Un ataque de denegación de servicio distribuido (DSD) es un intento deliberado por parte de un actor hostil para interrumpir las operaciones de los sitios, sistemas y API expuestos públicamente con el objetivo de degradar la experiencia de los usuarios legítimos. Para las cargas de trabajo que usan balanceadores de cargas de red de transferencia externos, reenvío de protocolos o VM con direcciones IP públicas, Google Cloud Armor ofrece las siguientes opciones para ayudar a proteger los sistemas de los ataques de DSD:
- Protección contra DSD de red estándar: Protección siempre activa básica para el balanceador de cargas de red de transferencia externo, el reenvío de protocolos o las VMs con direcciones IP públicas. Esto está cubierto por el nivel estándar de Google Cloud Armor y no requiere ninguna suscripción adicional.
- Protección avanzada contra DSD de red: Protecciones adicionales para los suscriptores de Cloud Armor Enterprise que usan un balanceador de cargas de red de transferencia externo, el reenvío de protocolos o las VM con direcciones IP públicas. Para obtener más información sobre Cloud Armor Enterprise, consulta la Descripción general de Cloud Armor Enterprise.
En este documento, se explica la diferencia entre la protección estándar y avanzada contra DSD de red, cómo funciona la protección avanzada contra DSD de red y cómo habilitarla.
Compara la protección contra DSD de red estándar y avanzada
Usa la siguiente tabla para comparar las características de protección estándar y avanzada contra DSD de red.
| Atributo | Protección estándar contra DSD de red | Protección avanzada contra DSD de red |
|---|---|---|
| Tipo de extremo protegido |
|
|
| Aplicación de la regla de reenvío | ||
| Supervisión y alertas de ataques siempre activas | ||
| Mitigación de ataques dirigidos | ||
| Telemetría de mitigación |
Cómo funciona la protección contra DSD de la red
La protección contra DSD de la red estándar siempre está habilitada. No es necesario realizar ninguna acción para habilitarla.
La protección contra DSD de red avanzada se configura por región. Cuando lo habilitas en una región en particular, Google Cloud Armor proporciona detección y mitigación de ataques volumétricos segmentados y siempre activos para el balanceador de cargas de red de transferencia externo, el reenvío de protocolos y las VM con direcciones IP públicas en esa región. Solo puedes aplicar la protección avanzada contra DSD de red a los proyectos inscritos en Cloud Armor Enterprise.
Cuando configuras la protección avanzada contra DSD de red, primero debes crear una política de seguridad del tipo CLOUD_ARMOR_NETWORK en la región que elijas. Luego, debes actualizar la política de seguridad para habilitar la protección avanzada contra DSD de red. Por último, debes crear un servicio de seguridad de red perimetral, un recurso al que puedes adjuntar políticas de seguridad de tipo CLOUD_ARMOR_NETWORK. Adjuntar la política de seguridad al servicio de seguridad perimetral de red habilita la protección avanzada contra DSD de red en todos los extremos aplicables de la región que elegiste.
La protección avanzada contra DSD de red mide el tráfico de referencia para mejorar el rendimiento de su mitigación. Cuando habilitas la protección avanzada contra DSD de red, hay un período de entrenamiento de 24 horas antes de que la protección avanzada contra DSD de red desarrolle un modelo de referencia confiable y pueda usar su entrenamiento para mejorar sus mitigaciones. Cuando finaliza el período de entrenamiento, la protección avanzada contra DSD de red aplica técnicas de mitigación adicionales basadas en el tráfico histórico.
Activa la protección contra DSD de red avanzada
Sigue estos pasos para activar la protección avanzada contra DSD de red.
Inscríbete en Cloud Armor Enterprise
Tu proyecto debe estar inscrito en Cloud Armor Enterprise para habilitar la protección avanzada contra DSD de red por región. Después de que se activan, todos los extremos regionales en la región activada reciben protección contra DSD de red avanzada siempre activa.
