Ein DDoS-Angriff (Distributed Denial of Service) ist ein absichtlicher Versuch eines feindlichen Akteurs, den Betrieb von öffentlich zugänglichen Websites, Systemen und APIs zu stören, mit dem Ziel, die Erfahrung von legitimen Nutzern zu beeinträchtigen. Für Arbeitslasten, die externe Passthrough-Network Load Balancer, Protokollweiterleitung oder VMs mit öffentlichen IP-Adressen verwenden, bietet Google Cloud Armor die folgenden Optionen, um Systeme vor DDoS-Angriffen zu schützen:
- Standard-DDoS-Schutz für Netzwerke: grundlegender Always-On-Schutz für externen Passthrough-Network Load Balancer, für die Protokollweiterleitung oder für VMs mit öffentlichen IP-Adressen. Dies wird von Google Cloud Armor Standard abgedeckt und erfordert keine zusätzlichen Abos.
- Erweiterter DDoS-Schutz für Netzwerke: Zusätzliche Schutzmaßnahmen für Cloud Armor Enterprise-Abonnenten, die einen externen Passthrough-Network Load Balancer, eine Protokollweiterleitung oder VMs mit öffentlichen IP-Adressen verwenden. Weitere Informationen zu Cloud Armor Enterprise finden Sie in der Übersicht zu Cloud Armor Enterprise.
In diesem Dokument wird der Unterschied zwischen Standard- und erweitertem DDoS-Schutz für Netzwerke erläutert. Außerdem erfahren Sie, wie der erweiterte DDoS-Schutz für Netzwerke funktioniert und wie Sie ihn aktivieren.
Standard- und erweiterten DDoS-Schutz für Netzwerke vergleichen
In der folgenden Tabelle werden die Standard- und erweiterten DDoS-Schutzfunktionen verglichen.
| Feature | DDoS-Standardschutz | Erweiterter DDoS-Netzwerkschutz |
|---|---|---|
| Typ des geschützten Endpunkts |
|
|
| Erzwingung von Weiterleitungsregeln | ||
| Immer aktive Angriffsüberwachung und -benachrichtigung | ||
| Gezielte Angriffe abwehren | ||
| Telemetrie zur Schadensabwehr |
Funktionsweise des Netzwerk-DDoS-Schutzes
Der DDoS-Standardschutz ist immer aktiviert. Sie müssen nichts unternehmen, um sie zu aktivieren.
Sie konfigurieren den erweiterten DDoS-Netzwerkschutz pro Region. Anstatt die Sicherheitsrichtlinie für den Netzwerk-Edge mit einem oder mehreren Zielpools, Zielinstanzen, Back-End-Diensten oder Instanzen mit externen IP-Adressen zu verknüpfen, ordnen Sie sie einem Netzwerk-Edge-Sicherheitsdienst in einer bestimmten Region zu. Wenn Sie die Funktion für diese Region aktivieren, bietet Google Cloud Armor die immer aktive Erkennung und Abwehr von volumenbezogenen Angriffen für den externen Passthrough-Network Load Balancer, für die Protokollweiterleitung und für VMs mit öffentlichen IP-Adressen in dieser Region. Sie können den erweiterten DDoS-Schutz für Netzwerke nur auf Projekte anwenden, die bei Cloud Armor Enterprise registriert sind.
Wenn Sie den erweiterten DDoS-Schutz konfigurieren, erstellen Sie zuerst eine Sicherheitsrichtlinie vom Typ CLOUD_ARMOR_NETWORK in einer von Ihnen ausgewählten Region. Als Nächstes aktualisieren Sie die Sicherheitsrichtlinie, um den erweiterten DDoS-Netzwerkschutz zu aktivieren. Schließlich erstellen Sie einen Edge-Netzwerk-Sicherheitsdienst, eine Ressource, an die Sie Sicherheitsrichtlinien vom Typ CLOUD_ARMOR_NETWORK anhängen können. Wenn Sie die Sicherheitsrichtlinie an den Edge-Netzwerk-Sicherheitsdienst anhängen, wird der erweiterte DDoS-Schutz für alle anwendbaren Endpunkte in der von Ihnen ausgewählten Region aktiviert.
