Implantar automaticamente as regras sugeridas da Proteção adaptável

Este documento apresenta as etapas de configuração para implantar automaticamente as regras sugeridas que a Proteção adaptável gera. Para ativar a implantação automática de regras, crie uma regra de marcador com os seguintes valores:

  • Expressão correspondente: evaluateAdaptiveProtectionAutoDeploy()
  • Ação: qualquer uma
  • Prioridade: qualquer uma. Recomendamos que você defina uma regra de permissão explícita com prioridade mais alta que as outras para tráfego legítimo de alta prioridade.

Se você usa um proxy upstream no seu balanceador de carga HTTP(S) externo, como uma CDN de terceiros, recomendamos não configurar a implantação automática de regras devido ao risco de bloquear acidentalmente o tráfego do proxy upstream.

Exemplos de regras de marcador

Os comandos a seguir são exemplos de regras de marcador para as políticas de segurança chamadas de POLICY_NAME, cada uma com uma ação de regra diferente. É possível adicionar essas regras a uma política de segurança existente ou criar uma nova. Saiba mais sobre como criar políticas de segurança em Como configurar políticas de segurança do Google Cloud Armor.

Bloquear tráfego malicioso

Neste exemplo de regra, avaliamos como true as solicitações que a Proteção adaptável identifica como tráfego de ataque, e o Google Cloud Armor aplica a ação de bloqueio à solicitação de ataque:

gcloud compute security-policies rules create 1000 \
    --security-policy POLICY_NAME \
    --expression "evaluateAdaptiveProtectionAutoDeploy()" \
    --action deny-403

Redirecionar tráfego malicioso para um teste reCAPTCHA

Esta regra de exemplo redireciona o tráfego que a Proteção adaptável identifica como malicioso para um teste reCAPTCHA:

gcloud compute security-policies rules create 1000 \
    --security-policy POLICY_NAME \
    --expression "evaluateAdaptiveProtectionAutoDeploy()" \
    --action redirect \
    --redirect-type google-recaptcha

Limite de taxa de tráfego malicioso

Este exemplo aplica a limitação de taxa do Google Cloud Armor ao tráfego que a Proteção adaptável identifica como malicioso:

gcloud compute security-policies rules create 1000 \
    --security-policy POLICY_NAME \
    --expression "evaluateAdaptiveProtectionAutoDeploy()" \
    --action throttle \
    --rate-limit-threshold-count 500 \
    --rate-limit-threshold-interval-sec 120 \
    --conform-action allow \
    --exceed-action deny-404 \
    --enforce-on-key ip

Configurar parâmetros de sensibilidade

É possível configurar a sensibilidade das regras implantadas automaticamente ajustando os seguintes parâmetros. Se você não configurar um parâmetro, o Google Cloud Armor vai usar o valor padrão:

  • Limite de carga: durante um ataque de alerta, a Proteção adaptável identifica novos invasores somente quando a carga para o serviço de back-end que está sob ataque excede esse limite.
    • Valor padrão: 0.8
  • Limite de confiança: as regras são implantadas automaticamente apenas para alertas de ataques em potencial com pontuações de confiança maiores que esse limite.
    • Valor padrão: 0.5
  • Limite de valor de referência afetado: as regras são implantadas automaticamente somente quando o impacto estimado no tráfego do valor de referência da mitigação sugerida está abaixo desse limite.
    • Valor padrão: 0.01
  • Expiração definida: o Google Cloud Armor deixa de aplicar a ação na regra implantada automaticamente a um invasor identificado após essa duração. A regra continua funcionando com base em novas solicitações.
    • Valor padrão: 7200

Use o comando de exemplo a seguir para atualizar uma política de segurança a fim de usar parâmetros de sensibilidade não padrão. Substitua NAME pelo nome da sua política de segurança e as variáveis restantes pelos valores que você quer para sua política.

gcloud beta compute security-policies update NAME [
    --layer7-ddos-defense-auto-deploy-load-threshold LOAD_THRESHOLD
    --layer7-ddos-defense-auto-deploy-confidence-threshold CONFIDENCE_THRESHOLD
    --layer7-ddos-defense-auto-deploy-impacted-baseline-threshold IMPACTED_BASELINE_THRESHOLD
    --layer7-ddos-defense-auto-deploy-expiration-sec EXPIRATION_SEC
]

Limitações

  • Não é possível definir parâmetros de configuração, incluindo a sensibilidade, usando o console do Google Cloud.
  • Recomendamos não usar a implantação automática de regras ao usar proxies upstream.
  • A Proteção adaptável só está disponível para políticas de segurança de back-end anexadas a serviços de back-end que são expostos por um balanceador de carga HTTP(S) externo. A Proteção adaptável não está disponível para balanceadores de carga externos de proxy SSL ou de proxy TCP.