Men-deploy aturan yang disarankan Perlindungan Adaptif secara otomatis

Dokumen ini menyediakan langkah-langkah konfigurasi untuk men-deploy aturan yang disarankan yang dihasilkan Perlindungan Adaptif secara otomatis. Untuk mengaktifkan deployment aturan otomatis, Anda harus membuat aturan placeholder dengan nilai berikut:

Ekspresi pencocokan: evaluateAdaptiveProtectionAutoDeploy()
Tindakan: Apa pun
Prioritas: Apa saja. Sebaiknya tetapkan aturan izinkan eksplisit pada prioritas yang lebih tinggi daripada aturan Anda yang lain untuk traffic sah dan prioritas tinggi.

Jika Anda menggunakan proxy upstream di depan Load Balancer Aplikasi eksternal, seperti CDN pihak ketiga, Anda dapat mengonfigurasi aturan placeholder untuk mencocokkan permintaan berdasarkan alamat IP klien asli dari header atau header yang ditentukan. Untuk menggunakan fitur pratinjau ini, konfigurasikan opsi userIpRequestHeaders[] di kolom advancedOptionsConfig. Untuk mengetahui informasi selengkapnya, lihat referensi resource ComputeSecurityPolicy.

Contoh aturan placeholder

Perintah berikut adalah contoh aturan placeholder untuk kebijakan keamanan yang disebut POLICY_NAME, yang masing-masing menampilkan tindakan aturan yang berbeda. Anda dapat menambahkan aturan ini ke kebijakan keamanan yang ada atau membuat kebijakan baru. Untuk mengetahui informasi selengkapnya tentang pembuatan kebijakan keamanan, lihat Mengonfigurasi kebijakan keamanan Google Cloud Armor.

Blokir traffic berbahaya

Contoh aturan ini bernilai true untuk permintaan yang diidentifikasi oleh Perlindungan Adaptif sebagai traffic serangan. Google Cloud Armor menerapkan tindakan pemblokiran terhadap permintaan penyerang:

gcloud compute security-policies rules create 1000 \
    --security-policy POLICY_NAME \
    --expression "evaluateAdaptiveProtectionAutoDeploy()" \
    --action deny-403

Mengalihkan traffic berbahaya ke tantangan reCAPTCHA

Contoh aturan ini mengalihkan traffic yang diidentifikasi oleh Perlindungan Adaptif sebagai berbahaya terhadap tantangan reCAPTCHA:

gcloud compute security-policies rules create 1000 \
    --security-policy POLICY_NAME \
    --expression "evaluateAdaptiveProtectionAutoDeploy()" \
    --action redirect \
    --redirect-type google-recaptcha

Membatasi kapasitas traffic berbahaya

Contoh ini menerapkan pembatasan kapasitas Google Cloud Armor pada traffic yang diidentifikasi oleh Perlindungan Adaptif sebagai berbahaya:

gcloud compute security-policies rules create 1000 \
    --security-policy POLICY_NAME \
    --expression "evaluateAdaptiveProtectionAutoDeploy()" \
    --action throttle \
    --rate-limit-threshold-count 500 \
    --rate-limit-threshold-interval-sec 120 \
    --conform-action allow \
    --exceed-action deny-404 \
    --enforce-on-key ip

Mengonfigurasi parameter deployment otomatis Adaptive Protection

Anda dapat mengonfigurasi nilai minimum deployment otomatis aturan dengan menyesuaikan parameter berikut. Jika Anda tidak menetapkan nilai untuk parameter, Google Cloud Armor akan menggunakan nilai default:

Ambang batas pemuatan: Selama serangan yang dikirimkan, Perlindungan Adaptif akan mengidentifikasi penyerang baru hanya jika beban ke layanan backend yang diserang melebihi batas ini. Selain itu, aturan hanya di-deploy secara otomatis untuk pemberitahuan saat beban ke layanan backend yang diserang melebihi batas ini.
- Nilai default: 0.8
Perhatian: Menetapkan kolom batas beban tidak akan berpengaruh pada backend serverless, dan tidak akan digunakan untuk mendeteksi serangan atau memicu deployment otomatis untuk layanan backend yang dikonfigurasi dengan grup endpoint jaringan (NEG) berikut:
- NEG serverless yang mengirim traffic ke App Engine, Cloud Run, atau Cloud Functions.
- NEG internet yang mengirimkan traffic ke asal eksternal.
Nilai minimum keyakinan: Aturan hanya di-deploy secara otomatis untuk pemberitahuan tentang potensi serangan dengan skor keyakinan yang lebih besar dari batas ini.
- Nilai default: 0.5
Batas dasar pengukuran yang terpengaruh: Aturan hanya di-deploy secara otomatis saat estimasi dampak terhadap traffic dasar dari mitigasi yang disarankan di bawah batas ini.
- Nilai default: 0.01 persen
Akhir masa berlaku ditetapkan: Google Cloud Armor berhenti menerapkan tindakan dalam aturan yang di-deploy secara otomatis kepada penyerang yang teridentifikasi setelah durasi ini. Aturan akan terus berlaku jika ada permintaan baru.
- Nilai default: 7200 detik

Anda dapat menggunakan contoh perintah berikut untuk memperbarui kebijakan keamanan agar menggunakan nilai minimum deployment otomatis non-default. Ganti NAME dengan nama kebijakan keamanan Anda, dan ganti variabel yang tersisa dengan nilai yang Anda inginkan untuk kebijakan Anda.

gcloud beta compute security-policies update NAME [
    --layer7-ddos-defense-auto-deploy-load-threshold LOAD_THRESHOLD
    --layer7-ddos-defense-auto-deploy-confidence-threshold CONFIDENCE_THRESHOLD
    --layer7-ddos-defense-auto-deploy-impacted-baseline-threshold IMPACTED_BASELINE_THRESHOLD
    --layer7-ddos-defense-auto-deploy-expiration-sec EXPIRATION_SEC
]

Batasan

Perlindungan Adaptif hanya tersedia untuk kebijakan keamanan backend yang disertakan ke layanan backend yang diekspos melalui Load Balancer Aplikasi eksternal. Perlindungan Adaptif tidak tersedia untuk Load Balancer Jaringan proxy eksternal.