Ein DDoS-Angriff (Distributed Denial of Service) ist ein absichtlicher Versuch eines feindlichen Akteurs, den Betrieb von öffentlich zugänglichen Websites, Systemen und APIs zu stören, mit dem Ziel, die Erfahrung von legitimen Nutzern zu beeinträchtigen. Für Arbeitslasten, die einen externen Passthrough-Network Load Balancer, die Protokollweiterleitung oder VMs mit öffentlicher IP-Adresse verwenden, bietet Google Cloud Armor die folgenden Optionen, um Systeme vor DDoS-Angriffen zu schützen:
- DDoS-Standardschutz: Einfacher immer aktivierter Schutz für externe Passthrough-Network Load Balancer, Protokollweiterleitung oder VMs mit öffentlichen IP-Adressen. Diese Funktion ist im Google Cloud Armor Standard enthalten und erfordert keine zusätzlichen Abos.
- Erweiterter DDoS-Netzwerkschutz: Zusätzliche Schutzmaßnahmen für Cloud Armor Enterprise-Abonnenten, die externe Passthrough-Network Load Balancer, Protokollweiterleitung oder VMs mit öffentlichen IP-Adressen verwenden. Weitere Informationen zu Cloud Armor Enterprise finden Sie in der Übersicht zu Cloud Armor Enterprise.
In diesem Dokument wird der Unterschied zwischen dem Standard- und erweiterten DDoS-Schutz beschrieben, wie der erweiterte Netzwerk-DDoS-Schutz funktioniert und wie Sie den erweiterten Netzwerk-DDoS-Schutz aktivieren.
Standard- und erweiterten DDoS-Schutz für Netzwerke vergleichen
In der folgenden Tabelle werden die Standard- und erweiterten DDoS-Schutzfunktionen verglichen.
Feature | DDoS-Standardschutz | Erweiterter DDoS-Netzwerkschutz |
---|---|---|
Typ des geschützten Endpunkts |
|
|
Erzwingung von Weiterleitungsregeln | ||
Immer aktive Angriffsüberwachung und -benachrichtigung | ||
Abschwächung von gezielten Angriffen | ||
Telemetrie zur Schadensabwehr |
Funktionsweise des Netzwerk-DDoS-Schutzes
Der DDoS-Standardschutz ist immer aktiviert. Sie müssen nichts unternehmen, um sie zu aktivieren.
Sie konfigurieren den erweiterten DDoS-Netzwerkschutz pro Region. Anstatt die Edge-Netzwerk-Sicherheitsrichtlinie mit einem oder mehreren Zielpools, Zielinstanzen, Back-End-Diensten oder Instanzen mit externen IP-Adressen zu verknüpfen, verknüpfen Sie sie mit einem Edge-Netzwerk-Sicherheitsdienst in einer bestimmten Region. Wenn Sie Google Cloud Armor für diese Region aktivieren, bietet sie immer eine gezielte, Volume-Angriffserkennung und -minderung für externe Passthrough-Network Load Balancer, Protokollweiterleitung und VMs mit öffentlichen IP-Adressen in dieser Region. Sie können den erweiterten DDoS-Netzwerkschutz nur auf Projekte anwenden, die bei Cloud Armor Enterprise registriert sind.
Wenn Sie den erweiterten DDoS-Schutz konfigurieren, erstellen Sie zuerst eine Sicherheitsrichtlinie vom Typ CLOUD_ARMOR_NETWORK
in einer von Ihnen ausgewählten Region. Als Nächstes aktualisieren Sie die Sicherheitsrichtlinie, um den erweiterten DDoS-Netzwerkschutz zu aktivieren. Schließlich erstellen Sie einen Edge-Netzwerk-Sicherheitsdienst, eine Ressource, an die Sie Sicherheitsrichtlinien vom Typ CLOUD_ARMOR_NETWORK
anhängen können. Wenn Sie die Sicherheitsrichtlinie an den Edge-Netzwerk-Sicherheitsdienst anhängen, wird der erweiterte DDoS-Schutz für alle anwendbaren Endpunkte in der von Ihnen ausgewählten Region aktiviert.
