Un attacco di tipo distributed denial of service (DDoS) è un tentativo deliberato da parte di un attore ostile di interrompere le operazioni di siti, sistemi e API esposti pubblicamente, con l'obiettivo di degradare l'esperienza degli utenti legittimi. Per i carichi di lavoro che utilizzano bilanciatori del carico di rete passthrough esterni, forwarding del protocollo o VM con indirizzi IP pubblici, Google Cloud Armor offre le seguenti opzioni per contribuire a proteggere i sistemi dagli attacchi DDoS:
- Protezione DDoS di rete standard:protezione di base sempre attiva per bilanciatori del carico di rete passthrough esterni, forwarding del protocollo o VM con indirizzi IP pubblici. Questa funzionalità è coperta da Google Cloud Armor Standard e non richiede alcun abbonamento aggiuntivo.
- Protezione DDoS di rete avanzata:protezioni aggiuntive per gli abbonati a Cloud Armor Enterprise che utilizzano bilanciatori del carico di rete esterni passthrough, forwarding del protocollo o VM con indirizzi IP pubblici. Per ulteriori informazioni su Cloud Armor Enterprise, consulta la panoramica di Cloud Armor Enterprise.
Questo documento spiega la differenza tra la protezione DDoS di rete standard e quella avanzata, come funziona la protezione DDoS di rete avanzata e come attivarla.
Confrontare la protezione DDoS di rete standard e avanzata
Utilizza la seguente tabella per confrontare le funzionalità di protezione DDoS di rete standard e avanzata.
Funzionalità | Protezione DDoS di rete standard | Protezione DDoS di rete avanzata |
---|---|---|
Tipo di endpoint protetto |
|
|
Applicazione delle regole di forwarding | ||
Monitoraggio e avvisi sugli attacchi sempre attivi | ||
Mitigazioni degli attacchi mirati | ||
Telemetria di mitigazione |
Come funziona la protezione DDoS di rete
La protezione DDoS di rete standard è sempre attiva. Non è richiesta alcuna azione per attivarla.
La protezione DDoS di rete avanzata viene configurata in base alla regione. Anziché associare il criterio di sicurezza perimetrale della rete a uno o più pool di destinazione, istanze di destinazione, servizi di backend o istanze con indirizzi IP esterni, lo associ a un servizio di sicurezza perimetrale della rete in una determinata regione. Se lo attivi per la regione in questione, Google Cloud Armor fornisce funzionalità sempre attive di rilevamento degli attacchi volumetrici mirati e mitigazione per il bilanciatore del carico di rete passthrough esterno, il forwarding del protocollo e le VM con indirizzi IP pubblici in quella regione. Puoi applicare la protezione DDoS di rete avanzata solo ai progetti registrati in Cloud Armor Enterprise.
Quando configuri la protezione DDoS di rete avanzata, devi prima creare un criterio di sicurezza di tipo CLOUD_ARMOR_NETWORK
in una regione che scegli. Successivamente, aggiorna il criterio di sicurezza per attivare la protezione DDoS di rete avanzata. Infine,
crea un servizio di sicurezza perimetrale della rete, una risorsa a cui puoi collegare
criteri di sicurezza di tipo CLOUD_ARMOR_NETWORK
. L'associazione del criterio di sicurezza al servizio di sicurezza perimetrale della rete abilita la protezione DDoS di rete avanzata per tutti gli endpoint applicabili nella regione scelta.
La protezione DDoS di rete avanzata misura il traffico di riferimento per migliorare le prestazioni della mitigazione. Quando attivi la protezione DDoS di rete avanzata, è necessario un periodo di addestramento di 24 ore prima che la protezione DDoS di rete avanzata sviluppi una base di riferimento affidabile e possa utilizzare l'addestramento per migliorare le mitigazioni. Al termine del periodo di addestramento, la protezione DDoS di rete avanzata applica tecniche di mitigazione aggiuntive in base al traffico storico.
Attivare la protezione DDoS di rete avanzata
Per attivare la protezione DDoS di rete avanzata, segui questi passaggi.
Registrati a Cloud Armor Enterprise
Il progetto deve essere registrato in Cloud Armor Enterprise per attivare la protezione DDoS di rete avanzata su base regionale. Una volta attivati, tutti gli endpoint regionali nella regione attivata ricevono la protezione DDoS di rete avanzata sempre attiva.
Assicurati che nel tuo account di fatturazione sia presente un abbonamento Cloud Armor Enterprise attivo e che il progetto attuale sia registrato a Cloud Armor Enterprise. Per ulteriori informazioni sull'iscrizione a Cloud Armor Enterprise, consulta Abbonarsi a Cloud Armor Enterprise e registrare i progetti.
