Cette page a été traduite par l'API Cloud Translation.

Configurer la protection DDoS avancée du réseau

Une attaque par déni de service distribué (DDoS) est une tentative délibérée de la part d'un individu hostile de perturber les opérations de sites, systèmes et API exposés publiquement, afin de dégrader l'expérience des utilisateurs légitimes. Pour les charges de travail utilisant équilibreurs de charge réseau passthrough externes transfert de protocole, ou VM avec des adresses IP publiques, Google Cloud Armor offre les options suivantes pour aider à protéger contre les attaques DDoS:

Protection DDoS standard du réseau:protection permanente de base pour l'équilibreur de charge réseau passthrough externe transfert de protocole ou VM avec des adresses IP publiques. C'est couvert par Google Cloud Armor Standard et ne nécessite aucune abonnements supplémentaires.
Protection DDoS avancée du réseau:protections supplémentaires pour Les abonnés Cloud Armor Enterprise qui utilisent un équilibreur de charge réseau passthrough externe transfert de protocole ou VM avec des adresses IP publiques. Pour en savoir plus, sur Cloud Armor Enterprise, consultez la Présentation de Cloud Armor Enterprise

Ce document explique la différence entre la protection DDoS standard et avancée du réseau, comment fonctionne la protection DDoS avancée du réseau et comment activer la protection DDoS avancée du réseau.

Comparer la protection DDoS standard et avancée du réseau

Le tableau suivant vous permet de comparer les fonctionnalités standards et avancées de protection DDoS du réseau.

Fonctionnalité	Protection DDoS standard du réseau	Protection DDoS avancée du réseau
Type de point de terminaison protégé	Équilibreur de charge réseau passthrough externe Transfert de protocole VM dotées d'adresses IP publiques	Équilibreur de charge réseau passthrough externe Transfert de protocole VM dotées d'adresses IP publiques
Application des règles de transfert
Surveillance et alertes concernant les attaques toujours activées
Atténuation des attaques ciblées
Télémétrie d'atténuation

Fonctionnement de la protection DDoS du réseau

La protection DDoS standard du réseau est toujours activée. Vous n'avez pas besoin pour l'activer.

Vous devez configurer la protection DDoS avancée du réseau pour chaque région. Au lieu de associer la stratégie de sécurité du réseau périphérique à un ou plusieurs pools cibles ; des instances cibles, des services de backend ou des instances disposant d'adresses IP externes, vous l'associez à un service de sécurité en périphérie du réseau dans une région particulière. Lorsque vous l'activez pour cette région, Google Cloud Armor fournit une connexion détection et atténuation des attaques volumétriques ciblées pour l'équilibreur de charge réseau passthrough externe, le protocole le transfert et les VM avec des adresses IP publiques dans cette région. Vous ne pouvez postuler protection DDoS avancée du réseau pour les projets enregistrés dans Cloud Armor Enterprise.

Lorsque vous configurez la protection DDoS avancée du réseau, vous créez d'abord une stratégie de sécurité du type CLOUD_ARMOR_NETWORK dans la région de votre choix. Ensuite, vous mettez à jour la stratégie de sécurité afin d'activer la protection avancée contre les attaques DDoS. Enfin, vous créez un service de sécurité en périphérie du réseau, une ressource à laquelle vous pouvez stratégies de sécurité de type CLOUD_ARMOR_NETWORK. Associer la stratégie de sécurité au service de sécurité périphérique du réseau active la protection avancée contre les attaques DDoS pour tous les points de terminaison applicables dans la région que vous avez choisie.

La protection DDoS avancée du réseau mesure votre trafic de référence pour améliorer son atténuation des performances. Lorsque vous activez la protection DDoS avancée du réseau, une période d'entraînement 24 heures avant que la protection DDoS avancée du réseau fournisse une base fiable et pour améliorer ses mesures d'atténuation. À la fin de la période d'entraînement, la protection DDoS avancée du réseau applique des techniques d'atténuation supplémentaires basées sur l'historique du trafic.

Activer la protection DDoS avancée du réseau

Suivez ces étapes pour activer la protection DDoS avancée du réseau.

S'inscrire à Cloud Armor Enterprise

Votre projet doit être enregistré dans Cloud Armor Enterprise pour que vous puissiez activer la protection DDoS avancée du réseau pour chaque région. Une fois activés, tous les enregistrements régionaux les points de terminaison de la région activée bénéficient d'une protection DDoS avancée du réseau en permanence.

Assurez-vous qu'un abonnement Cloud Armor Enterprise est actif dans votre compte de facturation et que le projet en cours est enregistré Cloud Armor Enterprise. Pour en savoir plus sur l'inscription Cloud Armor Enterprise, consultez S'abonner à Cloud Armor Enterprise et enregistrer des projets

Configurer les autorisations IAM (Identity and Access Management)

Pour configurer, mettre à jour ou supprimer un service de sécurité périphérique Google Cloud Armor, procédez comme suit : vous devez disposer des autorisations IAM suivantes:

compute.networkEdgeSecurityServices.create
compute.networkEdgeSecurityServices.update
compute.networkEdgeSecurityServices.get
compute.networkEdgeSecurityServices.delete

Le tableau suivant répertorie les autorisations standards des rôles IAM, ainsi que les méthodes d'API associées.

