Halaman ini diterjemahkan oleh Cloud Translation API.

Mengonfigurasi perlindungan DDoS jaringan lanjutan

Serangan distributed denial of service (DDoS) adalah upaya yang disengaja oleh pelaku yang bermusuhan untuk mengganggu operasi situs, sistem, dan API yang ditampilkan secara publik, dengan tujuan menurunkan pengalaman pengguna yang sah. Untuk workload yang menggunakan Load Balancer Jaringan passthrough eksternal, penerusan protokol, atau VM dengan alamat IP publik, Google Cloud Armor menawarkan opsi berikut untuk membantu melindungi sistem dari serangan DDoS:

Perlindungan DDoS jaringan standar: perlindungan dasar yang selalu aktif untuk Load Balancer Jaringan passthrough eksternal, penerusan protokol, atau VM dengan alamat IP publik. Hal ini tercakup dalam Google Cloud Armor Standard dan tidak memerlukan langganan tambahan.
Perlindungan DDoS jaringan lanjutan: perlindungan tambahan untuk pelanggan Cloud Armor Enterprise yang menggunakan Load Balancer Jaringan passthrough eksternal, penerusan protokol, atau VM dengan alamat IP publik. Untuk informasi selengkapnya tentang Cloud Armor Enterprise, lihat ringkasan Cloud Armor Enterprise.

Dokumen ini menjelaskan perbedaan antara perlindungan DDoS jaringan standar dan lanjutan, cara kerja perlindungan DDoS jaringan lanjutan, dan cara mengaktifkan perlindungan DDoS jaringan lanjutan.

Membandingkan perlindungan DDoS jaringan standar dan lanjutan

Gunakan tabel berikut untuk membandingkan fitur perlindungan DDoS jaringan standar dan lanjutan.

Fitur	Perlindungan DDoS jaringan standar	Perlindungan DDoS jaringan tingkat lanjut
Jenis endpoint yang dilindungi	Load Balancer Jaringan passthrough eksternal Penerusan protokol VM dengan alamat IP publik	Load Balancer Jaringan passthrough eksternal Penerusan protokol VM dengan alamat IP publik
Penerapan aturan penerusan
Pemantauan dan pemberitahuan serangan yang selalu aktif
Mitigasi serangan yang ditargetkan
Telemetri mitigasi

Cara kerja perlindungan DDoS jaringan

Perlindungan DDoS jaringan standar selalu diaktifkan. Anda tidak perlu melakukan tindakan apa pun untuk mengaktifkannya.

Anda mengonfigurasi perlindungan DDoS jaringan lanjutan berdasarkan per region. Daripada mengaitkan kebijakan keamanan edge jaringan dengan satu atau beberapa target pool, instance target, layanan backend, atau instance dengan alamat IP eksternal, Anda mengaitkannya dengan layanan keamanan edge jaringan di region tertentu. Saat Anda mengaktifkannya untuk region tersebut, Google Cloud Armor akan memberikan deteksi dan mitigasi serangan volumetrik yang selalu aktif dan ditargetkan untuk Network Load Balancer passthrough eksternal, penerusan protokol, dan VM dengan alamat IP publik di region tersebut. Anda hanya dapat menerapkan perlindungan DDoS jaringan lanjutan ke project yang terdaftar di Cloud Armor Enterprise.

Saat mengonfigurasi perlindungan DDoS jaringan lanjutan, Anda harus membuat kebijakan keamanan berjenis CLOUD_ARMOR_NETWORK terlebih dahulu di region yang Anda pilih. Selanjutnya, Anda akan memperbarui kebijakan keamanan untuk mengaktifkan perlindungan DDoS jaringan lanjutan. Terakhir, Anda membuat layanan keamanan edge jaringan, resource yang dapat Anda lampirkan kebijakan keamanan jenis CLOUD_ARMOR_NETWORK. Melampirkan kebijakan keamanan ke layanan keamanan edge jaringan akan mengaktifkan perlindungan DDoS jaringan tingkat lanjut untuk semua endpoint yang berlaku di region yang Anda pilih.

Perlindungan DDoS jaringan tingkat lanjut mengukur traffic dasar pengukuran Anda untuk meningkatkan performa mitigasinya. Saat Anda mengaktifkan perlindungan DDoS jaringan lanjutan, ada periode pelatihan selama 24 jam sebelum perlindungan DDoS jaringan lanjutan mengembangkan dasar pengukuran yang andal dan dapat menggunakan pelatihannya untuk meningkatkan mitigasinya. Setelah periode pelatihan berakhir, perlindungan DDoS jaringan tingkat lanjut akan menerapkan teknik mitigasi tambahan berdasarkan traffic historis.