Der erweiterte DDoS-Schutz für Netzwerke misst Ihren Basisverkehrs, um die Leistung der Minderung zu verbessern. Wenn Sie den erweiterten DDoS-Schutz für Netzwerke aktivieren, dauert es 24 Stunden, bis eine zuverlässige Baseline erstellt wurde und die Schutzmaßnahmen optimiert werden können. Nach Ablauf des Trainingszeitraums werden vom erweiterten DDoS-Schutz für Netzwerke zusätzliche Minderungstechniken auf der Grundlage des bisherigen Traffics angewendet.
Erweiterten DDoS-Schutz für Netzwerke aktivieren
Führen Sie die folgenden Schritte aus, um den erweiterten DDoS-Schutz für Netzwerke zu aktivieren.
Bei Cloud Armor Enterprise registrieren
Ihr Projekt muss für Cloud Armor Enterprise registriert sein, um den erweiterten DDoS-Netzwerkschutz pro Region zu aktivieren. Nach der Aktivierung erhalten alle regionalen Endpunkte in der aktivierten Region den immer aktiven erweiterten DDoS-Schutz.
Sorgen Sie dafür, dass in Ihrem Rechnungskonto ein aktives Cloud Armor Enterprise-Abo vorhanden ist und dass das aktuelle Projekt in Cloud Armor Enterprise registriert ist. Weitere Informationen zur Registrierung für Cloud Armor Enterprise finden Sie unter Cloud Armor Enterprise abonnieren und Projekte registrieren.
IAM-Berechtigungen (Identity and Access Management) konfigurieren
Zum Konfigurieren, Aktualisieren oder Löschen eines Google Cloud Armor-Edge-Sicherheitsdienstes benötigen Sie die folgenden IAM-Berechtigungen:
compute.networkEdgeSecurityServices.create
compute.networkEdgeSecurityServices.update
compute.networkEdgeSecurityServices.get
compute.networkEdgeSecurityServices.delete
In der folgenden Tabelle sind die grundlegenden Berechtigungen der IAM-Rollen und die zugehörigen API-Methoden aufgeführt.
IAM-Berechtigung | API-Methoden |
---|---|
compute.networkEdgeSecurityServices.create |
networkEdgeSecurityServices insert |
compute.networkEdgeSecurityServices.update |
networkEdgeSecurityServices patch |
compute.networkEdgeSecurityServices.get |
networkEdgeSecurityServices get |
compute.networkEdgeSecurityServices.delete |
networkEdgeSecurityServices delete |
compute.networkEdgeSecurityServices.list |
networkEdgeSecurityServices aggregatedList |
Weitere Informationen zu den IAM-Berechtigungen, die Sie für die Verwendung von Google Cloud Armor benötigen, finden Sie unter IAM-Berechtigungen für Google Cloud Armor-Sicherheitsrichtlinien einrichten.
Erweiterten DDoS-Schutz für Netzwerke konfigurieren
Führen Sie die folgenden Schritte aus, um den erweiterten DDoS-Schutz für Netzwerke zu aktivieren.
Erstellen Sie eine Sicherheitsrichtlinie vom Typ
CLOUD_ARMOR_NETWORK
oder verwenden Sie eine vorhandene Sicherheitsrichtlinie vom TypCLOUD_ARMOR_NETWORK
.gcloud compute security-policies create SECURITY_POLICY_NAME \ --type CLOUD_ARMOR_NETWORK \ --region REGION
Ersetzen Sie Folgendes:
SECURITY_POLICY_NAME
: der Name, den die Sicherheitsrichtlinie haben sollREGION
: die Region, in der die Sicherheitsrichtlinie bereitgestellt werden soll
Aktualisieren Sie die neu erstellte oder vorhandene Sicherheitsrichtlinie. Setzen Sie dazu das Flag
--network-ddos-protection
aufADVANCED
.gcloud compute security-policies update SECURITY_POLICY_NAME \ --network-ddos-protection ADVANCED \ --region REGION
Alternativ können Sie das Flag
--network-ddos-protection
aufADVANCED_PREVIEW
setzen, um die Sicherheitsrichtlinie im Vorschaumodus zu aktivieren.gcloud beta compute security-policies update SECURITY_POLICY_NAME \ --network-ddos-protection ADVANCED_PREVIEW \ --region REGION
Erstellen Sie einen Edge-Netzwerk-Sicherheitsdienst, der auf Ihre Sicherheitsrichtlinie verweist.
gcloud compute network-edge-security-services create SERVICE_NAME \ --security-policy SECURITY_POLICY_NAME \ --region REGION
Erweiterten DDoS-Netzwerkschutz deaktivieren
Wenn Sie den erweiterten DDoS-Schutz für Netzwerke deaktivieren möchten, können Sie die Sicherheitsrichtlinie entweder aktualisieren oder löschen.
