Configurare la protezione DDoS di rete avanzata

Un attacco DDoS (Distributed Denial-of-Service) è un tentativo deliberato da parte di un utente ostile di interrompere le operazioni di API, sistemi e siti esposti pubblicamente, con l'obiettivo di ridurre l'esperienza degli utenti legittimi. Per i carichi di lavoro che utilizzano bilanciatori del carico di rete passthrough esterni, forwarding del protocollo o VM con indirizzi IP pubblici, Google Cloud Armor offre le seguenti opzioni per proteggere i sistemi dagli attacchi DDoS:

  • Protezione DDoS di rete standard: protezione sempre attiva di base per il bilanciatore del carico di rete passthrough esterno, il forwarding del protocollo o le VM con indirizzi IP pubblici. Questa funzionalità è coperta da Google Cloud Armor Standard e non richiede abbonamenti aggiuntivi.
  • Protezione DDoS di rete avanzata: protezioni aggiuntive per gli abbonati a Cloud Armor Enterprise che utilizzano il bilanciatore del carico di rete passthrough esterno, il forwarding del protocollo o VM con indirizzi IP pubblici. Per ulteriori informazioni su Cloud Armor Enterprise, consulta la panoramica di Cloud Armor Enterprise.

Questo documento spiega la differenza tra la protezione DDoS di rete standard e avanzata, il funzionamento della protezione DDoS di rete avanzata e come abilitare la protezione DDoS di rete avanzata.

Confronta la protezione DDoS di rete standard e avanzata

Utilizza la seguente tabella per confrontare le funzionalità di protezione DDoS di rete standard e avanzata.

Selezione delle Protezione DDoS di rete standard Protezione DDoS di rete avanzata
Tipo di endpoint protetto
  • Bilanciatore del carico di rete passthrough esterno
  • Forwarding del protocollo
  • VM con indirizzi IP pubblici
  • Bilanciatore del carico di rete passthrough esterno
  • Forwarding del protocollo
  • VM con indirizzi IP pubblici
Applicazione della regola di forwarding
Monitoraggio e avvisi sempre attivi degli attacchi
Mitigazioni degli attacchi mirati
Telemetria di mitigazione

Come funziona la protezione DDoS sulla rete

La protezione DDoS di rete standard è sempre attiva. Non devi fare nulla per abilitarlo.

Puoi configurare la protezione DDoS avanzata sulla rete in base alla regione. Anziché associare il criterio di sicurezza sul perimetro della rete a uno o più pool di destinazione, istanze di destinazione, servizi di backend o istanze con indirizzi IP esterni, puoi associarlo a un servizio di sicurezza perimetrale della rete in una determinata regione. Se lo abiliti per quella regione, Google Cloud Armor fornisce il rilevamento e la mitigazione degli attacchi volumetrici sempre attivi per il bilanciatore del carico di rete passthrough esterno, l'inoltro del protocollo e le VM con indirizzi IP pubblici in quella regione. Puoi applicare la protezione DDoS di rete avanzata solo ai progetti registrati in Cloud Armor Enterprise.

Quando configuri la protezione DDoS di rete avanzata, devi prima creare un criterio di sicurezza di tipo CLOUD_ARMOR_NETWORK in una regione scelta. Ora devi aggiornare il criterio di sicurezza per abilitare la protezione DDoS di rete avanzata. Infine, crea un servizio di sicurezza perimetrale della rete, una risorsa a cui puoi collegare criteri di sicurezza di tipo CLOUD_ARMOR_NETWORK. Il collegamento del criterio di sicurezza al servizio di sicurezza perimetrale della rete consente la protezione DDoS avanzata della rete per tutti gli endpoint applicabili nella regione scelta.

La protezione DDoS di rete avanzata misura il traffico di riferimento per migliorarne le prestazioni di mitigazione. Quando abiliti la protezione DDoS di rete avanzata, esiste un periodo di formazione di 24 ore prima che la protezione DDoS di rete avanzata sviluppi una base di riferimento affidabile e possa utilizzare il suo addestramento per migliorare le proprie mitigazioni. Al termine del periodo di addestramento, la protezione DDoS di rete avanzata applica ulteriori tecniche di mitigazione in base al traffico storico.

Attiva la protezione DDoS di rete avanzata

Per attivare la protezione DDoS di rete avanzata, procedi come indicato di seguito.

Registrati a Cloud Armor Enterprise

Il tuo progetto deve essere registrato in Cloud Armor Enterprise per abilitare la protezione DDoS di rete avanzata in base alla regione. Dopo l'attivazione, tutti gli endpoint regionali nella regione attivata ricevono la protezione DDoS di rete avanzata sempre attiva.

