Ein DDoS-Angriff (Distributed Denial of Service) ist ein absichtlicher Versuch eines feindlichen Akteurs, den Betrieb von öffentlich zugänglichen Websites, Systemen und APIs zu stören, mit dem Ziel, die Erfahrung von legitimen Nutzern zu beeinträchtigen. Für Arbeitslasten mit externe Passthrough-Network Load Balancer, Protokollweiterleitung oder VMs mit öffentlichen IP-Adressen bietet Google Cloud Armor die folgenden Optionen zum Schutz Systeme gegen DDoS-Angriffe:
- Standard-DDoS-Schutz für Netzwerke: grundlegender, immer aktiver Schutz für den externen Passthrough-Network Load Balancer Protokollweiterleitung oder VMs mit öffentlichen IP-Adressen. Dies ist von Google Cloud Armor Standard abgedeckt und erfordert keine zusätzliche Abos.
- Erweiterter DDoS-Schutz für Netzwerke: zusätzlicher Schutz für Cloud Armor Enterprise-Abonnenten, die einen externen Passthrough-Network Load Balancer verwenden, Protokollweiterleitung oder VMs mit öffentlichen IP-Adressen. Weitere Informationen zu Cloud Armor Enterprise finden Sie in den Cloud Armor Enterprise – Übersicht
In diesem Dokument wird der Unterschied zwischen Standard- und erweitertem DDoS-Schutz für Netzwerke erläutert. wie der erweiterte DDoS-Schutz für Netzwerke funktioniert und wie Sie ihn aktivieren.
Standard- und erweiterten DDoS-Schutz für Netzwerke vergleichen
In der folgenden Tabelle werden die Standard- und erweiterten DDoS-Schutzfunktionen verglichen.
Feature | DDoS-Standardschutz | Erweiterter DDoS-Netzwerkschutz |
---|---|---|
Typ des geschützten Endpunkts |
|
|
Erzwingung von Weiterleitungsregeln | ||
Immer aktive Angriffsüberwachung und -benachrichtigung | ||
Gezielte Angriffe abwehren | ||
Telemetrie zur Schadensabwehr |
Funktionsweise des Netzwerk-DDoS-Schutzes
Der DDoS-Standardschutz ist immer aktiviert. Sie müssen nichts unternehmen, um sie zu aktivieren.
Sie konfigurieren den erweiterten DDoS-Netzwerkschutz pro Region. Anstelle von Verknüpfen der Sicherheitsrichtlinie für den Netzwerk-Edge mit einem oder mehreren Zielpools Zielinstanzen, Back-End-Diensten oder Instanzen mit externen IP-Adressen mit einem Netzwerk-Edge-Sicherheitsdienst in einer bestimmten Region verknüpfen. Wenn Sie es für diese Region aktivieren, bietet Google Cloud Armor Gezielte partitionierte Angriffserkennung und -abwehr für externen Passthrough-Network Load Balancer, Protokoll sowie die Weiterleitung und VMs mit öffentlichen IP-Adressen in dieser Region. Sie können nur erweiterten Netzwerk-DDoS-Schutzes für Projekte, die registriert sind Cloud Armor Enterprise
Wenn Sie den erweiterten DDoS-Schutz konfigurieren, erstellen Sie zuerst eine Sicherheitsrichtlinie vom Typ CLOUD_ARMOR_NETWORK
in einer von Ihnen ausgewählten Region. Als Nächstes aktualisieren Sie die Sicherheitsrichtlinie, um den erweiterten DDoS-Netzwerkschutz zu aktivieren. Schließlich erstellen Sie einen Edge-Netzwerk-Sicherheitsdienst, eine Ressource, an die Sie Sicherheitsrichtlinien vom Typ CLOUD_ARMOR_NETWORK
anhängen können. Wenn Sie die Sicherheitsrichtlinie an den Edge-Netzwerk-Sicherheitsdienst anhängen, wird der erweiterte DDoS-Schutz für alle anwendbaren Endpunkte in der von Ihnen ausgewählten Region aktiviert.
