Vorgeschlagene Regeln für Adaptive Protection automatisch bereitstellen

Dieses Dokument enthält Konfigurationsschritte für die automatische Bereitstellung der von Adaptive Protection generierten Regeln. Um die automatische Regelbereitstellung zu aktivieren, müssen Sie eine Platzhalterregel mit den folgenden Werten erstellen:

Übereinstimmungsausdruck: evaluateAdaptiveProtectionAutoDeploy()
Aktion: Beliebig
Priorität: Beliebig. Es wird empfohlen, für einen legitimen Traffic mit hoher Priorität eine explizite allow-Regel mit einer höheren Priorität festzulegen als Ihre anderen Regeln.

Wenn Sie vor Ihrem externen Application Load Balancer einen Upstream-Proxy verwenden (z. B. das CDN eines Drittanbieters), können Sie die Platzhalterregel so konfigurieren, dass Anfragen anhand der IP-Adresse des ursprünglichen Clients aus einem oder mehreren angegebenen Headern abgeglichen werden. Wenn Sie diese Vorabversion verwenden möchten, müssen Sie die Option userIpRequestHeaders[] im Feld advancedOptionsConfig konfigurieren. Weitere Informationen finden Sie in der Ressourcenreferenz zu ComputeSecurityPolicy.

Beispiele für Platzhalterregeln

Die folgenden Befehle sind Beispielplatzhalterregeln für Sicherheitsrichtlinien namens POLICY_NAME, die jeweils eine andere Regelaktion enthalten. Sie können diese Regeln einer vorhandenen Sicherheitsrichtlinie hinzufügen oder eine neue Richtlinie erstellen. Mehr zum Erstellen von Sicherheitsrichtlinien erfahren Sie unter Google Cloud Armor-Sicherheitsrichtlinien konfigurieren.

Schädlichen Traffic blockieren

Diese Beispielregel ergibt true für Anfragen, die von Adaptive Protection als Angriffstraffic erkannt werden. Google Cloud Armor wendet die blockierende Aktion auf die angreifende Anfrage an:

gcloud compute security-policies rules create 1000 \
    --security-policy POLICY_NAME \
    --expression "evaluateAdaptiveProtectionAutoDeploy()" \
    --action deny-403

Schädlichen Traffic zu einer reCAPTCHA-Abfrage weiterleiten

Diese Beispielregel leitet Traffic, den Adaptive Protection als schädlich identifiziert, an eine reCAPTCHA-Abfrage weiter:

gcloud compute security-policies rules create 1000 \
    --security-policy POLICY_NAME \
    --expression "evaluateAdaptiveProtectionAutoDeploy()" \
    --action redirect \
    --redirect-type google-recaptcha

Ratenbegrenzung für schädlichen Traffic

In diesem Beispiel wird die Google Cloud Armor-Ratenbegrenzung auf Traffic angewendet, der von adaptivem Schutz als schädlich eingestuft wird:

gcloud compute security-policies rules create 1000 \
    --security-policy POLICY_NAME \
    --expression "evaluateAdaptiveProtectionAutoDeploy()" \
    --action throttle \
    --rate-limit-threshold-count 500 \
    --rate-limit-threshold-interval-sec 120 \
    --conform-action allow \
    --exceed-action deny-404 \
    --enforce-on-key ip

Parameter für die automatische Bereitstellung von Adaptive Protection konfigurieren

Sie können die Schwellenwerte für die automatische Bereitstellung von Regeln konfigurieren, indem Sie die folgenden Parameter optimieren. Wenn Sie keinen Wert für einen Parameter festlegen, verwendet Google Cloud Armor den Standardwert:

Lastgrenzwert: Während eines gemeldeten Angriffs identifiziert Adaptive Protection neue Angreifer nur dann, wenn die Last des angegriffenen Back-End-Dienstes diesen Grenzwert überschreitet. Außerdem werden Regeln nur dann automatisch für Benachrichtigungen bereitgestellt, wenn die Last des angegriffenen Back-End-Dienstes diesen Grenzwert überschreitet.
- Standardwert: 0.8
Achtung: Das Festlegen des Lastschwellenfelds hat keine Auswirkungen auf serverlose Back-Ends und wird nicht verwendet, um einen Angriff zu erkennen oder eine automatische Bereitstellung für Back-End-Dienste auszulösen, die mit den folgenden Netzwerk-Endpunktgruppen (NEGs) konfiguriert sind:
- Eine serverlose NEG, die Traffic an App Engine, Cloud Run oder Cloud Functions sendet.
- Eine Internet-NEG, die Traffic an einen externen Ursprung sendet.
Konfidenzgrenzwert: Regeln werden nur automatisch für Benachrichtigungen zu potenziellen Angriffen mit Konfidenzwerten bereitgestellt, die diesen Grenzwert überschreiten.
- Standardwert: 0.5
Betroffener Basisgrenzwert: Regeln werden nur automatisch bereitgestellt, wenn die geschätzte Auswirkung auf den Basistraffic aus der vorgeschlagenen Risikominderung unter diesem Grenzwert liegt.
- Standardwert: 0.01 Prozent
Ablaufzeit festgelegt: Nach Ablauf dieses Zeitraums wird die Aktion in der automatisch bereitgestellten Regel nicht mehr von Google Cloud Armor auf einen identifizierten Angreifer angewendet. Die Regel gilt weiterhin für neue Anfragen.
- Standardwert: 7200 Sekunden

Mit dem folgenden Beispielbefehl können Sie Ihre Sicherheitsrichtlinie so aktualisieren, dass nicht standardmäßige Schwellenwerte für die automatische Bereitstellung verwendet werden. Ersetzen Sie NAME durch den Namen Ihrer Sicherheitsrichtlinie und die verbleibenden Variablen durch die gewünschten Werte für Ihre Richtlinie.

gcloud beta compute security-policies update NAME [
    --layer7-ddos-defense-auto-deploy-load-threshold LOAD_THRESHOLD
    --layer7-ddos-defense-auto-deploy-confidence-threshold CONFIDENCE_THRESHOLD
    --layer7-ddos-defense-auto-deploy-impacted-baseline-threshold IMPACTED_BASELINE_THRESHOLD
    --layer7-ddos-defense-auto-deploy-expiration-sec EXPIRATION_SEC
]

Beschränkungen

Adaptive Protection ist nur für Back-End-Sicherheitsrichtlinien verfügbar, die an Back-End-Dienste angehängt sind, die über einen externen Application Load Balancer bereitgestellt werden. Adaptive Protection ist nicht für externe Proxy-Network-Load Balancer verfügbar.