Esegui automaticamente il deployment delle regole suggerite da Adaptive Protection

Questo documento fornisce i passaggi di configurazione per eseguire automaticamente il deployment delle regole suggerite generate da Adaptive Protection. Per abilitare il deployment automatico delle regole, devi creare una regola segnaposto con i seguenti valori:

Espressione di corrispondenza: evaluateAdaptiveProtectionAutoDeploy()
Azione: qualsiasi
Priorità: qualsiasi. Ti consigliamo di impostare una regola di autorizzazione esplicita con una priorità più elevata rispetto alle altre regole per il traffico legittimo e ad alta priorità.

Se utilizzi un proxy upstream davanti al bilanciatore del carico delle applicazioni esterno, ad esempio una CDN di terze parti, puoi configurare la regola segnaposto in modo che corrisponda alle richieste in base all'indirizzo IP del client originale da un'intestazione o un'intestazione specificate. Per utilizzare questa funzionalità di anteprima, configura l'opzione userIpRequestHeaders[] nel campo advancedOptionsConfig. Per ulteriori informazioni, consulta il riferimento delle risorse ComputeSecurityPolicy.

Esempio di regole segnaposto

I comandi riportati di seguito sono esempi di regole segnaposto per i criteri di sicurezza chiamati POLICY_NAME, ciascuno dei quali prevede una diversa azione della regola. Puoi aggiungere queste regole a un criterio di sicurezza esistente o crearne uno nuovo. Per ulteriori informazioni sulla creazione dei criteri di sicurezza, consulta Configurazione dei criteri di sicurezza di Google Cloud Armor.

Blocca il traffico dannoso

Questa regola di esempio restituisce true per le richieste che Adaptive Protection identifica come traffico di attacco. Google Cloud Armor applica l'azione di blocco alla richiesta di attacco:

gcloud compute security-policies rules create 1000 \
    --security-policy POLICY_NAME \
    --expression "evaluateAdaptiveProtectionAutoDeploy()" \
    --action deny-403

Reindirizza il traffico dannoso a un test reCAPTCHA

Questa regola di esempio reindirizza il traffico che Adaptive Protection identifica come dannoso a una verifica reCAPTCHA:

gcloud compute security-policies rules create 1000 \
    --security-policy POLICY_NAME \
    --expression "evaluateAdaptiveProtectionAutoDeploy()" \
    --action redirect \
    --redirect-type google-recaptcha

Limitazione della frequenza del traffico dannoso

Questo esempio applica la limitazione di frequenza di Google Cloud Armor al traffico che Adaptive Protection identifica come dannoso:

gcloud compute security-policies rules create 1000 \
    --security-policy POLICY_NAME \
    --expression "evaluateAdaptiveProtectionAutoDeploy()" \
    --action throttle \
    --rate-limit-threshold-count 500 \
    --rate-limit-threshold-interval-sec 120 \
    --conform-action allow \
    --exceed-action deny-404 \
    --enforce-on-key ip

Configurare i parametri di deployment automatico di Adaptive Protection

Puoi configurare le soglie per il deployment automatico delle regole ottimizzando i parametri seguenti. Se non imposti il valore per un parametro, Google Cloud Armor utilizza il valore predefinito:

Soglia di carico: durante un attacco segnalato, Adaptive Protection identifica i nuovi utenti malintenzionati solo quando il carico sul servizio di backend sottoposto ad attacco supera questa soglia. Inoltre, il deployment automatico delle regole viene eseguito per gli avvisi solo quando il carico sul servizio di backend sottoposto ad attacco supera questa soglia.
- Valore predefinito: 0.8
Attenzione: l'impostazione del campo della soglia di carico non ha alcun effetto sui backend serverless e non verrà utilizzata per rilevare un attacco o attivare il deployment automatico per i servizi di backend configurati con i seguenti gruppi di endpoint di rete (NEG):
- Un NEG serverless che invia traffico ad App Engine, Cloud Run o Cloud Functions.
- Un NEG internet che invia traffico a un'origine esterna.
Soglia di affidabilità: il deployment delle regole viene eseguito automaticamente solo per gli avvisi di potenziali attacchi con punteggi di confidenza maggiori di questa soglia.
- Valore predefinito: 0.5
Soglia di riferimento interessata: il deployment delle regole viene eseguito automaticamente solo quando l'impatto stimato sul traffico di riferimento dalla mitigazione suggerita è inferiore a questa soglia.
- Valore predefinito: 0.01 percento
Scadenza impostata: dopo questa durata, Google Cloud Armor smette di applicare l'azione nella regola di cui è stato eseguito il deployment automatico a un utente malintenzionato identificato. La regola continua a funzionare in base alle nuove richieste.
- Valore predefinito: 7200 secondi

Puoi utilizzare il comando di esempio seguente per aggiornare il criterio di sicurezza in modo che utilizzi soglie di deployment automatico non predefinite. Sostituisci NAME con il nome del criterio di sicurezza e le variabili rimanenti con i valori che preferisci per il criterio.

gcloud beta compute security-policies update NAME [
    --layer7-ddos-defense-auto-deploy-load-threshold LOAD_THRESHOLD
    --layer7-ddos-defense-auto-deploy-confidence-threshold CONFIDENCE_THRESHOLD
    --layer7-ddos-defense-auto-deploy-impacted-baseline-threshold IMPACTED_BASELINE_THRESHOLD
    --layer7-ddos-defense-auto-deploy-expiration-sec EXPIRATION_SEC
]

Limitazioni

Adaptive Protection è disponibile solo per i criteri di sicurezza di backend collegati a servizi di backend esposti tramite un bilanciatore del carico delle applicazioni esterno. Adaptive Protection non è disponibile per i bilanciatori del carico di rete con proxy esterni.