Der erweiterte DDoS-Schutz für Netzwerke misst den Basistraffic, um die Risikominderung zu verbessern die Leistung. Wenn Sie den erweiterten DDoS-Schutz für Netzwerke aktivieren, dauert das Training 24 Stunden, bevor der erweiterte DDoS-Schutz für Netzwerke eine zuverlässige Referenz entwickelt und um die Abhilfemaßnahmen zu verbessern. Nach der Trainingsphase mit dem erweiterten DDoS-Schutz für Netzwerke werden zusätzliche Risikominderungstechniken basierend auf Zugriffe.
Erweiterten DDoS-Schutz für Netzwerke aktivieren
Führen Sie die folgenden Schritte aus, um den erweiterten DDoS-Schutz für Netzwerke zu aktivieren.
Bei Cloud Armor Enterprise registrieren
Zum Aktivieren muss Ihr Projekt bei Cloud Armor Enterprise registriert sein erweiterten DDoS-Schutzes für Netzwerke auf regionaler Basis. Nach der Aktivierung werden alle regionalen Endpunkte in der aktivierten Region erhalten immer aktiven erweiterten DDoS-Schutz für Netzwerke.
Achten Sie darauf, dass ein aktives Cloud Armor Enterprise-Abo in Ihrem Rechnungskonto und dass das aktuelle Projekt in Cloud Armor Enterprise Weitere Informationen zur Anmeldung für Cloud Armor Enterprise, siehe Cloud Armor Enterprise abonnieren und Projekte registrieren
Berechtigungen für die Identitäts- und Zugriffsverwaltung (Identity and Access Management, IAM) konfigurieren
So konfigurieren, aktualisieren oder löschen Sie einen Google Cloud Armor-Edge-Sicherheitsdienst: Sie benötigen die folgenden IAM-Berechtigungen:
compute.networkEdgeSecurityServices.create
compute.networkEdgeSecurityServices.update
compute.networkEdgeSecurityServices.get
compute.networkEdgeSecurityServices.delete
In der folgenden Tabelle sind die grundlegenden Berechtigungen der IAM-Rollen und die zugehörigen API-Methoden aufgeführt.
IAM-Berechtigung | API-Methoden |
---|---|
compute.networkEdgeSecurityServices.create |
networkEdgeSecurityServices insert |
compute.networkEdgeSecurityServices.update |
networkEdgeSecurityServices patch |
compute.networkEdgeSecurityServices.get |
networkEdgeSecurityServices get |
compute.networkEdgeSecurityServices.delete |
networkEdgeSecurityServices delete |
compute.networkEdgeSecurityServices.list |
networkEdgeSecurityServices aggregatedList |
Weitere Informationen zu den IAM-Berechtigungen, die Sie bei der Verwendung von Google Cloud Armor, siehe Richten Sie IAM-Berechtigungen für Google Cloud Armor-Sicherheitsrichtlinien ein.
Erweiterten DDoS-Schutz für Netzwerke konfigurieren
Führen Sie die folgenden Schritte aus, um den erweiterten DDoS-Schutz für Netzwerke zu aktivieren.
