte für Ihre Richtlinie.

gcloud beta compute security-policies update NAME [
    --layer7-ddos-defense-auto-deploy-load-threshold LOAD_THRESHOLD
    --layer7-ddos-defense-auto-deploy-confidence-threshold CONFIDENCE_THRESHOLD
    --layer7-ddos-defense-auto-deploy-impacted-baseline-threshold IMPACTED_BASELINE_THRESHOLD
    --layer7-ddos-defense-auto-deploy-expiration-sec EXPIRATION_SEC
]

Logging

Logs, die von Regeln generiert werden, die automatisch mit Adaptive Protection bereitgestellt werden, enthalten die folgenden zusätzlichen Felder:

autoDeployed: Nachdem Sie die automatische Regelbereitstellung konfiguriert haben, enthält jedes Benachrichtigungsprotokoll, das von Adaptive Protection generiert wird, das boolesche Feld autoDeployed, das angibt, ob eine automatische Abwehr ausgelöst wurde.
adaptiveProtection.autoDeployAlertId: Wenn Adaptive Protection im Rahmen einer automatischen Abwehr eine Aktion auf eine Anfrage ausführt, enthält das Anfrageprotokoll das zusätzliche Feld adaptiveProtection.autoDeployAlertId, in dem die Benachrichtigungs-ID aufgezeichnet wird. Dieses Feld wird unter enforcedSecurityPolicy oder previewSecurityPolicy angezeigt, je nachdem, ob sich die Sicherheitsrichtlinie im Vorschaumodus befindet.

Informationen zum Aufrufen von Anfragelogs finden Sie unter Anfrage-Logging verwenden. Der folgende Screenshot zeigt ein Beispiel für einen Adaptive Protection-Protokolleintrag mit den Feldern autoDeployed und adaptiveProtection.autoDeployAlertId.

Beispielprotokoll für Adaptive Protection (zum Vergrößern anklicken)

Beschränkungen

Adaptive Protection ist nur für Back-End-Sicherheitsrichtlinien verfügbar, die mit Back-End-Diensten verknüpft sind, die über einen externen Application Load Balancer bereitgestellt werden. Der adaptive Schutz ist für externe Proxy-Network Load Balancer nicht verfügbar.