Der erweiterte DDoS-Schutz für Netzwerke misst den Basistraffic, um die Minderungsleistung zu verbessern. Wenn Sie den erweiterten DDoS-Schutz für Netzwerke aktivieren, dauert es einen Trainingszeitraum von 24 Stunden, bevor der erweiterte DDoS-Schutz für Netzwerke eine zuverlässige Referenz entwickelt und dieses Training zur Verbesserung der Abwehrmaßnahmen verwenden kann. Nach Ablauf der Trainingsphase wendet der erweiterte DDoS-Netzwerkschutz für Netzwerke zusätzliche Abwehrtechniken auf Grundlage des bisherigen Traffics an.
Erweiterten DDoS-Schutz für Netzwerke aktivieren
Führen Sie die folgenden Schritte aus, um den erweiterten DDoS-Schutz für Netzwerke zu aktivieren.
Bei Cloud Armor Enterprise registrieren
Ihr Projekt muss bei Cloud Armor Enterprise registriert sein, um den erweiterten Netzwerk-DDoS-Schutz für einzelne Regionen zu aktivieren. Nach der Aktivierung erhalten alle regionalen Endpunkte in der aktivierten Region immer aktiven erweiterten DDoS-Schutz für Netzwerke.
Prüfen Sie, ob ein aktives Cloud Armor Enterprise-Abo in Ihrem Rechnungskonto vorhanden ist und das aktuelle Projekt bei Cloud Armor Enterprise registriert ist. Weitere Informationen zum Registrieren bei Cloud Armor Enterprise finden Sie unter Cloud Armor Enterprise abonnieren und Projekte registrieren.
Berechtigungen für die Identitäts- und Zugriffsverwaltung (Identity and Access Management, IAM) konfigurieren
Zum Konfigurieren, Aktualisieren oder Löschen eines Google Cloud Armor-Edge-Sicherheitsdienstes benötigen Sie die folgenden IAM-Berechtigungen:
compute.networkEdgeSecurityServices.createcompute.networkEdgeSecurityServices.updatecompute.networkEdgeSecurityServices.getcompute.networkEdgeSecurityServices.delete
In der folgenden Tabelle sind die grundlegenden Berechtigungen der IAM-Rollen und die zugehörigen API-Methoden aufgeführt.
| IAM-Berechtigung | API-Methoden |
|---|---|
compute.networkEdgeSecurityServices.create |
networkEdgeSecurityServices insert |
compute.networkEdgeSecurityServices.update |
networkEdgeSecurityServices patch |
compute.networkEdgeSecurityServices.get |
networkEdgeSecurityServices get |
compute.networkEdgeSecurityServices.delete |
networkEdgeSecurityServices delete |
compute.networkEdgeSecurityServices.list |
networkEdgeSecurityServices aggregatedList |
Weitere Informationen zu den IAM-Berechtigungen für die Verwendung von Google Cloud Armor finden Sie unter IAM-Berechtigungen für Google Cloud Armor-Sicherheitsrichtlinien einrichten.
Erweiterten DDoS-Schutz für Netzwerke konfigurieren
Führen Sie die folgenden Schritte aus, um den erweiterten DDoS-Schutz für Netzwerke zu aktivieren.