Autorisation IAM	Méthodes d'API
`compute.networkEdgeSecurityServices.create`	`networkEdgeSecurityServices insert`
`compute.networkEdgeSecurityServices.update`	`networkEdgeSecurityServices patch`
`compute.networkEdgeSecurityServices.get`	`networkEdgeSecurityServices get`
`compute.networkEdgeSecurityServices.delete`	`networkEdgeSecurityServices delete`
`compute.networkEdgeSecurityServices.list`	`networkEdgeSecurityServices aggregatedList`

Pour en savoir plus sur les autorisations IAM dont vous avez besoin lorsque vous utilisez Google Cloud Armor, consultez Configurez les autorisations IAM pour les stratégies de sécurité Google Cloud Armor.

Configurer la protection DDoS avancée du réseau

Suivez ces étapes pour activer la protection DDoS avancée du réseau.

Créez une stratégie de sécurité de type CLOUD_ARMOR_NETWORK ou utilisez une stratégie de sécurité existante de type CLOUD_ARMOR_NETWORK.
```
 gcloud compute security-policies create SECURITY_POLICY_NAME \
     --type CLOUD_ARMOR_NETWORK \
     --region REGION
```
Remplacez les éléments suivants :
- SECURITY_POLICY_NAME: nom souhaité votre stratégie de sécurité pour avoir
- REGION: région dans laquelle vous souhaitez doit être provisionnée
Mettez à jour la stratégie de sécurité nouvellement créée ou existante en définissant l'indicateur --network-ddos-protection sur ADVANCED.
```
 gcloud compute security-policies update SECURITY_POLICY_NAME \
     --network-ddos-protection ADVANCED \
     --region REGION
```
Vous pouvez également définir l'option --network-ddos-protection sur ADVANCED_PREVIEW pour activer la stratégie de sécurité dans mode Aperçu.
```
 gcloud beta compute security-policies update SECURITY_POLICY_NAME \
     --network-ddos-protection ADVANCED_PREVIEW \
     --region REGION
```

Créez un service de sécurité en périphérie du réseau, qui fait référence à votre stratégie de sécurité.

 gcloud compute network-edge-security-services create SERVICE_NAME \
     --security-policy SECURITY_POLICY_NAME \
     --region REGION

Désactiver la protection DDoS avancée du réseau

Pour désactiver la protection DDoS avancée du réseau, vous pouvez soit mettre à jour .

Mettre à jour la stratégie de sécurité

Exécutez la commande suivante afin de mettre à jour votre stratégie de sécurité pour passer l'option --network-ddos-protection sur STANDARD. Remplacez les variables par les informations correspondant à votre déploiement.

gcloud compute security-policies update SECURITY_POLICY_NAME \
    --network-ddos-protection STANDARD \
    --region REGION

Supprimer la stratégie de sécurité

Avant de pouvoir supprimer une stratégie de sécurité de périphérie de réseau, vous devez d'abord la supprimer du service de sécurité en périphérie du réseau, car vous ne pouvez pas règles de sécurité. Pour supprimer votre stratégie de sécurité, procédez comme suit:

Retirez votre règle du service de sécurité en périphérie du réseau ou supprimez le de sécurité en périphérie du réseau.
- Pour supprimer votre règle du service de sécurité en périphérie du réseau, utilisez la la commande suivante:
```
gcloud compute network-edge-security-services update SERVICE_NAME \
 --security-policy="" \
 --region=REGION_NAME
```
- Pour supprimer le service de sécurité en périphérie du réseau, exécutez la commande suivante:
```
gcloud compute network-edge-security-services delete SERVICE_NAME \
 --region=REGION_NAME
```
Supprimez la stratégie de sécurité à l'aide de la commande suivante :
```
gcloud compute security-policies delete SECURITY_POLICY_NAME
```

Utiliser le mode Aperçu

Le mode aperçu vous permet de surveiller les effets de la protection DDoS avancée du réseau sans appliquer les mesures d'atténuation.

Les abonnés Cloud Armor Enterprise peuvent également activer le mode Aperçu pour des règles de protection DDoS avancées du réseau. En mode aperçu, vous recevez toutes les informations de journalisation de télémétrie sur l'attaque détectée et les mesures d'atténuation proposées. Toutefois, l'atténuation proposée n'est pas appliquée. Cela vous permet de tester et l'efficacité de l'atténuation avant de l'activer. Comme chaque stratégie est configuré par région, vous pouvez activer ou désactiver le mode Aperçu par région.

