Implementa automáticamente las reglas sugeridas para la protección adaptable

Organiza tus páginas con colecciones Guarda y categoriza el contenido según tus preferencias.

En este documento, se proporcionan los pasos de configuración para implementar de forma automática las reglas sugeridas que genera la protección adaptable. Para habilitar la implementación automática de reglas, debes crear una regla de marcador de posición con los siguientes valores:

  • Expresión que debe coincidir: evaluateAdaptiveProtectionAutoDeploy()
  • Acción: Cualquiera
  • Prioridad: cualquiera. Te recomendamos que establezcas una regla de permiso explícita con una prioridad más alta que tus otras reglas para el tráfico legítimo de prioridad alta.

Si usas un proxy ascendente frente a tu balanceador de cargas HTTP(S) externo, como una CDN de terceros, te recomendamos que no configures la implementación automática de reglas debido al riesgo de bloquear de forma involuntaria el tráfico desde el proxy ascendente.

Ejemplo de reglas de marcadores de posición

Los siguientes comandos son reglas de marcadores de posición de ejemplo para políticas de seguridad llamadas POLICY_NAME, cada una de las cuales presenta una acción de regla diferente. Puedes agregar estas reglas a una política de seguridad existente o crear una nueva. Para obtener más información sobre la creación de políticas de seguridad, consulta Configura políticas de seguridad de Google Cloud Armor.

Bloquea tráfico malicioso

Esta regla de ejemplo se evalúa como true en el caso de las solicitudes que la Protección adaptable identifica como tráfico de ataque. Google Cloud Armor aplica la acción de bloqueo a la solicitud atacante:

gcloud compute security-policies rules create 1000 \
    --security-policy POLICY_NAME \
    --expression "evaluateAdaptiveProtectionAutoDeploy()" \
    --action deny-403

Redirecciona el tráfico malicioso a un desafío de reCAPTCHA

Esta regla de ejemplo redirecciona el tráfico que la Protección adaptable identifica como malicioso a un desafío de reCAPTCHA:

gcloud compute security-policies rules create 1000 \
    --security-policy POLICY_NAME \
    --expression "evaluateAdaptiveProtectionAutoDeploy()" \
    --action redirect \
    --redirect-type google-recaptcha

Limitar el tráfico malicioso

En este ejemplo, se aplica la limitación de frecuencia de Google Cloud Armor al tráfico que la Protección adaptable identifica como maliciosa:

gcloud compute security-policies rules create 1000 \
    --security-policy POLICY_NAME \
    --expression "evaluateAdaptiveProtectionAutoDeploy()" \
    --action throttle \
    --rate-limit-threshold-count 500 \
    --rate-limit-threshold-interval-sec 120 \
    --conform-action allow \
    --exceed-action deny-404 \
    --enforce-on-key ip

Configura parámetros de sensibilidad

Para configurar la sensibilidad de las reglas implementadas de forma automática, ajusta los siguientes parámetros. Si no configuras un parámetro, Google Cloud Armor usa el valor predeterminado:

  • Límite de carga: durante un ataque alertado, la protección adaptable identifica nuevos atacantes cuando la carga del servicio de backend que está bajo ataque excede este límite.
    • Valor predeterminado: 0.8
  • Umbral de confianza: Las reglas solo se implementan de forma automática para alertas sobre posibles ataques con puntuaciones de confianza superiores a este umbral.
    • Valor predeterminado: 0.5
  • Umbral de modelo de referencia afectado: Las reglas solo se implementan de forma automática cuando el impacto estimado en el tráfico del modelo de referencia desde la mitigación sugerida está por debajo de este límite.
    • Valor predeterminado: 0.01
  • Conjunto de vencimiento: Google Cloud Armor deja de aplicar la acción en la regla implementada de forma automática a un atacante identificado después de esta duración. La regla sigue funcionando con solicitudes nuevas.
    • Valor predeterminado: 7200

Puedes usar el siguiente comando de ejemplo a fin de actualizar una política de seguridad para usar parámetros de sensibilidad no predeterminados. Reemplaza NAME por el nombre de tu política de seguridad y reemplaza las variables restantes por los valores que deseas para tu política.

gcloud beta compute security-policies update NAME [
    --layer7-ddos-defense-auto-deploy-load-threshold LOAD_THRESHOLD
    --layer7-ddos-defense-auto-deploy-confidence-threshold CONFIDENCE_THRESHOLD
    --layer7-ddos-defense-auto-deploy-impacted-baseline-threshold IMPACTED_BASELINE_THRESHOLD
    --layer7-ddos-defense-auto-deploy-expiration-sec EXPIRATION_SEC
]

Limitaciones

  • Los parámetros de configuración, incluida la sensibilidad, no se pueden configurar mediante la consola de Google Cloud.
  • Recomendamos que no uses la implementación automática de reglas cuando uses proxies ascendentes.
  • La protección adaptable solo está disponible para las políticas de seguridad de backend vinculadas a los servicios de backend que se exponen a través de un balanceador de cargas de HTTP(S) externo. La protección adaptable no está disponible para balanceadores de cargas de proxy SSL externos o balanceadores de cargas de proxy TCP.