Este documento apresenta as etapas de configuração para implantar automaticamente as regras sugeridas que a Proteção adaptável gera. Para ativar a implantação automática de regras, crie uma regra de marcador com os seguintes valores:
- Expressão correspondente:
evaluateAdaptiveProtectionAutoDeploy() - Ação: qualquer uma
- Prioridade: qualquer uma. Recomendamos que você defina uma regra de permissão explícita com prioridade mais alta que as outras para tráfego legítimo de alta prioridade.
Se você usa um proxy upstream para proteger o balanceador de carga de aplicativo externo, como uma
CDN de terceiros, é possível configurar a regra do marcador de posição para corresponder às solicitações com base
no endereço IP do cliente original de um cabeçalho especificado ou de diversos cabeçalhos. Para usar
esse recurso em fase de pré-lançamento, configure a opção userIpRequestHeaders[] no
campo advancedOptionsConfig. Para mais informações, consulte a
referência do recurso
ComputeSecurityPolicy.
Exemplos de regras de marcador
Os comandos a seguir são exemplos de regras de marcador para as políticas de segurança
chamadas de POLICY_NAME, cada uma com uma ação de regra diferente.
É possível adicionar essas regras a uma política de segurança existente ou criar uma nova. Saiba
mais sobre como criar políticas de segurança em
Como configurar políticas de segurança do Google Cloud Armor.
Bloquear tráfego malicioso
Neste exemplo de regra, avaliamos como true as solicitações que a Proteção adaptável
identifica como tráfego de ataque, e o Google Cloud Armor aplica a ação de
bloqueio à solicitação de ataque:
gcloud compute security-policies rules create 1000 \
--security-policy POLICY_NAME \
--expression "evaluateAdaptiveProtectionAutoDeploy()" \
--action deny-403
Redirecionar tráfego malicioso para um teste reCAPTCHA
Esta regra de exemplo redireciona o tráfego que a Proteção adaptável identifica como malicioso para um teste reCAPTCHA:
gcloud compute security-policies rules create 1000 \
--security-policy POLICY_NAME \
--expression "evaluateAdaptiveProtectionAutoDeploy()" \
--action redirect \
--redirect-type google-recaptcha
Limite de taxa de tráfego malicioso
Este exemplo aplica a limitação de taxa do Google Cloud Armor ao tráfego que a Proteção adaptável identifica como malicioso:
gcloud compute security-policies rules create 1000 \
--security-policy POLICY_NAME \
--expression "evaluateAdaptiveProtectionAutoDeploy()" \
--action throttle \
--rate-limit-threshold-count 500 \
--rate-limit-threshold-interval-sec 120 \
--conform-action allow \
--exceed-action deny-404 \
--enforce-on-key ip
Configurar parâmetros de implantação automática da Proteção adaptável
É possível configurar os limites para a implantação automática de regras ajustando os parâmetros a seguir. Se você não definir o valor de um parâmetro, o Google Cloud Armor usará o valor padrão:
Limite de carga: durante um ataque de alerta, a Proteção adaptável identifica novos invasores somente quando a carga para o serviço de back-end que está sob ataque excede esse limite. Além disso, as regras são implantadas automaticamente apenas alerta quando a carga do serviço de back-end sob ataque excede esse o limite mínimo.
- Valor padrão:
0.8
- Um NEG sem servidor que envia tráfego para o App Engine. Cloud Run ou funções do Cloud Run.
- Um NEG da Internet enviando tráfego para uma origem externa.
- Valor padrão:
Limite de confiança: as regras são implantadas automaticamente apenas para alertas de ataques em potencial com pontuações de confiança maiores que esse limite.
- Valor padrão:
0.5
- Valor padrão:
Limite de valor de referência afetado: as regras são implantadas automaticamente somente quando o impacto estimado no tráfego do valor de referência da mitigação sugerida está abaixo desse limite.
- Valor padrão:
0.01por cento
- Valor padrão:
Expiração definida: o Google Cloud Armor deixa de aplicar a ação na regra implantada automaticamente a um invasor identificado após essa duração. A regra continua funcionando com base em novas solicitações.
- Valor padrão:
7200segundos
- Valor padrão:
Use o comando de exemplo a seguir para atualizar sua política de segurança e usar limites de implantação automática não padrão. Substitua NAME pelo nome da política de segurança e as variáveis restantes pelos valores que você quer para a política.
gcloud beta compute security-policies update NAME [
--layer7-ddos-defense-auto-deploy-load-threshold LOAD_THRESHOLD
--layer7-ddos-defense-auto-deploy-confidence-threshold CONFIDENCE_THRESHOLD
--layer7-ddos-defense-auto-deploy-impacted-baseline-threshold IMPACTED_BASELINE_THRESHOLD
--layer7-ddos-defense-auto-deploy-expiration-sec EXPIRATION_SEC
]
Geração de registros
Os registros gerados por regras implantadas automaticamente com a proteção adaptativa têm os seguintes campos adicionais:
autoDeployed: depois de configurar a implantação automática de regras, cada registro de alerta gerado pela Proteção adaptável tem o campo booleanoautoDeployed, que indica se uma defesa automática foi acionada.adaptiveProtection.autoDeployAlertId: sempre que a Proteção adaptativa realiza uma ação sobre uma solicitação como parte de uma defesa automática, o registro da solicitação o campoadaptiveProtection.autoDeployAlertIdadicional, que registra a ID do alerta. Esse campo aparece emenforcedSecurityPolicyoupreviewSecurityPolicy, dependendo se a política de segurança estava ou não em modo de visualização.
Para conferir os registros de solicitações, consulte Registro de solicitações. O
captura de tela a seguir demonstra um exemplo de proteção adaptativa
entrada de registro com autoDeployed e adaptiveProtection.autoDeployAlertId
campos.
Limitações
- A Proteção adaptável só está disponível para políticas de segurança de back-end anexadas a serviços de back-end que são expostos por um balanceador de carga de aplicativo externo. A proteção adaptável não está disponível para balanceadores de carga de rede de proxy externo.