Mengaktifkan perlindungan DDoS jaringan tingkat lanjut

Gunakan langkah-langkah berikut untuk mengaktifkan perlindungan DDoS jaringan lanjutan.

Mendaftar ke Cloud Armor Enterprise

Project Anda harus terdaftar di Cloud Armor Enterprise untuk mengaktifkan perlindungan DDoS jaringan lanjutan per region. Setelah diaktifkan, semua endpoint regional di region yang diaktifkan akan menerima perlindungan DDoS jaringan lanjutan yang selalu aktif.

Pastikan ada langganan Cloud Armor Enterprise yang aktif di akun penagihan Anda, dan project saat ini terdaftar di Cloud Armor Enterprise. Untuk informasi selengkapnya tentang mendaftar ke Cloud Armor Enterprise, lihat Berlangganan Cloud Armor Enterprise dan mendaftarkan project.

Mengonfigurasi izin Identity and Access Management (IAM)

Untuk mengonfigurasi, memperbarui, atau menghapus layanan keamanan edge Google Cloud Armor, Anda memerlukan izin IAM berikut:

compute.networkEdgeSecurityServices.create
compute.networkEdgeSecurityServices.update
compute.networkEdgeSecurityServices.get
compute.networkEdgeSecurityServices.delete

Tabel berikut mencantumkan izin dasar peran IAM dan metode API terkaitnya.

Izin IAM	Metode API
`compute.networkEdgeSecurityServices.create`	`networkEdgeSecurityServices insert`
`compute.networkEdgeSecurityServices.update`	`networkEdgeSecurityServices patch`
`compute.networkEdgeSecurityServices.get`	`networkEdgeSecurityServices get`
`compute.networkEdgeSecurityServices.delete`	`networkEdgeSecurityServices delete`
`compute.networkEdgeSecurityServices.list`	`networkEdgeSecurityServices aggregatedList`

Untuk mengetahui informasi selengkapnya tentang izin IAM yang Anda perlukan saat menggunakan Google Cloud Armor, lihat Menyiapkan izin IAM untuk kebijakan keamanan Google Cloud Armor.

Mengonfigurasi perlindungan DDoS jaringan lanjutan

Gunakan langkah-langkah berikut untuk mengaktifkan perlindungan DDoS jaringan lanjutan.

Buat kebijakan keamanan jenis CLOUD_ARMOR_NETWORK, atau gunakan kebijakan keamanan yang ada dengan jenis CLOUD_ARMOR_NETWORK.
```
 gcloud compute security-policies create SECURITY_POLICY_NAME \
     --type CLOUD_ARMOR_NETWORK \
     --region REGION
```
Ganti kode berikut:
- SECURITY_POLICY_NAME: nama yang ingin Anda berikan untuk kebijakan keamanan
- REGION: region tempat Anda ingin menyediakan kebijakan keamanan

Perbarui kebijakan keamanan yang baru dibuat atau yang ada dengan menetapkan flag --network-ddos-protection ke ADVANCED.

 gcloud compute security-policies update SECURITY_POLICY_NAME \
     --network-ddos-protection ADVANCED \
     --region REGION

Atau, Anda dapat menetapkan tanda --network-ddos-protection ke ADVANCED_PREVIEW untuk mengaktifkan kebijakan keamanan dalam mode pratinjau.

 gcloud beta compute security-policies update SECURITY_POLICY_NAME \
     --network-ddos-protection ADVANCED_PREVIEW \
     --region REGION

Buat layanan keamanan edge jaringan yang mereferensikan kebijakan keamanan Anda.

 gcloud compute network-edge-security-services create SERVICE_NAME \
     --security-policy SECURITY_POLICY_NAME \
     --region REGION

Menonaktifkan perlindungan DDoS jaringan lanjutan

Untuk menonaktifkan perlindungan DDoS jaringan tingkat lanjut, Anda dapat memperbarui atau menghapus kebijakan keamanan.