Asegúrate de que haya una suscripción activa a Cloud Armor Enterprise en tu cuenta de facturación y de que el proyecto actual esté inscrito en Cloud Armor Enterprise. Para obtener más información sobre la inscripción en Cloud Armor Enterprise, consulta Subscríbete a Cloud Armor Enterprise y, además, inscribe proyectos.
Configurar los permisos de Identity and Access Management (IAM)
Para configurar, actualizar o borrar un servicio de seguridad perimetral de Google Cloud Armor, necesitas los siguientes permisos de IAM:
compute.networkEdgeSecurityServices.createcompute.networkEdgeSecurityServices.updatecompute.networkEdgeSecurityServices.getcompute.networkEdgeSecurityServices.delete
En la siguiente tabla, se enumeran los permisos básicos de las funciones de IAM y sus métodos de API asociados.
| Permiso de IAM | Métodos de la API |
|---|---|
compute.networkEdgeSecurityServices.create |
networkEdgeSecurityServices insert |
compute.networkEdgeSecurityServices.update |
networkEdgeSecurityServices patch |
compute.networkEdgeSecurityServices.get |
networkEdgeSecurityServices get |
compute.networkEdgeSecurityServices.delete |
networkEdgeSecurityServices delete |
compute.networkEdgeSecurityServices.list |
networkEdgeSecurityServices aggregatedList |
Si quieres obtener más información sobre los permisos de IAM que necesitas cuando usas Google Cloud Armor, consulta Configura permisos de IAM para las políticas de seguridad de Google Cloud Armor.
Configura la protección avanzada contra DSD de red
Sigue estos pasos para habilitar la protección avanzada contra DSD de red.
Crea una política de seguridad de tipo
CLOUD_ARMOR_NETWORKo usa una política de seguridad existente con el tipoCLOUD_ARMOR_NETWORK.gcloud compute security-policies create SECURITY_POLICY_NAME \ --type CLOUD_ARMOR_NETWORK \ --region REGIONReemplaza lo siguiente:
SECURITY_POLICY_NAME: Es el nombre que deseas que tenga tu política de seguridad.REGION: Es la región en la que deseas que se aprovisione la política de seguridad.
Para actualizar la política de seguridad recién creada o existente, establece la marca
--network-ddos-protectionenADVANCED.gcloud compute security-policies update SECURITY_POLICY_NAME \ --network-ddos-protection ADVANCED \ --region REGIONTambién puedes establecer la marca
--network-ddos-protectionenADVANCED_PREVIEWpara habilitar la política de seguridad en el modo de vista previa.gcloud beta compute security-policies update SECURITY_POLICY_NAME \ --network-ddos-protection ADVANCED_PREVIEW \ --region REGIONCrea un servicio de seguridad perimetral de red que haga referencia a la política de seguridad.
gcloud compute network-edge-security-services create SERVICE_NAME \ --security-policy SECURITY_POLICY_NAME \ --region REGION
Inhabilita la protección avanzada contra DSD de la red
Para inhabilitar la protección avanzada contra DSD de red, puedes actualizar o borrar la política de seguridad.
Actualiza la política de seguridad
Usa el siguiente comando para actualizar la política de seguridad a fin de establecer la marca --network-ddos-protection en STANDARD. Reemplaza las variables con información relevante para tu implementación.
gcloud compute security-policies update SECURITY_POLICY_NAME \
--network-ddos-protection STANDARD \
--region REGION
Borra la política de seguridad
Antes de borrar una política de seguridad perimetral de red, primero debes quitarla del servicio de seguridad perimetral de red, ya que no puedes borrar las políticas de seguridad en uso. Sigue estos pasos para borrar la política de seguridad:
- Quita tu política del servicio de seguridad perimetral de la red o bórralo de la red.
Borra la política de seguridad con el siguiente comando:
gcloud compute security-policies delete NAME
Usa el modo de vista previa
El modo de vista previa te permite supervisar los efectos de la protección avanzada contra DSD de red sin aplicar la mitigación.
