Configurer la protection DDoS avancée du réseau

Restez organisé à l'aide des collections Enregistrez et classez les contenus selon vos préférences.

Une attaque par déni de service distribué (DDoS) est une tentative délibérée de la part d'un individu hostile de perturber les opérations de sites, systèmes et API exposés publiquement, afin de dégrader l'expérience des utilisateurs légitimes. Pour les charges de travail utilisant un équilibreur de charge réseau TCP/UDP externe (équilibrage de charge réseau), le transfert de protocole ou des VM dotées d'adresses IP publiques, Google Cloud Armor offre les options suivantes pour protéger les systèmes contre les attaques DDoS :

  • Protection DDoS standard du réseau : protection de base permanente pour les équilibreurs de charge réseau, le transfert de protocole ou les VM ayant des adresses IP publiques.
  • Protection DDoS avancée du réseau : protections supplémentaires pour les abonnés à Managed Protection Plus qui utilisent des équilibreurs de charge réseau, le transfert de protocole ou des VM dotées d'adresses IP publiques. Pour en savoir plus sur Managed Protection, consultez la présentation de Managed Protection.

Ce document explique la différence entre la protection DDoS standard et avancée du réseau, le fonctionnement de la protection DDoS avancée et la manière d'activer cette protection.

Comparer les protections DDoS standard et avancée du réseau

Le tableau suivant vous permet de comparer les fonctionnalités standards et avancées de protection DDoS du réseau.

Extraction Protection DDoS standard du réseau Protection DDoS avancée du réseau
Type de point de terminaison protégé
  • Équilibreurs de charge réseau
  • Transfert de protocole
  • VM dotées d'adresses IP publiques
  • Équilibreurs de charge réseau
  • Transfert de protocole
  • VM dotées d'adresses IP publiques
Filtrage standard contre les attaques DDoS
Application des règles de transfert
Surveillance et alertes concernant les attaques toujours activées
Atténuation ciblée des attaques
Télémétrie d'atténuation

Fonctionnement de la protection contre les attaques DDoS du réseau

La protection DDoS du réseau standard est toujours activée. Aucune action n'est requise de votre part pour l'activer.

Vous configurez la protection avancée contre les attaques DDoS du réseau par région. Lorsqu'il est activé pour une région particulière, Google Cloud Armor fournit une détection et une atténuation constamment activées des attaques volumétriques ciblées pour les équilibreurs de charge réseau, le transfert de protocole et les VM avec adresses IP publiques au sein de cette région. Vous ne pouvez appliquer la protection avancée contre les attaques DDoS de réseau qu'aux projets inscrits à Managed Protection Plus.

Lorsque vous configurez la protection DDoS avancée du réseau, vous créez d'abord une stratégie de sécurité du type CLOUD_ARMOR_NETWORK dans la région de votre choix. Ensuite, vous mettez à jour la stratégie de sécurité afin d'activer la protection avancée contre les attaques DDoS. Enfin, vous créez un service de sécurité réseau périphérique, une ressource à laquelle vous pouvez associer des règles de sécurité de type CLOUD_ARMOR_NETWORK. Associer la stratégie de sécurité au service de sécurité périphérique du réseau active la protection avancée contre les attaques DDoS pour tous les points de terminaison applicables dans la région que vous avez choisie.

Activer la protection avancée contre les attaques DDoS du réseau

Suivez ces étapes pour activer la protection DDoS avancée du réseau.

S'inscrire à Managed Protection Plus

Votre projet doit être enregistré auprès de Managed Protection Plus pour pouvoir activer la protection DDoS avancée par région. Une fois la fonctionnalité activée, tous les points de terminaison régionaux de la région activée bénéficient d'une protection DDoS avancée toujours activée.

Vérifiez que votre compte de facturation comporte un abonnement Managed Protection Plus actif et que le projet en cours est enregistré auprès de Managed Protection Plus. Pour en savoir plus sur l'enregistrement auprès de Managed Protection, consultez la section S'abonner au niveau Plus de Managed Protection et enregistrer des projets.

Configurer la protection DDoS avancée du réseau

Suivez ces étapes pour activer la protection DDoS avancée du réseau. Remplacez les variables par les informations correspondant à votre déploiement.