Memperbarui kebijakan keamanan

Gunakan perintah berikut untuk memperbarui kebijakan keamanan Anda guna menetapkan flag --network-ddos-protection ke STANDARD. Ganti variabel dengan informasi yang relevan dengan deployment Anda.

gcloud compute security-policies update SECURITY_POLICY_NAME \
    --network-ddos-protection STANDARD \
    --region REGION

Menghapus kebijakan keamanan

Sebelum dapat menghapus kebijakan keamanan edge jaringan, Anda harus menghapusnya terlebih dahulu dari layanan keamanan edge jaringan karena Anda tidak dapat menghapus kebijakan keamanan yang sedang digunakan. Gunakan langkah-langkah berikut untuk menghapus kebijakan keamanan Anda:

Hapus kebijakan Anda dari layanan keamanan edge jaringan atau hapus layanan keamanan edge jaringan.
- Untuk menghapus kebijakan Anda dari layanan keamanan edge jaringan, gunakan perintah berikut:
```
gcloud compute network-edge-security-services update SERVICE_NAME \
 --security-policy="" \
 --region=REGION_NAME
```
- Untuk menghapus layanan keamanan tepi jaringan, gunakan perintah berikut:
```
gcloud compute network-edge-security-services delete SERVICE_NAME \
 --region=REGION_NAME
```

Hapus kebijakan keamanan menggunakan perintah berikut:

gcloud compute security-policies delete SECURITY_POLICY_NAME

Menggunakan mode pratinjau

Mode pratinjau memungkinkan Anda memantau efek perlindungan DDoS jaringan tingkat lanjut tanpa menerapkan mitigasi.

Pelanggan Cloud Armor Enterprise juga dapat mengaktifkan mode pratinjau untuk kebijakan perlindungan DDoS jaringan lanjutan. Dalam mode pratinjau, Anda menerima semua logging dan telemetri tentang serangan yang terdeteksi dan mitigasi yang diusulkan. Namun, mitigasi yang diusulkan tidak diterapkan. Hal ini memungkinkan Anda menguji efektivitas mitigasi sebelum mengaktifkannya. Karena setiap kebijakan dikonfigurasi per wilayah, Anda dapat mengaktifkan atau menonaktifkan mode pratinjau per wilayah.

Untuk mengaktifkan mode pratinjau, Anda menetapkan tanda --ddos-protection ke ADVANCED_PREVIEW. Anda dapat menggunakan contoh berikut untuk memperbarui kebijakan yang ada.

gcloud beta compute security-policies update POLICY_NAME \
    --network-ddos-protection ADVANCED_PREVIEW \
    --region=REGION

Ganti kode berikut:

POLICY_NAME: nama kebijakan Anda
REGION: region tempat kebijakan Anda berada.

Jika kebijakan keamanan Anda dalam mode pratinjau selama serangan aktif dan Anda ingin menerapkan mitigasi, Anda dapat memperbarui kebijakan keamanan untuk menetapkan tanda --network-ddos-protection ke ADVANCED. Kebijakan ini diterapkan hampir langsung, dan peristiwa logging MITIGATION_ONGOING berikutnya mencerminkan perubahan tersebut. Peristiwa logging MITIGATION_ONGOING terjadi setiap lima menit.

Telemetri mitigasi DDoS jaringan

Google Cloud Armor menghasilkan tiga jenis log peristiwa saat memitigasi serangan DDoS: MITIGATION_STARTED, MITIGATION_ONGOING, dan MITIGATION_ENDED. Anda dapat menggunakan filter log berikut untuk melihat log menurut jenis mitigasi:

Jenis mitigasi	Filter log
Awal mitigasi	resource.type="network_security_policy" jsonPayload.mitigationType="MITIGATION_STARTED"
Mitigasi sedang berlangsung	resource.type="network_security_policy" jsonPayload.mitigationType="MITIGATION_ONGOING"
Akhir mitigasi	resource.type="network_security_policy" jsonPayload.mitigationType="MITIGATION_ENDED"

Jenis mitigasi

Filter log

Awal mitigasi

resource.type="network_security_policy"

jsonPayload.mitigationType="MITIGATION_STARTED"

Mitigasi sedang berlangsung

resource.type="network_security_policy"

jsonPayload.mitigationType="MITIGATION_ONGOING"

Akhir mitigasi

resource.type="network_security_policy"

jsonPayload.mitigationType="MITIGATION_ENDED"

Log peristiwa mitigasi serangan Cloud Logging

Bagian berikut memberikan contoh format log untuk setiap jenis log peristiwa:

