Une attaque par déni de service distribué (DDoS) est une tentative délibérée de la part d'un individu hostile de perturber les opérations de sites, systèmes et API exposés publiquement, afin de dégrader l'expérience des utilisateurs légitimes. Pour les charges de travail utilisant des équilibreurs de charge réseau passthrough externes, le transfert de protocole ou des VM avec des adresses IP publiques, Google Cloud Armor propose les options suivantes pour protéger les systèmes contre les attaques DDoS:
- Protection DDoS standard du réseau : protection de base permanente pour les équilibreurs de charge réseau, le transfert de protocole ou les VM ayant des adresses IP publiques. Cette fonctionnalité est couverte par Google Cloud Armor Standard et ne nécessite aucun abonnement supplémentaire.
- Protection DDoS avancée du réseau : protections supplémentaires pour les abonnés à Managed Protection Plus qui utilisent des équilibreurs de charge réseau, le transfert de protocole ou des VM dotées d'adresses IP publiques. Pour en savoir plus sur Managed Protection, consultez la présentation de Google Cloud Armor Managed Protection.
Ce document explique la différence entre la protection DDoS standard et avancée du réseau, comment fonctionne la protection DDoS avancée du réseau et comment activer la protection DDoS avancée du réseau.
Comparer la protection DDoS standard et avancée du réseau
Le tableau suivant vous permet de comparer les fonctionnalités standards et avancées de protection DDoS du réseau.
| Caractéristique | Protection DDoS standard du réseau | Protection DDoS avancée du réseau |
|---|---|---|
| Type de point de terminaison protégé |
|
|
| Application des règles de transfert | ||
| Surveillance et alertes concernant les attaques toujours activées | ||
| Mesures d'atténuation des attaques ciblées | ||
| Télémétrie d'atténuation |
Fonctionnement de la protection DDoS du réseau
La protection DDoS standard du réseau est toujours activée. Aucune action n'est requise de votre part pour l'activer.
Vous configurez la protection DDoS avancée du réseau pour chaque région. Lorsqu'il est activé pour une région particulière, Google Cloud Armor fournit une détection et une atténuation constamment activées des attaques volumétriques ciblées pour les équilibreurs de charge réseau, le transfert de protocole et les VM avec adresses IP publiques au sein de cette région. Vous ne pouvez appliquer la protection DDoS avancée du réseau qu'aux projets enregistrés dans Managed Protection Plus.
Lorsque vous configurez la protection DDoS avancée du réseau, vous créez d'abord une stratégie de sécurité du type CLOUD_ARMOR_NETWORK dans la région de votre choix. Ensuite, vous mettez à jour la stratégie de sécurité afin d'activer la protection avancée contre les attaques DDoS. Enfin, vous créez un service de sécurité en périphérie du réseau, une ressource à laquelle vous pouvez associer des règles de sécurité de type CLOUD_ARMOR_NETWORK. Associer la stratégie de sécurité au service de sécurité périphérique du réseau active la protection avancée contre les attaques DDoS pour tous les points de terminaison applicables dans la région que vous avez choisie.
La protection DDoS avancée du réseau mesure votre trafic de référence pour améliorer ses performances d'atténuation. Lorsque vous activez la protection DDoS avancée du réseau, une période d'entraînement de 24 heures est nécessaire avant que la protection avancée du réseau puisse développer une référence fiable et utiliser son entraînement pour améliorer ses protections. Une fois la période d'entraînement terminée, la protection DDoS avancée du réseau applique des techniques d'atténuation supplémentaires basées sur l'historique du trafic.
Activer la protection DDoS avancée du réseau
Suivez ces étapes pour activer la protection DDoS avancée du réseau.
S'inscrire à Managed Protection Plus
Votre projet doit être enregistré dans Managed Protection Plus pour activer la protection DDoS avancée du réseau par région. Une fois activés, tous les points de terminaison régionaux de la région activée bénéficient d'une protection DDoS avancée du réseau en permanence.
Vérifiez que votre compte de facturation comporte un abonnement Managed Protection Plus actif et que le projet en cours est enregistré auprès de Managed Protection Plus. Pour en savoir plus sur l'enregistrement auprès de Managed Protection, consultez la section S'abonner au niveau Plus de Managed Protection et enregistrer des projets.