Erstellen Sie eine Sicherheitsrichtlinie vom Typ
CLOUD_ARMOR_NETWORK
oder verwenden Sie eine vorhandene Sicherheitsrichtlinie vom TypCLOUD_ARMOR_NETWORK
.gcloud compute security-policies create SECURITY_POLICY_NAME \ --type CLOUD_ARMOR_NETWORK \ --region REGION
Ersetzen Sie Folgendes:
SECURITY_POLICY_NAME
: der gewünschte Name Ihre Sicherheitsrichtlinie, umREGION
ist die Region, in der die bereitzustellende Sicherheitsrichtlinie
Aktualisieren Sie die neu erstellte oder vorhandene Sicherheitsrichtlinie durch Festlegen des Flag
--network-ddos-protection
inADVANCED
.gcloud compute security-policies update SECURITY_POLICY_NAME \ --network-ddos-protection ADVANCED \ --region REGION
Alternativ können Sie das Flag
--network-ddos-protection
aufADVANCED_PREVIEW
, um die Sicherheitsrichtlinie zu aktivieren in Vorschaumodus aktivieren.gcloud beta compute security-policies update SECURITY_POLICY_NAME \ --network-ddos-protection ADVANCED_PREVIEW \ --region REGION
Erstellen Sie einen Edge-Netzwerk-Sicherheitsdienst, der auf Ihre Sicherheitsrichtlinie verweist.
gcloud compute network-edge-security-services create SERVICE_NAME \ --security-policy SECURITY_POLICY_NAME \ --region REGION
Erweiterten DDoS-Netzwerkschutz deaktivieren
Zum Deaktivieren des erweiterten DDoS-Schutzes für Netzwerke können Sie die Sicherheitseinstellungen aktualisieren oder löschen .
Sicherheitsrichtlinie aktualisieren
Aktualisieren Sie mit dem folgenden Befehl Ihre Sicherheitsrichtlinie und legen Sie das Flag --network-ddos-protection
auf STANDARD
fest. Ersetzen Sie Variablen durch Informationen, die für Ihre Bereitstellung relevant sind.
gcloud compute security-policies update SECURITY_POLICY_NAME \ --network-ddos-protection STANDARD \ --region REGION
Sicherheitsrichtlinie löschen
Bevor Sie eine Sicherheitsrichtlinie für den Netzwerk-Edge löschen können, müssen Sie sie zuerst entfernen aus dem Sicherheitsdienst des Netzwerk-Edges, da Sie aktive Sicherheitsrichtlinien. So löschen Sie Ihre Sicherheitsrichtlinie:
Entfernen Sie Ihre Richtlinie aus dem Edge-Netzwerk-Sicherheitsdienst oder löschen Sie den Edge-Netzwerk-Sicherheitsdienst.
Um Ihre Richtlinie aus dem Sicherheitsdienst des Netzwerk-Edges zu entfernen, verwenden Sie den folgenden Befehl:
gcloud compute network-edge-security-services update SERVICE_NAME \ --security-policy="" \ --region=REGION_NAME
Verwenden Sie den folgenden Befehl, um den Sicherheitsdienst für den Netzwerk-Edge zu löschen:
gcloud compute network-edge-security-services delete SERVICE_NAME \ --region=REGION_NAME
Löschen Sie die Sicherheitsrichtlinie mit dem folgenden Befehl:
gcloud compute security-policies delete SECURITY_POLICY_NAME
Vorschaumodus verwenden
Im Vorschaumodus können Sie die Auswirkungen des erweiterten DDoS-Schutzes für Netzwerke im Blick behalten ohne die Risikominderung durchzusetzen.
Abonnenten von Cloud Armor Enterprise können den Vorschaumodus auch für erweiterten DDoS-Schutzrichtlinien für Netzwerke. Im Vorschaumodus erhalten Sie alle Logging- und Telemetrie über den erkannten Angriff und die vorgeschlagene Risikominderung. Die die vorgeschlagene Risikominderung nicht durchgesetzt wird. So können Sie die der Risikominderung vor der Aktivierung. Da jede Richtlinie können Sie den Vorschaumodus für jede Region aktivieren oder deaktivieren.
Um den Vorschaumodus zu aktivieren, setzen Sie das Flag --ddos-protection
auf ADVANCED_PREVIEW
.
Mit dem folgenden Beispiel können Sie eine vorhandene Richtlinie aktualisieren.
gcloud beta compute security-policies update POLICY_NAME \ --network-ddos-protection ADVANCED_PREVIEW \ --region=REGION
Ersetzen Sie Folgendes:
POLICY_NAME
: der Name Ihrer RichtlinieREGION
: Region, in der sich Ihre Richtlinie befindet befindet.