Configurare le autorizzazioni per Identity and Access Management (IAM)
Per configurare, aggiornare o eliminare un servizio di sicurezza perimetrale Google Cloud Armor, devi disporre delle seguenti autorizzazioni IAM:
compute.networkEdgeSecurityServices.create
compute.networkEdgeSecurityServices.update
compute.networkEdgeSecurityServices.get
compute.networkEdgeSecurityServices.delete
La tabella seguente elenca le autorizzazioni di base dei ruoli IAM e i relativi metodi API associati.
Autorizzazioni IAM | Metodi API |
---|---|
compute.networkEdgeSecurityServices.create |
networkEdgeSecurityServices insert |
compute.networkEdgeSecurityServices.update |
networkEdgeSecurityServices patch |
compute.networkEdgeSecurityServices.get |
networkEdgeSecurityServices get |
compute.networkEdgeSecurityServices.delete |
networkEdgeSecurityServices delete |
compute.networkEdgeSecurityServices.list |
networkEdgeSecurityServices aggregatedList |
Per saperne di più sulle autorizzazioni IAM necessarie per utilizzare Google Cloud Armor, consulta Configurare le autorizzazioni IAM per i criteri di sicurezza di Google Cloud Armor.
Configurare la protezione DDoS di rete avanzata
Per attivare la protezione DDoS di rete avanzata, segui questa procedura.
Crea un criterio di sicurezza di tipo
CLOUD_ARMOR_NETWORK
o utilizza un criterio di sicurezza esistente di tipoCLOUD_ARMOR_NETWORK
.gcloud compute security-policies create SECURITY_POLICY_NAME \ --type CLOUD_ARMOR_NETWORK \ --region REGION
Sostituisci quanto segue:
SECURITY_POLICY_NAME
: il nome che vuoi assegnare al tuo criterio di sicurezzaREGION
: la regione in cui vuoi eseguire il provisioning del criterio di sicurezza
Aggiorna il criterio di sicurezza appena creato o esistente impostando il flag
--network-ddos-protection
suADVANCED
.gcloud compute security-policies update SECURITY_POLICY_NAME \ --network-ddos-protection ADVANCED \ --region REGION
In alternativa, puoi impostare il flag
--network-ddos-protection
suADVANCED_PREVIEW
per attivare il criterio di sicurezza in modalità di anteprima.gcloud beta compute security-policies update SECURITY_POLICY_NAME \ --network-ddos-protection ADVANCED_PREVIEW \ --region REGION
Crea un servizio di sicurezza perimetrale della rete che faccia riferimento al tuo criterio di sicurezza.
gcloud compute network-edge-security-services create SERVICE_NAME \ --security-policy SECURITY_POLICY_NAME \ --region REGION
Disattivare la protezione DDoS di rete avanzata
Per disattivare la protezione DDoS di rete avanzata, puoi aggiornare o eliminare la policy di sicurezza.
Aggiorna il criterio di sicurezza
Utilizza il seguente comando per aggiornare il criterio di sicurezza in modo da impostare il flag --network-ddos-protection
su STANDARD
. Sostituisci le variabili con le informazioni pertinenti per il tuo deployment.
gcloud compute security-policies update SECURITY_POLICY_NAME \ --network-ddos-protection STANDARD \ --region REGION
Elimina il criterio di sicurezza
Prima di poter eliminare un criterio di sicurezza perimetrale della rete, devi prima rimuoverlo dal servizio di sicurezza perimetrale della rete perché non puoi eliminare i criteri di sicurezza in uso. Per eliminare il criterio di sicurezza:
Rimuovi il criterio dal servizio di sicurezza perimetrale della rete o elimina il servizio.
Per rimuovere il criterio dal servizio di sicurezza perimetrale della rete, utilizza il seguente comando:
gcloud compute network-edge-security-services update SERVICE_NAME \ --security-policy="" \ --region=REGION_NAME
Per eliminare il servizio di sicurezza all'edge della rete, utilizza il seguente comando:
gcloud compute network-edge-security-services delete SERVICE_NAME \ --region=REGION_NAME
Elimina il criterio di sicurezza utilizzando il seguente comando:
gcloud compute security-policies delete SECURITY_POLICY_NAME
Utilizzare la modalità di anteprima
La modalità di anteprima ti consente di monitorare gli effetti della protezione DDoS di rete avanzata senza applicare la mitigazione.
Gli abbonati a Cloud Armor Enterprise possono anche attivare la modalità di anteprima per i criteri di protezione DDoS di rete avanzata. In modalità di anteprima, ricevi tutti i log e la telemetria relativi all'attacco rilevato e alla mitigazione proposta. Tuttavia, la mitigazione proposta non viene applicata. In questo modo puoi testare l'efficacia della mitigazione prima di attivarla. Poiché ogni criterio è configurato per regione, puoi attivare o disattivare la modalità di anteprima in base alla regione.
Per attivare la modalità di anteprima, imposta il flag --ddos-protection
su ADVANCED_PREVIEW
.