Los suscriptores de Cloud Armor Enterprise también pueden habilitar el modo de vista previa para las políticas avanzadas de protección contra DSD de red. En el modo de vista previa, recibirás todos los registros y la telemetría sobre el ataque detectado y la mitigación propuesta. Sin embargo, la mitigación propuesta no se aplica de manera forzosa. Esto te permite probar la eficacia de la mitigación antes de habilitarla. Debido a que cada política se configura por región, puedes habilitar o inhabilitar el modo de vista previa por región.
Para habilitar el modo de vista previa, establece la marca --ddos-protection en ADVANCED_PREVIEW.
Puedes usar el siguiente ejemplo para actualizar una política existente.
gcloud beta compute security-policies update POLICY_NAME \
--network-ddos-protection ADVANCED_PREVIEW \
--region=REGION
Reemplaza lo siguiente:
POLICY_NAME: El nombre de la políticaREGION: Es la región en la que se encuentra la política.
Si tu política de seguridad está en modo de vista previa durante un ataque activo y deseas aplicar las mitigaciones de manera forzosa, puedes actualizar la política de seguridad para establecer la marca --network-ddos-protection en ADVANCED. La política se aplica casi de inmediato, y el siguiente evento de registro MITIGATION_ONGOING refleja el cambio. MITIGATION_ONGOING eventos de registro ocurren cada cinco minutos.
Telemetría de mitigación de DSD de red
En las siguientes secciones, se explica cómo usar la telemetría para analizar ataques y sus fuentes.
Registros de eventos de mitigación de ataques de Cloud Logging
Google Cloud Armor genera tres tipos de registros de eventos cuando se mitigan ataques de DSD. En las siguientes secciones, se proporcionan ejemplos del formato de registro para cada tipo de registro de acontecimientos:
Inicio de la mitigación
@type: "type.googleapis.com/google.cloud.networksecurity.cloudarmor.logging.v1.CloudArmorMitigationAlert"
alertId: "11275630857957031521"
mitigation_type: "MITIGATION_STARTED"
target_vip: "XXX.XXX.XXX.XXX"
total_volume: {
pps: 1400000
bps: 140000000
}
started: {
total_attack_volume: {
pps: 1100000
bps: 110000000
}
classified_attack: {
attack_type: "NTP-udp"
attack_volume: {
pps: 500000
bps: 50000000
}
}
classified_attack: {
attack_type: "CHARGEN-udp"
attack_volume: {
pps: 600000
bps: 60000000
}
}
}
Mitigación en curso
@type: "type.googleapis.com/google.cloud.networksecurity.cloudarmor.logging.v1.CloudArmorMitigationAlert"
alertId: "11275630857957031521"
mitigation_type: "MITIGATION_ONGOING"
target_vip: "XXX.XXX.XXX.XXX"
total_volume: {
pps: 1500000
bps: 150000000
}
ongoing: {
total_attack_volume: {
pps: 1100000
bps: 110000000
}
classified_attack: {
attack_type: "NTP-udp"
attack_volume: {
pps: 500000
bps: 50000000
}
}
classified_attack: {
attack_type: "CHARGEN-udp"
attack_volume: {
pps: 600000
bps: 60000000
}
}
}
Mitigación completada
@type: "type.googleapis.com/google.cloud.networksecurity.cloudarmor.logging.v1.CloudArmorMitigationAlert"
alertId: "11275630857957031521"
mitigation_type: "MITIGATION_ENDED"
target_vip: "XXX.XXX.XXX.XXX"
ended: {
attack_duration_seconds: 600
attack_type: "NTP-udp"
}
En el modo de vista previa, cada una de las mitigation_type anteriores está precedida por PREVIEWED_. Por ejemplo, en el modo de vista previa, MITIGATION_STARTED es en su lugar PREVIEWED_MITIGATION_STARTED.
Para ver estos registros, ve al Explorador de registros y visualiza el recurso network_security_policy.
Para obtener más información sobre cómo ver registros, consulta Visualiza los registros.
¿Qué sigue?
- Obtén información sobre cómo configurar las políticas de seguridad perimetral de red.
- Más información sobre Cloud Armor Enterprise