Configurer les autorisations IAM (Identity and Access Management)
Pour configurer, mettre à jour ou supprimer un service de sécurité périphérique de Google Cloud Armor, vous devez disposer des autorisations IAM suivantes:
compute.networkEdgeSecurityServices.createcompute.networkEdgeSecurityServices.updatecompute.networkEdgeSecurityServices.getcompute.networkEdgeSecurityServices.delete
Le tableau suivant répertorie les autorisations standards des rôles IAM, ainsi que les méthodes d'API associées.
| Autorisation IAM | Méthodes d'API |
|---|---|
compute.networkEdgeSecurityServices.create |
networkEdgeSecurityServices insert |
compute.networkEdgeSecurityServices.update |
networkEdgeSecurityServices patch |
compute.networkEdgeSecurityServices.get |
networkEdgeSecurityServices get |
compute.networkEdgeSecurityServices.delete |
networkEdgeSecurityServices delete |
compute.networkEdgeSecurityServices.list |
networkEdgeSecurityServices aggregatedList |
Pour en savoir plus sur les autorisations IAM dont vous avez besoin lorsque vous utilisez Google Cloud Armor, consultez la page Configurer des autorisations IAM pour les stratégies de sécurité Google Cloud Armor.
Configurer la protection DDoS avancée du réseau
Suivez ces étapes pour activer la protection DDoS avancée du réseau.
Créez une stratégie de sécurité de type
CLOUD_ARMOR_NETWORKou utilisez une stratégie de sécurité existante de typeCLOUD_ARMOR_NETWORK.gcloud compute security-policies create SECURITY_POLICY_NAME \ --type CLOUD_ARMOR_NETWORK \ --region REGIONRemplacez les éléments suivants :
SECURITY_POLICY_NAME: nom que vous souhaitez attribuer à votre stratégie de sécuritéREGION: région dans laquelle vous souhaitez que votre stratégie de sécurité soit provisionnée
Mettez à jour la stratégie de sécurité nouvellement créée ou existante en définissant l'option
--network-ddos-protectionsurADVANCED.gcloud compute security-policies update SECURITY_POLICY_NAME \ --network-ddos-protection ADVANCED \ --region REGIONVous pouvez également définir l'option
--network-ddos-protectionsurADVANCED_PREVIEWpour activer la stratégie de sécurité en mode Aperçu.gcloud beta compute security-policies update SECURITY_POLICY_NAME \ --network-ddos-protection ADVANCED_PREVIEW \ --region REGIONCréez un service de sécurité en périphérie du réseau, qui fait référence à votre stratégie de sécurité.
gcloud compute network-edge-security-services create SERVICE_NAME \ --security-policy SECURITY_POLICY_NAME \ --region REGION
Désactiver la protection DDoS avancée du réseau
Pour désactiver la protection DDoS avancée du réseau, vous pouvez mettre à jour ou supprimer la règle de sécurité.
Mettre à jour la stratégie de sécurité
Exécutez la commande suivante afin de mettre à jour votre stratégie de sécurité pour passer l'option --network-ddos-protection sur STANDARD. Remplacez les variables par les informations correspondant à votre déploiement.
gcloud compute security-policies update SECURITY_POLICY_NAME \
--network-ddos-protection STANDARD \
--region REGION
Supprimer la stratégie de sécurité
Avant de pouvoir supprimer une stratégie de sécurité de périphérie de réseau, vous devez d'abord la supprimer du service de sécurité de périphérie de réseau, car vous ne pouvez pas supprimer les règles de sécurité en cours d'utilisation. Procédez comme suit pour supprimer votre stratégie de sécurité:
- Supprimez votre stratégie du service de sécurité de périphérie du réseau ou supprimez le service de sécurité de périphérie de réseau.
Supprimez la stratégie de sécurité à l'aide de la commande suivante:
gcloud compute security-policies delete NAME
Utiliser le mode Aperçu
Le mode Aperçu vous permet de surveiller les effets de la protection DDoS avancée du réseau sans appliquer l'atténuation.