Pour activer le mode Aperçu, définissez l'indicateur --ddos-protection sur ADVANCED_PREVIEW. Vous pouvez utiliser l'exemple suivant pour mettre à jour une stratégie existante.

gcloud beta compute security-policies update POLICY_NAME \
    --network-ddos-protection ADVANCED_PREVIEW \
    --region=REGION

Remplacez les éléments suivants :

POLICY_NAME: nom de votre règle
REGION: région dans laquelle votre règle est définie localisés.

Si votre stratégie de sécurité est en mode aperçu lors d'une attaque active et que vous souhaitez pour appliquer les mesures d'atténuation, vous pouvez mettre à jour votre stratégie de sécurité pour définir le l'indicateur --network-ddos-protection sur ADVANCED. La règle est appliquée presque immédiatement. L'événement de journalisation MITIGATION_ONGOING suivant reflète le changement. Les événements de journalisation MITIGATION_ONGOING se produisent toutes les cinq minutes.

Télémétrie d'atténuation des attaques DDoS visant le réseau

Google Cloud Armor génère trois types de journaux d'événements pour limiter les attaques DDoS attaques: MITIGATION_STARTED, MITIGATION_ONGOING et MITIGATION_ENDED. Toi Vous pouvez utiliser les filtres de journaux suivants pour afficher vos journaux par type d'atténuation:

Type d'atténuation	Filtre de journal
Début de l'atténuation	resource.type="network_security_policy" jsonPayload.mitigationType="MITIGATION_STARTED"
Mitigation ongoing (atténuation en cours)	resource.type="network_security_policy" jsonPayload.mitigationType="MITIGATION_ONGOING"
Fin de l'atténuation	resource.type="network_security_policy" jsonPayload.mitigationType="MITIGATION_ENDED"

Type d'atténuation

Filtre de journal

Début de l'atténuation

resource.type="network_security_policy"

jsonPayload.mitigationType="MITIGATION_STARTED"

Mitigation ongoing (atténuation en cours)

resource.type="network_security_policy"

jsonPayload.mitigationType="MITIGATION_ONGOING"

Fin de l'atténuation

resource.type="network_security_policy"

jsonPayload.mitigationType="MITIGATION_ENDED"

Journaux Cloud Logging des événements de protection contre les attaques

Les sections suivantes fournissent des exemples de format de journal pour chaque type de journal d'événements :

Mitigation started (atténuation démarrée)

  @type: "type.googleapis.com/google.cloud.networksecurity.cloudarmor.logging.v1.CloudArmorMitigationAlert"
  alertId: "11275630857957031521"
  mitigation_type: "MITIGATION_STARTED"
  target_vip: "XXX.XXX.XXX.XXX"
  total_volume: {
   pps: 1400000
   bps: 140000000
  }
  started: {
   total_attack_volume: {
    pps: 1100000
    bps: 110000000
   }
   classified_attack: {
    attack_type: "NTP-udp"
    attack_volume: {
       pps: 500000
       bps: 50000000
    }
   }
   classified_attack: {
    attack_type: "CHARGEN-udp"
    attack_volume: {
       pps: 600000
       bps: 60000000
    }
   }
  }

Mitigation ongoing (atténuation en cours)

  @type: "type.googleapis.com/google.cloud.networksecurity.cloudarmor.logging.v1.CloudArmorMitigationAlert"
  alertId: "11275630857957031521"
  mitigation_type: "MITIGATION_ONGOING"
  target_vip: "XXX.XXX.XXX.XXX"
  total_volume: {
   pps: 1500000
   bps: 150000000
  }
  ongoing: {
   total_attack_volume: {
    pps: 1100000
    bps: 110000000
   }
   classified_attack: {
    attack_type: "NTP-udp"
    attack_volume: {
       pps: 500000
       bps: 50000000
    }
   }
   classified_attack: {
    attack_type: "CHARGEN-udp"
    attack_volume: {
       pps: 600000
       bps: 60000000
    }
   }
  }

Mitigation completed (atténuation terminée)

  @type: "type.googleapis.com/google.cloud.networksecurity.cloudarmor.logging.v1.CloudArmorMitigationAlert"
  alertId: "11275630857957031521"
  mitigation_type: "MITIGATION_ENDED"
  target_vip: "XXX.XXX.XXX.XXX"
  ended: {
      attack_duration_seconds: 600
      attack_type: "NTP-udp"
  }

En mode Aperçu, chacune des mitigation_type précédentes est précédée par PREVIEWED_. Par exemple, en mode Aperçu, MITIGATION_STARTED est à la place PREVIEWED_MITIGATION_STARTED

Pour afficher ces journaux, accédez à l'explorateur de journaux et affichez la ressource network_security_policy.

Accéder à l'explorateur de journaux

Pour en savoir plus sur l'affichage des journaux, consultez la section Afficher les journaux.

Étape suivante

Découvrez comment configurer des règles de sécurité de périphérie de réseau.
Découvrez Cloud Armor Enterprise.