Sicherheitsrichtlinie aktualisieren
Aktualisieren Sie mit dem folgenden Befehl Ihre Sicherheitsrichtlinie und legen Sie das Flag --network-ddos-protection
auf STANDARD
fest. Ersetzen Sie Variablen durch Informationen, die für Ihre Bereitstellung relevant sind.
gcloud compute security-policies update SECURITY_POLICY_NAME \ --network-ddos-protection STANDARD \ --region REGION
Sicherheitsrichtlinie löschen
Bevor Sie eine Edge-Netzwerk-Sicherheitsrichtlinie löschen können, müssen Sie sie zuerst aus dem Edge-Netzwerk-Sicherheitsdienst entfernen, da Sie aktive Sicherheitsrichtlinien nicht löschen können. So löschen Sie Ihre Sicherheitsrichtlinie:
Entfernen Sie Ihre Richtlinie aus dem Edge-Netzwerk-Sicherheitsdienst oder löschen Sie den Edge-Netzwerk-Sicherheitsdienst.
Verwenden Sie den folgenden Befehl, um Ihre Richtlinie aus dem Edge-Netzwerk-Sicherheitsdienst zu entfernen:
gcloud compute network-edge-security-services update SERVICE_NAME \ --security-policy="" \ --region=REGION_NAME
Verwenden Sie den folgenden Befehl, um den Netzwerk-Edge-Sicherheitsdienst zu löschen:
gcloud compute network-edge-security-services delete SERVICE_NAME \ --region=REGION_NAME
Löschen Sie die Sicherheitsrichtlinie mit dem folgenden Befehl:
gcloud compute security-policies delete SECURITY_POLICY_NAME
Vorschaumodus verwenden
Im Vorschaumodus können Sie die Auswirkungen des erweiterten DDoS-Schutzes für Netzwerke beobachten, ohne die Abschwächung zu erzwingen.
Cloud Armor Enterprise-Abonnenten können auch den Vorschaumodus für Richtlinien zum erweiterten DDoS-Schutz für Netzwerke aktivieren. Im Vorabversionsmodus erhalten Sie alle Protokolle und Telemetriedaten zum erkannten Angriff und zur vorgeschlagenen Abschwächung. Die vorgeschlagene Abhilfemaßnahme wird jedoch nicht erzwungen. So können Sie die Wirksamkeit der Maßnahme testen, bevor Sie sie aktivieren. Da jede Richtlinie pro Region konfiguriert ist, können Sie den Vorschaumodus pro Region aktivieren oder deaktivieren.
Wenn Sie den Vorschaumodus aktivieren möchten, setzen Sie das Flag --ddos-protection
auf ADVANCED_PREVIEW
.
Im folgenden Beispiel wird gezeigt, wie eine vorhandene Richtlinie aktualisiert wird.
gcloud beta compute security-policies update POLICY_NAME \ --network-ddos-protection ADVANCED_PREVIEW \ --region=REGION
Ersetzen Sie Folgendes:
POLICY_NAME
: der Name der RichtlinieREGION
: die Region, in der sich die Richtlinie befindet.
Wenn sich Ihre Sicherheitsrichtlinie während eines aktiven Angriffs im Vorschaumodus befindet und Sie die Abschwächungen erzwingen möchten, können Sie die Sicherheitsrichtlinie aktualisieren, um das Flag --network-ddos-protection
auf ADVANCED
festzulegen. Die Richtlinie wird fast sofort erzwungen und die Änderung wird im nächsten MITIGATION_ONGOING
-Protokollereignis berücksichtigt. MITIGATION_ONGOING
-Ereignisse werden alle fünf Minuten protokolliert.