Puoi utilizzare l'esempio seguente per aggiornare una norma esistente.
gcloud beta compute security-policies update POLICY_NAME \ --network-ddos-protection ADVANCED_PREVIEW \ --region=REGION
Sostituisci quanto segue:
POLICY_NAME
: il nome del criterioREGION
: la regione in cui si trova il criterio.
Se il criterio di sicurezza è in modalità di anteprima durante un attacco attivo e vuoi applicare le mitigazioni, puoi aggiornare il criterio di sicurezza impostando il flag --network-ddos-protection
su ADVANCED
. Il criterio viene applicato
quasi immediatamente e il successivo evento di logging MITIGATION_ONGOING
riflette la
modifica. Gli eventi di log MITIGATION_ONGOING
si verificano ogni cinque minuti.
Telemetria per la mitigazione dei rischi DDoS sulla rete
Google Cloud Armor genera tre tipi di log eventi per la mitigazione degli attacchi DDoS: MITIGATION_STARTED
, MITIGATION_ONGOING
e MITIGATION_ENDED
. Puoi
utilizzare i seguenti filtri di log per visualizzare i log in base al tipo di mitigazione:
Tipo di mitigazione | Filtro log |
---|---|
Inizio attenuazione | resource.type="network_security_policy" jsonPayload.mitigationType="MITIGATION_STARTED" |
Migrazione in corso | resource.type="network_security_policy" jsonPayload.mitigationType="MITIGATION_ONGOING" |
Fine attenuazione | resource.type="network_security_policy" jsonPayload.mitigationType="MITIGATION_ENDED" |
Log degli eventi di mitigazione degli attacchi di Cloud Logging
Le sezioni seguenti forniscono esempi del formato del log per ogni tipo di log eventi:
Migrazione avviata
@type: "type.googleapis.com/google.cloud.networksecurity.cloudarmor.logging.v1.CloudArmorMitigationAlert" alertId: "11275630857957031521" mitigation_type: "MITIGATION_STARTED" target_vip: "XXX.XXX.XXX.XXX" total_volume: { pps: 1400000 bps: 140000000 } started: { total_attack_volume: { pps: 1100000 bps: 110000000 } classified_attack: { attack_type: "NTP-udp" attack_volume: { pps: 500000 bps: 50000000 } } classified_attack: { attack_type: "CHARGEN-udp" attack_volume: { pps: 600000 bps: 60000000 } } attack_sources: { top_source_asns: { asn: "ABCDEF" volume: { pps: 20000 bps: 2000000 } } top_source_asns: { asn: "UVWXYZ" volume: { pps: 20000 bps: 2000000 } } top_source_geos: { region_code: "XX" volume: { pps: 20000 bps: 2000000 } } top_source_geos: { region_code: "XY" volume: { pps: 20000 bps: 2000000 } } } }
Migrazione in corso
@type: "type.googleapis.com/google.cloud.networksecurity.cloudarmor.logging.v1.CloudArmorMitigationAlert" alertId: "11275630857957031521" mitigation_type: "MITIGATION_ONGOING" target_vip: "XXX.XXX.XXX.XXX" total_volume: { pps: 1500000 bps: 150000000 } ongoing: { total_attack_volume: { pps: 1100000 bps: 110000000 } classified_attack: { attack_type: "NTP-udp" attack_volume: { pps: 500000 bps: 50000000 } } classified_attack: { attack_type: "CHARGEN-udp" attack_volume: { pps: 600000 bps: 60000000 } } attack_sources: { top_source_asns: { asn: "ABCDEF" volume: { pps: 20000 bps: 2000000 } } top_source_asns: { asn: "UVWXYZ" volume: { pps: 20000 bps: 2000000 } } top_source_geos: { region_code: "XX" volume: { pps: 20000 bps: 2000000 } } top_source_geos: { region_code: "XY" volume: { pps: 20000 bps: 2000000 } } } }
Mitigazione completata
@type: "type.googleapis.com/google.cloud.networksecurity.cloudarmor.logging.v1.CloudArmorMitigationAlert" alertId: "11275630857957031521" mitigation_type: "MITIGATION_ENDED" target_vip: "XXX.XXX.XXX.XXX" ended: { attack_duration_seconds: 600 attack_type: "NTP-udp" }
In modalità di anteprima, ogni mitigation_type
precedente è preceduto da PREVIEWED_
. Ad esempio, in modalità di anteprima, MITIGATION_STARTED
è invece
PREVIEWED_MITIGATION_STARTED
.
Per visualizzare questi log, vai a Esplora log e visualizza la risorsanetwork_security_policy
.
Per ulteriori informazioni sulla visualizzazione dei log, consulta Visualizzare i log.
Passaggi successivi
- Scopri come configurare i criteri di sicurezza perimetrale della rete
- Scopri di più su Cloud Armor Enterprise