Erstellen Sie eine Sicherheitsrichtlinie vom Typ
CLOUD_ARMOR_NETWORKoder verwenden Sie eine vorhandene Sicherheitsrichtlinie vom TypCLOUD_ARMOR_NETWORK.gcloud compute security-policies create SECURITY_POLICY_NAME \ --type CLOUD_ARMOR_NETWORK \ --region REGIONErsetzen Sie Folgendes:
SECURITY_POLICY_NAME: der Name, den die Sicherheitsrichtlinie haben sollREGION: Region, in der die Sicherheitsrichtlinie bereitgestellt werden soll
Aktualisieren Sie die neu erstellte oder vorhandene Sicherheitsrichtlinie, indem Sie das Flag
--network-ddos-protectionaufADVANCEDsetzen.gcloud compute security-policies update SECURITY_POLICY_NAME \ --network-ddos-protection ADVANCED \ --region REGIONAlternativ können Sie das Flag
--network-ddos-protectionaufADVANCED_PREVIEWsetzen, um die Sicherheitsrichtlinie im Vorschaumodus zu aktivieren.gcloud beta compute security-policies update SECURITY_POLICY_NAME \ --network-ddos-protection ADVANCED_PREVIEW \ --region REGIONErstellen Sie einen Edge-Netzwerk-Sicherheitsdienst, der auf Ihre Sicherheitsrichtlinie verweist.
gcloud compute network-edge-security-services create SERVICE_NAME \ --security-policy SECURITY_POLICY_NAME \ --region REGION
Erweiterten DDoS-Netzwerkschutz deaktivieren
Wenn Sie den erweiterten DDoS-Schutz für Netzwerke deaktivieren möchten, können Sie die Sicherheitsrichtlinie entweder aktualisieren oder löschen.
Sicherheitsrichtlinie aktualisieren
Aktualisieren Sie mit dem folgenden Befehl Ihre Sicherheitsrichtlinie und legen Sie das Flag --network-ddos-protection auf STANDARD fest. Ersetzen Sie Variablen durch Informationen, die für Ihre Bereitstellung relevant sind.
gcloud compute security-policies update SECURITY_POLICY_NAME \
--network-ddos-protection STANDARD \
--region REGION
Sicherheitsrichtlinie löschen
Bevor Sie eine Sicherheitsrichtlinie für den Netzwerk-Edge löschen können, müssen Sie sie aus dem Sicherheitsdienst für den Netzwerk-Edge entfernen, da Sie gerade verwendete Sicherheitsrichtlinien nicht löschen können. So löschen Sie Ihre Sicherheitsrichtlinie:
Entfernen Sie Ihre Richtlinie aus dem Edge-Netzwerk-Sicherheitsdienst oder löschen Sie den Edge-Netzwerk-Sicherheitsdienst.
Verwenden Sie den folgenden Befehl, um die Richtlinie aus dem Sicherheitsdienst des Netzwerk-Edges zu entfernen:
gcloud compute network-edge-security-services update SERVICE_NAME \ --security-policy="" \ --region=REGION_NAME
Verwenden Sie den folgenden Befehl, um den Sicherheitsdienst für den Netzwerk-Edge zu löschen:
gcloud compute network-edge-security-services delete SERVICE_NAME \ --region=REGION_NAME
Löschen Sie die Sicherheitsrichtlinie mit dem folgenden Befehl:
gcloud compute security-policies delete SECURITY_POLICY_NAME
Vorschaumodus verwenden
Im Vorschaumodus können Sie die Auswirkungen des erweiterten DDoS-Schutzes für Netzwerke überwachen, ohne die Entschärfung zu erzwingen.
Abonnenten von Cloud Armor Enterprise können auch den Vorschaumodus für erweiterte DDoS-Schutzrichtlinien für Netzwerke aktivieren. Im Vorschaumodus erhalten Sie das gesamte Logging und alle Telemetriedaten zum erkannten Angriff und zur vorgeschlagenen Abwehr. Die vorgeschlagene Entschärfung wird jedoch nicht erzwungen. So können Sie die Wirksamkeit der Abhilfemaßnahme testen, bevor Sie sie aktivieren. Da jede Richtlinie pro Region konfiguriert wird, können Sie den Vorschaumodus für jede Region aktivieren oder deaktivieren.