Wenn sich Ihre Sicherheitsrichtlinie während eines aktiven Angriffs im Vorschaumodus befindet und Sie
können Sie Ihre Sicherheitsrichtlinie aktualisieren, um die
Flag --network-ddos-protection
in ADVANCED
. Die Richtlinie wird erzwungen
fast sofort und das nächste MITIGATION_ONGOING
-Logging-Ereignis gibt den Wert
ändern können. MITIGATION_ONGOING
-Logging-Ereignisse treten alle fünf Minuten auf.
Telemetrie zur DDoS-Abwehr im Netzwerk
Google Cloud Armor generiert bei der DDoS-Abwehr drei Arten von Ereignislogs
Angriffe: MITIGATION_STARTED
, MITIGATION_ONGOING
und MITIGATION_ENDED
. Ich
können Sie die folgenden Logfilter verwenden, um Ihre Logs nach Art der Risikominderung anzusehen:
Art der Risikominderung | Log filter |
---|---|
Beginn der Risikominderung | resource.type="network_security_policy" jsonPayload.mitigationType="MITIGATION_STARTED" |
Abwehr wird ausgeführt | resource.type="network_security_policy" jsonPayload.mitigationType="MITIGATION_ONGOING" |
Ende der Entschärfung | resource.type="network_security_policy" jsonPayload.mitigationType="MITIGATION_ENDED" |
Ereignisprotokolle der Cloud Logging-Angriffsabwehr
Die folgenden Abschnitte enthalten Beispiele für das Logformat für jeden Typ von Ereignisprotokoll:
Abwehr gestartet
@type: "type.googleapis.com/google.cloud.networksecurity.cloudarmor.logging.v1.CloudArmorMitigationAlert" alertId: "11275630857957031521" mitigation_type: "MITIGATION_STARTED" target_vip: "XXX.XXX.XXX.XXX" total_volume: { pps: 1400000 bps: 140000000 } started: { total_attack_volume: { pps: 1100000 bps: 110000000 } classified_attack: { attack_type: "NTP-udp" attack_volume: { pps: 500000 bps: 50000000 } } classified_attack: { attack_type: "CHARGEN-udp" attack_volume: { pps: 600000 bps: 60000000 } } }
Abwehr wird ausgeführt
@type: "type.googleapis.com/google.cloud.networksecurity.cloudarmor.logging.v1.CloudArmorMitigationAlert" alertId: "11275630857957031521" mitigation_type: "MITIGATION_ONGOING" target_vip: "XXX.XXX.XXX.XXX" total_volume: { pps: 1500000 bps: 150000000 } ongoing: { total_attack_volume: { pps: 1100000 bps: 110000000 } classified_attack: { attack_type: "NTP-udp" attack_volume: { pps: 500000 bps: 50000000 } } classified_attack: { attack_type: "CHARGEN-udp" attack_volume: { pps: 600000 bps: 60000000 } } }
Abwehr abgeschlossen
@type: "type.googleapis.com/google.cloud.networksecurity.cloudarmor.logging.v1.CloudArmorMitigationAlert" alertId: "11275630857957031521" mitigation_type: "MITIGATION_ENDED" target_vip: "XXX.XXX.XXX.XXX" ended: { attack_duration_seconds: 600 attack_type: "NTP-udp" }
Im Vorschaumodus ist jeder der vorangehenden mitigation_type
s vorangestellt.
von PREVIEWED_
Im Vorschaumodus wird stattdessen MITIGATION_STARTED
PREVIEWED_MITIGATION_STARTED
.
Wenn Sie diese Logs ansehen möchten, rufen Sie den Log-Explorer auf und rufen Sie die Ressource network_security_policy
auf.
Weitere Informationen zum Aufrufen von Logs finden Sie auf der Seite Logs ansehen.