Telemetrie zur DDoS-Abwehr im Netzwerk
Google Cloud Armor generiert drei Arten von Ereignislogs, um DDoS-Angriffe abzuwenden: MITIGATION_STARTED
, MITIGATION_ONGOING
und MITIGATION_ENDED
. Mit den folgenden Logfiltern können Sie Ihre Logs nach Art der Abschwächung aufrufen:
Art der Risikominderung | Log filter |
---|---|
Beginn der Risikominderung | resource.type="network_security_policy" jsonPayload.mitigationType="MITIGATION_STARTED" |
Abwehr wird ausgeführt | resource.type="network_security_policy" jsonPayload.mitigationType="MITIGATION_ONGOING" |
Ende der Risikominderung | resource.type="network_security_policy" jsonPayload.mitigationType="MITIGATION_ENDED" |
Ereignisprotokolle der Cloud Logging-Angriffsabwehr
Die folgenden Abschnitte enthalten Beispiele für das Logformat für jeden Typ von Ereignisprotokoll:
Abwehr gestartet
@type: "type.googleapis.com/google.cloud.networksecurity.cloudarmor.logging.v1.CloudArmorMitigationAlert" alertId: "11275630857957031521" mitigation_type: "MITIGATION_STARTED" target_vip: "XXX.XXX.XXX.XXX" total_volume: { pps: 1400000 bps: 140000000 } started: { total_attack_volume: { pps: 1100000 bps: 110000000 } classified_attack: { attack_type: "NTP-udp" attack_volume: { pps: 500000 bps: 50000000 } } classified_attack: { attack_type: "CHARGEN-udp" attack_volume: { pps: 600000 bps: 60000000 } } attack_sources: { top_source_asns: { asn: "ABCDEF" volume: { pps: 20000 bps: 2000000 } } top_source_asns: { asn: "UVWXYZ" volume: { pps: 20000 bps: 2000000 } } top_source_geos: { region_code: "XX" volume: { pps: 20000 bps: 2000000 } } top_source_geos: { region_code: "XY" volume: { pps: 20000 bps: 2000000 } } } }
Abwehr wird ausgeführt
@type: "type.googleapis.com/google.cloud.networksecurity.cloudarmor.logging.v1.CloudArmorMitigationAlert" alertId: "11275630857957031521" mitigation_type: "MITIGATION_ONGOING" target_vip: "XXX.XXX.XXX.XXX" total_volume: { pps: 1500000 bps: 150000000 } ongoing: { total_attack_volume: { pps: 1100000 bps: 110000000 } classified_attack: { attack_type: "NTP-udp" attack_volume: { pps: 500000 bps: 50000000 } } classified_attack: { attack_type: "CHARGEN-udp" attack_volume: { pps: 600000 bps: 60000000 } } attack_sources: { top_source_asns: { asn: "ABCDEF" volume: { pps: 20000 bps: 2000000 } } top_source_asns: { asn: "UVWXYZ" volume: { pps: 20000 bps: 2000000 } } top_source_geos: { region_code: "XX" volume: { pps: 20000 bps: 2000000 } } top_source_geos: { region_code: "XY" volume: { pps: 20000 bps: 2000000 } } } }
Abwehr abgeschlossen
@type: "type.googleapis.com/google.cloud.networksecurity.cloudarmor.logging.v1.CloudArmorMitigationAlert" alertId: "11275630857957031521" mitigation_type: "MITIGATION_ENDED" target_vip: "XXX.XXX.XXX.XXX" ended: { attack_duration_seconds: 600 attack_type: "NTP-udp" }
Im Vorschaumodus wird jedem vorangehenden mitigation_type
das Zeichen PREVIEWED_
vorangestellt. Im Vorschaumodus wird MITIGATION_STARTED
beispielsweise durch PREVIEWED_MITIGATION_STARTED
ersetzt.
Wenn Sie diese Logs ansehen möchten, rufen Sie den Log-Explorer auf und rufen Sie die Ressource network_security_policy
auf.
Weitere Informationen zum Aufrufen von Logs finden Sie auf der Seite Logs ansehen.
Nächste Schritte
- Sicherheitsrichtlinien für Netzwerk-Edge konfigurieren
- Weitere Informationen zu Cloud Armor Enterprise