Assicurati che sia presente un abbonamento a Cloud Armor Enterprise attivo nel tuo account di fatturazione e che il progetto attuale sia registrato in Cloud Armor Enterprise. Per ulteriori informazioni sulla registrazione a Cloud Armor Enterprise, consulta Abbonamento a Cloud Armor Enterprise e registrazione dei progetti.

Configura le autorizzazioni IAM (Identity and Access Management)

Per configurare, aggiornare o eliminare un servizio di sicurezza perimetrale di Google Cloud Armor, devi disporre delle seguenti autorizzazioni IAM:

  • compute.networkEdgeSecurityServices.create
  • compute.networkEdgeSecurityServices.update
  • compute.networkEdgeSecurityServices.get
  • compute.networkEdgeSecurityServices.delete

La tabella seguente elenca le autorizzazioni di base dei ruoli IAM e i relativi metodi API associati.

Autorizzazioni IAM Metodi dell'API
compute.networkEdgeSecurityServices.create networkEdgeSecurityServices insert
compute.networkEdgeSecurityServices.update networkEdgeSecurityServices patch
compute.networkEdgeSecurityServices.get networkEdgeSecurityServices get
compute.networkEdgeSecurityServices.delete networkEdgeSecurityServices delete
compute.networkEdgeSecurityServices.list networkEdgeSecurityServices aggregatedList

Per ulteriori informazioni sulle autorizzazioni IAM necessarie per utilizzare Google Cloud Armor, vedi Configurare le autorizzazioni IAM per i criteri di sicurezza di Google Cloud Armor.

Configurare la protezione DDoS di rete avanzata

Per attivare la protezione DDoS di rete avanzata, procedi nel seguente modo.

  1. Crea un criterio di sicurezza di tipo CLOUD_ARMOR_NETWORK oppure utilizza un criterio di sicurezza esistente di tipo CLOUD_ARMOR_NETWORK.

     gcloud compute security-policies create SECURITY_POLICY_NAME \
         --type CLOUD_ARMOR_NETWORK \
         --region REGION
    

    Sostituisci quanto segue:

    • SECURITY_POLICY_NAME: il nome che deve avere il criterio di sicurezza
    • REGION: la regione in cui vuoi che venga eseguito il provisioning del criterio di sicurezza
  2. Aggiorna il criterio di sicurezza appena creato o esistente impostando il flag --network-ddos-protection su ADVANCED.

     gcloud compute security-policies update SECURITY_POLICY_NAME \
         --network-ddos-protection ADVANCED \
         --region REGION
    

    In alternativa, puoi impostare il flag --network-ddos-protection su ADVANCED_PREVIEW per abilitare il criterio di sicurezza in modalità di anteprima.

     gcloud beta compute security-policies update SECURITY_POLICY_NAME \
         --network-ddos-protection ADVANCED_PREVIEW \
         --region REGION
    
  3. Crea un servizio di sicurezza perimetrale della rete che faccia riferimento al tuo criterio di sicurezza.

     gcloud compute network-edge-security-services create SERVICE_NAME \
         --security-policy SECURITY_POLICY_NAME \
         --region REGION
    

Disattiva protezione DDoS di rete avanzata

Per disattivare la protezione DDoS avanzata sulla rete, puoi aggiornare o eliminare il criterio di sicurezza.

Aggiorna il criterio di sicurezza

Utilizza il seguente comando per aggiornare il criterio di sicurezza in modo da impostare il flag --network-ddos-protection su STANDARD. Sostituisci le variabili con informazioni pertinenti al deployment.

gcloud compute security-policies update SECURITY_POLICY_NAME \
    --network-ddos-protection STANDARD \
    --region REGION

Elimina il criterio di sicurezza

Prima di poter eliminare un criterio di sicurezza perimetrale della rete, devi rimuoverlo dal servizio di sicurezza perimetrale della rete perché non puoi eliminare i criteri di sicurezza in uso. Per eliminare il criterio di sicurezza:

  1. Rimuovi il criterio dal servizio di sicurezza perimetrale della rete o elimina il servizio di sicurezza perimetrale della rete.

    • Per rimuovere il criterio dal servizio di sicurezza perimetrale della rete, utilizza il seguente comando:

      gcloud compute network-edge-security-services update SERVICE_NAME \
       --security-policy="" \
       --region=REGION_NAME
      
    • Per eliminare il servizio di sicurezza perimetrale della rete, utilizza il seguente comando:

      gcloud compute network-edge-security-services delete SERVICE_NAME \
       --region=REGION_NAME
      
  2. Elimina il criterio di sicurezza utilizzando il seguente comando:

    gcloud compute security-policies delete SECURITY_POLICY_NAME
    

Utilizzare la modalità di anteprima

La modalità di anteprima consente di monitorare gli effetti della protezione DDoS di rete avanzata senza applicare la mitigazione.