Mitigasi dimulai

  @type: "type.googleapis.com/google.cloud.networksecurity.cloudarmor.logging.v1.CloudArmorMitigationAlert"
  alertId: "11275630857957031521"
  mitigation_type: "MITIGATION_STARTED"
  target_vip: "XXX.XXX.XXX.XXX"
  total_volume: {
   pps: 1400000
   bps: 140000000
  }
  started: {
   total_attack_volume: {
    pps: 1100000
    bps: 110000000
   }
   classified_attack: {
    attack_type: "NTP-udp"
    attack_volume: {
       pps: 500000
       bps: 50000000
    }
   }
   classified_attack: {
    attack_type: "CHARGEN-udp"
    attack_volume: {
       pps: 600000
       bps: 60000000
    }
   }
   attack_sources: {
    top_source_asns: {
      asn: "ABCDEF"
      volume: {
        pps: 20000
        bps: 2000000
      }
    }
    top_source_asns: {
      asn: "UVWXYZ"
      volume: {
        pps: 20000
        bps: 2000000
      }
    }
    top_source_geos: {
      region_code: "XX"
      volume: {
        pps: 20000
        bps: 2000000
      }
    }
    top_source_geos: {
      region_code: "XY"
      volume: {
        pps: 20000
        bps: 2000000
      }
    }
   }
  }

Mitigasi sedang berlangsung

  @type: "type.googleapis.com/google.cloud.networksecurity.cloudarmor.logging.v1.CloudArmorMitigationAlert"
  alertId: "11275630857957031521"
  mitigation_type: "MITIGATION_ONGOING"
  target_vip: "XXX.XXX.XXX.XXX"
  total_volume: {
   pps: 1500000
   bps: 150000000
  }
  ongoing: {
   total_attack_volume: {
    pps: 1100000
    bps: 110000000
   }
   classified_attack: {
    attack_type: "NTP-udp"
    attack_volume: {
       pps: 500000
       bps: 50000000
    }
   }
   classified_attack: {
    attack_type: "CHARGEN-udp"
    attack_volume: {
       pps: 600000
       bps: 60000000
    }
   }
   attack_sources: {
    top_source_asns: {
      asn: "ABCDEF"
      volume: {
        pps: 20000
        bps: 2000000
      }
    }
    top_source_asns: {
      asn: "UVWXYZ"
      volume: {
        pps: 20000
        bps: 2000000
      }
    }
    top_source_geos: {
      region_code: "XX"
      volume: {
        pps: 20000
        bps: 2000000
      }
    }
    top_source_geos: {
      region_code: "XY"
      volume: {
        pps: 20000
        bps: 2000000
      }
    }
   }
  }

Mitigasi selesai

  @type: "type.googleapis.com/google.cloud.networksecurity.cloudarmor.logging.v1.CloudArmorMitigationAlert"
  alertId: "11275630857957031521"
  mitigation_type: "MITIGATION_ENDED"
  target_vip: "XXX.XXX.XXX.XXX"
  ended: {
      attack_duration_seconds: 600
      attack_type: "NTP-udp"
  }

Dalam mode pratinjau, setiap mitigation_type sebelumnya didahului oleh PREVIEWED_. Misalnya, dalam mode pratinjau, MITIGATION_STARTED adalah PREVIEWED_MITIGATION_STARTED.

Untuk melihat log ini, buka Logs Explorer dan lihat resource network_security_policy.

Buka Logs Explorer

Untuk mengetahui informasi selengkapnya tentang cara melihat log, lihat artikel Melihat log.

Temuan Security Command Center

Dasbor Security Command Center membantu Anda memantau dan merespons serangan DDoS volumetrik yang menargetkan Network Load Balancer passthrough dan virtual machine Anda. Saat Google Cloud Armor mendeteksi serangan, temuan khusus berlabel "Volumetric DDoS Attack Attempt - Network LB/VMs" akan muncul di dasbor dan kartu Google Cloud Armor.

Temuan ini mencakup link langsung ke log yang relevan, dan memberikan informasi berikut untuk membantu Anda memahami serangan:

Resource tertentu yang diserang
Volume traffic yang memengaruhi resource
Klasifikasi serangan (seperti UDP, TCP, atau SYN flood)

Temuan ini secara dinamis mencerminkan status serangan. Status serangan didasarkan pada peristiwa log berikut:

Mitigasi dimulai: temuan muncul saat tindakan mitigasi dimulai
Mitigasi sedang berlangsung: seiring mitigasi berlangsung, temuan akan diperbarui secara otomatis, sehingga Anda tetap mendapatkan informasi tentang situasi yang sedang berlangsung. Screenshot berikut menunjukkan contoh temuan aktif:

Temuan Security Command Center yang aktif (klik untuk memperbesar)
Mitigasi berakhir: saat serangan mereda dan mitigasi berakhir, temuan menjadi tidak aktif, sehingga memberikan catatan peristiwa. Screenshot berikut menampilkan contoh temuan tidak aktif:

Temuan Security Command Center yang tidak aktif (klik untuk memperbesar)

Langkah selanjutnya

Pelajari cara Mengonfigurasi kebijakan keamanan edge jaringan
Pelajari Cloud Armor Enterprise