Implementa automáticamente las reglas sugeridas de la protección adaptable

En este documento, se proporcionan pasos de configuración para implementar automáticamente las reglas sugeridas que genera la protección adaptable. Para habilitar la implementación automática de reglas, debes crear una regla de marcador de posición con los siguientes valores:

Expresión que debe coincidir: evaluateAdaptiveProtectionAutoDeploy()
Acción: Cualquiera
Prioridad: cualquiera. Te recomendamos establecer una regla de permiso explícito con una prioridad mayor que tus otras reglas para el tráfico legítimo de alta prioridad.

Si usas un proxy ascendente frente al balanceador de cargas de aplicaciones externo, como una CDN de terceros, puedes configurar la regla de marcador de posición para que coincida con las solicitudes en función de la dirección IP del cliente original de un encabezado o encabezados especificados. Para usar esta función de versión preliminar, configura la opción userIpRequestHeaders[] en el campo advancedOptionsConfig. Para obtener más información, consulta la referencia del recurso ComputeSecurityPolicy.

Ejemplo de reglas de marcador de posición

Los siguientes comandos son ejemplos de reglas de marcador de posición para políticas de seguridad denominadas POLICY_NAME, cada una de las cuales presenta una acción de regla diferente. Puedes agregar estas reglas a una política de seguridad existente o crear una política nueva. Para obtener más información sobre la creación de políticas de seguridad, consulta Configura políticas de seguridad de Google Cloud Armor.

Bloquea tráfico malicioso

Esta regla de ejemplo se evalúa como true para las solicitudes que la protección adaptable identifica como tráfico de ataque. Google Cloud Armor aplica la acción de bloqueo a la solicitud atacante:

gcloud compute security-policies rules create 1000 \
    --security-policy POLICY_NAME \
    --expression "evaluateAdaptiveProtectionAutoDeploy()" \
    --action deny-403

Redirecciona el tráfico malicioso a un desafío de reCAPTCHA

Esta regla de ejemplo redirecciona el tráfico que la protección adaptable identifica como malicioso a un desafío de reCAPTCHA:

gcloud compute security-policies rules create 1000 \
    --security-policy POLICY_NAME \
    --expression "evaluateAdaptiveProtectionAutoDeploy()" \
    --action redirect \
    --redirect-type google-recaptcha

Límite de frecuencia del tráfico malicioso

En este ejemplo, se aplica el límite de frecuencia de Google Cloud Armor al tráfico que la protección adaptable identifica como malicioso:

gcloud compute security-policies rules create 1000 \
    --security-policy POLICY_NAME \
    --expression "evaluateAdaptiveProtectionAutoDeploy()" \
    --action throttle \
    --rate-limit-threshold-count 500 \
    --rate-limit-threshold-interval-sec 120 \
    --conform-action allow \
    --exceed-action deny-404 \
    --enforce-on-key ip

Configura los parámetros de implementación automática de la protección adaptable

Puedes configurar los umbrales para la implementación automática de reglas mediante el ajuste de los siguientes parámetros. Si no estableces el valor para un parámetro, Google Cloud Armor usa el valor predeterminado:

Umbral de carga: Durante un ataque alertado, la protección adaptable identifica a los atacantes nuevos solo cuando la carga en el servicio de backend que está bajo ataque supera este umbral. Además, las reglas solo se implementan de forma automática para las alertas cuando la carga en el servicio de backend que está bajo ataque supera este umbral.
- Valor predeterminado: 0.8
Precaución: Configurar el campo de umbral de carga no tiene ningún efecto en los backends sin servidores y no se usará para detectar un ataque ni activar la implementación automática en los servicios de backend configurados con los siguientes grupos de extremos de red (NEG):
- Un NEG sin servidores que envía tráfico a App Engine, Cloud Run o Cloud Functions
- Un NEG de Internet que envía tráfico a un origen externo
Umbral de confianza: Las reglas solo se implementan de forma automática para alertas de ataques potenciales con puntuaciones de confianza superiores a este umbral.
- Valor predeterminado: 0.5
Umbral de modelo de referencia afectado: Las reglas solo se implementan de forma automática cuando el impacto estimado en el tráfico del modelo de referencia desde la mitigación sugerida está por debajo de este límite.
- Valor predeterminado: 0.01 por ciento
Conjunto de vencimiento: Google Cloud Armor deja de aplicar la acción en la regla implementada de forma automática a un atacante identificado después de esta duración. La regla continúa funcionando en función de nuevas solicitudes.
- Valor predeterminado: 7200 segundos

Puedes usar el siguiente comando de ejemplo para actualizar tu política de seguridad y usar umbrales de implementación automática no predeterminados. Reemplaza NAME por el nombre de tu política de seguridad y reemplaza las variables restantes con los valores que deseas para tu política.

gcloud beta compute security-policies update NAME [
    --layer7-ddos-defense-auto-deploy-load-threshold LOAD_THRESHOLD
    --layer7-ddos-defense-auto-deploy-confidence-threshold CONFIDENCE_THRESHOLD
    --layer7-ddos-defense-auto-deploy-impacted-baseline-threshold IMPACTED_BASELINE_THRESHOLD
    --layer7-ddos-defense-auto-deploy-expiration-sec EXPIRATION_SEC
]

Limitaciones

La protección adaptable solo está disponible para las políticas de seguridad de backend vinculadas a los servicios de backend que se exponen a través de un balanceador de cargas de aplicaciones externo. La protección adaptable no está disponible para los balanceadores de cargas de red del proxy externos.