自动部署自动调节式保护建议的规则

本文档提供了自动部署自动调节式保护生成的建议规则的配置步骤。如需启用自动规则部署,您必须创建具有以下值的占位符规则:

  • 匹配表达式:evaluateAdaptiveProtectionAutoDeploy()
  • 操作:任何
  • 优先级:任何。对于优先级高的合法流量,我们建议您将显式允许规则设置为具有比其他规则更高的优先级。

如果您在外部 HTTP(S) 负载均衡器前端使用上游代理(例如第三方 CDN),我们建议您不要配置自动规则部署,因为这可能会无意中阻止来自上游代理的流量。

占位符规则示例

以下命令是名为 POLICY_NAME 的安全政策的示例占位符规则,其中每个规则都具有不同的规则操作。您可以将这些规则添加到现有安全政策,也可以创建新政策。如需详细了解如何创建安全政策,请参阅配置 Google Cloud Armor 安全政策

阻止恶意流量

对于自动调节式保护识别为攻击流量的请求,此示例规则的求值结果为 true,Google Cloud Armor 会对攻击请求阻止操作。

gcloud compute security-policies rules create 1000 \
    --security-policy POLICY_NAME \
    --expression "evaluateAdaptiveProtectionAutoDeploy()" \
    --action deny-403

将恶意流量重定向到 reCAPTCHA 验证

此示例规则将自动调节式保护识别为恶意的流量重定向到 reCAPTCHA 验证:

gcloud compute security-policies rules create 1000 \
    --security-policy POLICY_NAME \
    --expression "evaluateAdaptiveProtectionAutoDeploy()" \
    --action redirect \
    --redirect-type google-recaptcha

限制恶意流量的速率

此示例将 Google Cloud Armor 速率限制应用于自动调节式保护识别为恶意的流量:

gcloud compute security-policies rules create 1000 \
    --security-policy POLICY_NAME \
    --expression "evaluateAdaptiveProtectionAutoDeploy()" \
    --action throttle \
    --rate-limit-threshold-count 500 \
    --rate-limit-threshold-interval-sec 120 \
    --conform-action allow \
    --exceed-action deny-404 \
    --enforce-on-key ip

配置敏感度参数

您可以通过调整以下参数来配置自动部署的规则的敏感度。如果您不配置参数,Google Cloud Armor 会使用默认值:

  • 负载阈值:在收到提醒的攻击期间,只有当受攻击的后端服务的负载超出此阈值时,自动调节式保护才会标识新的攻击者。
    • 默认值:0.8
  • 置信度阈值:仅针对置信度分数高于此阈值的潜在攻击的提醒自动部署规则。
    • 默认值:0.5
  • 受影响的基准阈值:仅当建议的缓解措施对基准流量的预计影响低于此阈值时,系统才会自动部署规则。
    • 默认值:0.01
  • 设置的到期时间:在此时长之后,Google Cloud Armor 会停止将自动部署的规则中的操作应用于已识别的攻击者。该规则会继续针对新请求执行。
    • 默认值:7200

您可以通过以下示例命令更新安全政策以使用非默认敏感度参数。将 NAME 替换为您的安全政策的名称,并将其余变量替换为您希望用于政策的值。

gcloud beta compute security-policies update NAME [
    --layer7-ddos-defense-auto-deploy-load-threshold LOAD_THRESHOLD
    --layer7-ddos-defense-auto-deploy-confidence-threshold CONFIDENCE_THRESHOLD
    --layer7-ddos-defense-auto-deploy-impacted-baseline-threshold IMPACTED_BASELINE_THRESHOLD
    --layer7-ddos-defense-auto-deploy-expiration-sec EXPIRATION_SEC
]

限制

  • 无法使用 Google Cloud 控制台配置配置参数(包括敏感度)。
  • 我们建议您在使用上游代理时不使用自动规则部署。
  • 自动调节式保护仅适用于附加到通过外部 HTTP(S) 负载均衡器公开的后端服务的后端安全政策。自动调节式保护不适用于外部 SSL 代理负载均衡器或外部 TCP 代理负载均衡器。