Les abonnés à Managed Protection Plus peuvent également activer le mode Aperçu pour les règles avancées de protection DDoS du réseau. En mode aperçu, vous recevez toute la journalisation et la télémétrie de l'attaque détectée et l'atténuation proposée. Cependant, l'atténuation proposée n'est pas appliquée. Vous pouvez ainsi tester l'efficacité de l'atténuation avant de l'activer. Étant donné que chaque règle est configurée par région, vous pouvez activer ou désactiver le mode Aperçu par région.
Pour activer le mode Aperçu, définissez l'indicateur --ddos-protection sur ADVANCED_PREVIEW.
Vous pouvez utiliser l'exemple suivant pour mettre à jour une stratégie existante.
gcloud beta compute security-policies update POLICY_NAME \
--network-ddos-protection ADVANCED_PREVIEW \
--region=REGION
Remplacez les éléments suivants :
POLICY_NAME: nom de votre règleREGION: région dans laquelle se trouve votre règle.
Si votre stratégie de sécurité est en mode aperçu lors d'une attaque active et que vous souhaitez appliquer des mesures d'atténuation, vous pouvez la mettre à jour pour définir l'indicateur --network-ddos-protection sur ADVANCED. La règle est appliquée presque immédiatement, et l'événement de journalisation MITIGATION_ONGOING suivant reflète la modification. MITIGATION_ONGOING événements de journalisation se produisent toutes les cinq minutes.
Télémétrie d'atténuation des attaques DDoS visant le réseau
Les sections suivantes expliquent comment utiliser la télémétrie pour analyser les attaques et leurs sources.
Journaux Cloud Logging des événements de protection contre les attaques
Google Cloud Armor génère trois types de journaux d'événements lors de l'atténuation des attaques DDoS. Les sections suivantes fournissent des exemples de format de journal pour chaque type de journal d'événements :
Mitigation started (atténuation démarrée)
@type: "type.googleapis.com/google.cloud.networksecurity.cloudarmor.logging.v1.CloudArmorMitigationAlert"
alertId: "11275630857957031521"
mitigation_type: "MITIGATION_STARTED"
target_vip: "XXX.XXX.XXX.XXX"
total_volume: {
pps: 1400000
bps: 140000000
}
started: {
total_attack_volume: {
pps: 1100000
bps: 110000000
}
classified_attack: {
attack_type: "NTP-udp"
attack_volume: {
pps: 500000
bps: 50000000
}
}
classified_attack: {
attack_type: "CHARGEN-udp"
attack_volume: {
pps: 600000
bps: 60000000
}
}
}
Mitigation ongoing (atténuation en cours)
@type: "type.googleapis.com/google.cloud.networksecurity.cloudarmor.logging.v1.CloudArmorMitigationAlert"
alertId: "11275630857957031521"
mitigation_type: "MITIGATION_ONGOING"
target_vip: "XXX.XXX.XXX.XXX"
total_volume: {
pps: 1500000
bps: 150000000
}
ongoing: {
total_attack_volume: {
pps: 1100000
bps: 110000000
}
classified_attack: {
attack_type: "NTP-udp"
attack_volume: {
pps: 500000
bps: 50000000
}
}
classified_attack: {
attack_type: "CHARGEN-udp"
attack_volume: {
pps: 600000
bps: 60000000
}
}
}
Mitigation completed (atténuation terminée)
@type: "type.googleapis.com/google.cloud.networksecurity.cloudarmor.logging.v1.CloudArmorMitigationAlert"
alertId: "11275630857957031521"
mitigation_type: "MITIGATION_ENDED" target_vip: "XXX.XXX.XXX.XXX" ended: { attack_duration_seconds: 600 attack_type: "NTP-udp" }
En mode Aperçu, chacune des mitigation_type précédentes est précédée de PREVIEWED_. Par exemple, en mode Aperçu, MITIGATION_STARTED est remplacé par PREVIEWED_MITIGATION_STARTED.
Pour afficher ces journaux, accédez à l'explorateur de journaux et affichez la ressource network_security_policy.
Accéder à l'explorateur de journaux
Pour en savoir plus sur l'affichage des journaux, consultez la section Afficher les journaux.
Étapes suivantes
- Apprenez à configurer des règles de sécurité de périphérie de réseau.
- En savoir plus sur la protection gérée