Gli abbonati a Cloud Armor Enterprise possono anche abilitare la modalità di anteprima per i criteri avanzati di protezione DDoS di rete. In modalità di anteprima, ricevi tutto il logging e la telemetria sull'attacco rilevato e sulla mitigazione proposta. Tuttavia, la mitigazione proposta non viene applicata. In questo modo puoi testare l'efficacia della mitigazione prima di abilitarla. Poiché ogni criterio è configurato in base alla regione, puoi attivare o disattivare la modalità di anteprima per regione.

Per attivare la modalità di anteprima, imposta il flag --ddos-protection su ADVANCED_PREVIEW. Puoi usare l'esempio seguente per aggiornare un criterio esistente.

gcloud beta compute security-policies update POLICY_NAME \
    --network-ddos-protection ADVANCED_PREVIEW \
    --region=REGION

Sostituisci quanto segue:

  • POLICY_NAME: il nome della norma
  • REGION: la regione in cui si trova il criterio.

Se il criterio di sicurezza è in modalità di anteprima durante un attacco attivo e vuoi applicare le mitigazioni, puoi aggiornare il criterio di sicurezza per impostare il flag --network-ddos-protection su ADVANCED. Il criterio viene applicato quasi immediatamente e il successivo evento di logging MITIGATION_ONGOING riflette la modifica. MITIGATION_ONGOING eventi di logging si verificano ogni cinque minuti.

Telemetria per la mitigazione degli attacchi DDoS di rete

Le sezioni seguenti spiegano come utilizzare la telemetria per analizzare gli attacchi e le relative origini.

Log degli eventi di mitigazione degli attacchi di Cloud Logging

Google Cloud Armor genera tre tipi di log eventi durante la mitigazione degli attacchi DDoS. Le seguenti sezioni forniscono esempi del formato di log per ciascun tipo di log eventi:

Mitigazione avviata

  @type: "type.googleapis.com/google.cloud.networksecurity.cloudarmor.logging.v1.CloudArmorMitigationAlert"
  alertId: "11275630857957031521"
  mitigation_type: "MITIGATION_STARTED"
  target_vip: "XXX.XXX.XXX.XXX"
  total_volume: {
   pps: 1400000
   bps: 140000000
  }
  started: {
   total_attack_volume: {
    pps: 1100000
    bps: 110000000
   }
   classified_attack: {
    attack_type: "NTP-udp"
    attack_volume: {
       pps: 500000
       bps: 50000000
    }
   }
   classified_attack: {
    attack_type: "CHARGEN-udp"
    attack_volume: {
       pps: 600000
       bps: 60000000
    }
   }
  }
  

Mitigazione in corso

  @type: "type.googleapis.com/google.cloud.networksecurity.cloudarmor.logging.v1.CloudArmorMitigationAlert"
  alertId: "11275630857957031521"
  mitigation_type: "MITIGATION_ONGOING"
  target_vip: "XXX.XXX.XXX.XXX"
  total_volume: {
   pps: 1500000
   bps: 150000000
  }
  ongoing: {
   total_attack_volume: {
    pps: 1100000
    bps: 110000000
   }
   classified_attack: {
    attack_type: "NTP-udp"
    attack_volume: {
       pps: 500000
       bps: 50000000
    }
   }
   classified_attack: {
    attack_type: "CHARGEN-udp"
    attack_volume: {
       pps: 600000
       bps: 60000000
    }
   }
  }
  

Mitigazione completata

  @type: "type.googleapis.com/google.cloud.networksecurity.cloudarmor.logging.v1.CloudArmorMitigationAlert"
  alertId: "11275630857957031521"
  mitigation_type: "MITIGATION_ENDED"
  target_vip: "XXX.XXX.XXX.XXX"
  ended: {
      attack_duration_seconds: 600
      attack_type: "NTP-udp"
  }
  

In modalità di anteprima, tutti i valori mitigation_type precedenti sono preceduti da PREVIEWED_. Ad esempio, in modalità di anteprima, MITIGATION_STARTED è invece PREVIEWED_MITIGATION_STARTED.

Per visualizzare questi log, vai a Esplora log e visualizza la risorsa network_security_policy.

Vai a Esplora log

Per ulteriori informazioni sulla visualizzazione dei log, consulta Visualizzazione dei log.

Passaggi successivi