Um den Vorschaumodus zu aktivieren, setzen Sie das Flag --ddos-protection auf ADVANCED_PREVIEW.
Mit dem folgenden Beispiel können Sie eine vorhandene Richtlinie aktualisieren.
gcloud beta compute security-policies update POLICY_NAME \
--network-ddos-protection ADVANCED_PREVIEW \
--region=REGION
Ersetzen Sie Folgendes:
POLICY_NAME: der Name Ihrer RichtlinieREGIONist die Region, in der sich Ihre Richtlinie befindet.
Wenn sich Ihre Sicherheitsrichtlinie während eines aktiven Angriffs im Vorschaumodus befindet und Sie die Abwehrmaßnahmen erzwingen möchten, können Sie Ihre Sicherheitsrichtlinie aktualisieren und das Flag --network-ddos-protection auf ADVANCED setzen. Die Richtlinie wird nahezu sofort erzwungen und das nächste MITIGATION_ONGOING-Logging-Ereignis spiegelt die Änderung wider. MITIGATION_ONGOING-Logging-Ereignisse treten alle fünf Minuten auf.
Telemetrie zur DDoS-Abwehr im Netzwerk
In den folgenden Abschnitten wird erläutert, wie Telemetrie verwendet werden kann, um Angriffe und ihre Quellen zu analysieren.
Ereignisprotokolle der Cloud Logging-Angriffsabwehr
Google Cloud Armor generiert drei Arten von Ereignislogs, um DDoS-Angriffe abzuwenden. Die folgenden Abschnitte enthalten Beispiele für das Logformat für jeden Typ von Ereignisprotokoll:
Abwehr gestartet
@type: "type.googleapis.com/google.cloud.networksecurity.cloudarmor.logging.v1.CloudArmorMitigationAlert"
alertId: "11275630857957031521"
mitigation_type: "MITIGATION_STARTED"
target_vip: "XXX.XXX.XXX.XXX"
total_volume: {
pps: 1400000
bps: 140000000
}
started: {
total_attack_volume: {
pps: 1100000
bps: 110000000
}
classified_attack: {
attack_type: "NTP-udp"
attack_volume: {
pps: 500000
bps: 50000000
}
}
classified_attack: {
attack_type: "CHARGEN-udp"
attack_volume: {
pps: 600000
bps: 60000000
}
}
}
Abwehr wird ausgeführt
@type: "type.googleapis.com/google.cloud.networksecurity.cloudarmor.logging.v1.CloudArmorMitigationAlert"
alertId: "11275630857957031521"
mitigation_type: "MITIGATION_ONGOING"
target_vip: "XXX.XXX.XXX.XXX"
total_volume: {
pps: 1500000
bps: 150000000
}
ongoing: {
total_attack_volume: {
pps: 1100000
bps: 110000000
}
classified_attack: {
attack_type: "NTP-udp"
attack_volume: {
pps: 500000
bps: 50000000
}
}
classified_attack: {
attack_type: "CHARGEN-udp"
attack_volume: {
pps: 600000
bps: 60000000
}
}
}
Abwehr abgeschlossen
@type: "type.googleapis.com/google.cloud.networksecurity.cloudarmor.logging.v1.CloudArmorMitigationAlert"
alertId: "11275630857957031521"
mitigation_type: "MITIGATION_ENDED"
target_vip: "XXX.XXX.XXX.XXX"
ended: {
attack_duration_seconds: 600
attack_type: "NTP-udp"
}
Im Vorschaumodus ist jedem der vorangehenden mitigation_types PREVIEWED_ vorangestellt. Im Vorschaumodus ist MITIGATION_STARTED beispielsweise PREVIEWED_MITIGATION_STARTED.
Wenn Sie diese Logs ansehen möchten, rufen Sie den Log-Explorer auf und rufen Sie die Ressource network_security_policy auf.
Weitere Informationen zum Aufrufen von Logs finden Sie auf der Seite Logs ansehen.