  1. Créez une stratégie de sécurité de type CLOUD_ARMOR_NETWORK ou utilisez une stratégie de sécurité existante de type CLOUD_ARMOR_NETWORK. Remplacez SECURITY_POLICY_NAME par le nom que vous souhaitez attribuer à votre stratégie de sécurité et REGION par la région dans laquelle vous souhaitez la provisionner.

    gcloud compute security-policies create SECURITY_POLICY_NAME --type CLOUD_ARMOR_NETWORK --region REGION
    
  2. Mettez à jour la stratégie de sécurité nouvellement créée ou existante en définissant l'option --network-ddos-protection sur ADVANCED.

    gcloud compute security-policies update SECURITY_POLICY_NAME --network-ddos-protection ADVANCED --region  REGION
    
  3. Créez un service de sécurité en périphérie du réseau, qui fait référence à votre stratégie de sécurité.

    gcloud compute network-edge-security-services create SERVICE_NAME --security-policy SECURITY_POLICY_NAME --region REGION
    

Désactiver la protection avancée contre les attaques DDoS du réseau

Pour désactiver la protection DDoS avancée du réseau, vous pouvez soit mettre à jour la stratégie de sécurité en définissant l'option --network-ddos-protection sur STANDARD, soit supprimer la stratégie de sécurité.

Mettre à jour la stratégie de sécurité

Exécutez la commande suivante afin de mettre à jour votre stratégie de sécurité pour passer l'option --network-ddos-protection sur STANDARD. Remplacez les variables par les informations correspondant à votre déploiement.

  gcloud compute security-policies update SECURITY_POLICY_NAME --network-ddos-protection STANDARD --region  REGION
  

Supprimer la stratégie de sécurité

Avant de pouvoir supprimer une stratégie de sécurité périphérique de réseau, vous devez d'abord la supprimer du service de sécurité périphérique de réseau, car vous ne pouvez pas supprimer les stratégies de sécurité en cours d'utilisation. Pour supprimer votre stratégie de sécurité, procédez comme suit :

  1. Supprimez votre stratégie du service de sécurité périphérique en périphérie ou supprimez le service de sécurité périphérique périphérique.
  2. Supprimez la stratégie de sécurité à l'aide de la commande suivante :

    gcloud compute security-policies delete NAME
    

Télémétrie d'atténuation des attaques DDoS visant le réseau

Les sections suivantes expliquent comment utiliser la télémétrie pour analyser les attaques et leurs sources.

Journaux Cloud Logging des événements de protection contre les attaques

Google Cloud Armor génère trois types de journaux d'événements lors de l'atténuation des attaques DDoS. Les sections suivantes fournissent des exemples de format de journal pour chaque type de journal d'événements :

  • Mitigation started (atténuation démarrée)

    @type: "type.googleapis.com/google.cloud.networksecurity.cloudarmor.logging.v1.CloudArmorMitigationAlert"
    alertId: "11275630857957031521"
    mitigation_type: "MITIGATION_STARTED"
    target_vip: "XXX.XXX.XXX.XXX"
    total_volume: {
      pps: 1400000
    }
    started: {
    total_attack_volume: {
      pps: 1100000
    }
    classified_attack: {
      attack_type: "ntp amplification"
      attack_volume: {
        pps: 500000
      }
    }
    classified_attack: {
      attack_type: "ssdp amplification"
      attack_volume: {
        pps: 600000
      }
    }
    }
    
  • Mitigation ongoing (atténuation en cours)

    @type: "type.googleapis.com/google.cloud.networksecurity.cloudarmor.logging.v1.CloudArmorMitigationAlert"
    alertId: "11275630857957031521"
    mitigation_type: "MITIGATION_ONGOING"
    target_vip: "XXX.XXX.XXX.XXX"
    total_volume: {
      pps: 1500000
    }
    ongoing: {
    total_attack_volume: {
      pps: 1100000
    }
    classified_attack: {
      attack_type: "ntp amplification"
      attack_volume: {
        pps: 500000
      }
    }
    classified_attack: {
      attack_type: "ssdp amplification"
      attack_volume: {
        pps: 600000
      }
    }
    }
    
  • Mitigation completed (atténuation terminée)

    @type: "type.googleapis.com/google.cloud.networksecurity.cloudarmor.logging.v1.CloudArmorMitigationAlert"
    alertId: "11275630857957031521"
    mitigation_type: "MITIGATION_ENDED"
    target_vip: "XXX.XXX.XXX.XXX"
    ended: {
      attack_duration_seconds: 600
    }
    

Pour afficher ces journaux, accédez à l'explorateur de journaux et affichez la ressource network_security_policy.

Accéder à l'explorateur de journaux

Pour en savoir plus sur l'affichage des journaux, consultez la section Afficher les journaux.