Une attaque par déni de service distribué (DDoS) est une tentative délibérée de la part d'un individu hostile de perturber les opérations de sites, systèmes et API exposés publiquement, afin de dégrader l'expérience des utilisateurs légitimes. Pour les charges de travail utilisant un équilibreur de charge réseau TCP/UDP externe (équilibrage de charge réseau), le transfert de protocole ou des VM dotées d'adresses IP publiques, Google Cloud Armor offre les options suivantes pour protéger les systèmes contre les attaques DDoS :
- Protection DDoS standard du réseau : protection de base permanente pour les équilibreurs de charge réseau, le transfert de protocole ou les VM ayant des adresses IP publiques.
- Protection DDoS avancée du réseau : protections supplémentaires pour les abonnés à Managed Protection Plus qui utilisent des équilibreurs de charge réseau, le transfert de protocole ou des VM dotées d'adresses IP publiques. Pour en savoir plus sur Managed Protection, consultez la présentation de Managed Protection.
Ce document explique la différence entre la protection DDoS standard et avancée du réseau, le fonctionnement de la protection DDoS avancée et la manière d'activer cette protection.
Comparer les protections DDoS standard et avancée du réseau
Le tableau suivant vous permet de comparer les fonctionnalités standards et avancées de protection DDoS du réseau.
| Extraction | Protection DDoS standard du réseau | Protection DDoS avancée du réseau |
|---|---|---|
| Type de point de terminaison protégé |
|
|
| Filtrage standard contre les attaques DDoS | ||
| Application des règles de transfert | ||
| Surveillance et alertes concernant les attaques toujours activées | ||
| Atténuation ciblée des attaques | ||
| Télémétrie d'atténuation |
Fonctionnement de la protection contre les attaques DDoS du réseau
La protection DDoS du réseau standard est toujours activée. Aucune action n'est requise de votre part pour l'activer.
Vous configurez la protection avancée contre les attaques DDoS du réseau par région. Lorsqu'il est activé pour une région particulière, Google Cloud Armor fournit une détection et une atténuation constamment activées des attaques volumétriques ciblées pour les équilibreurs de charge réseau, le transfert de protocole et les VM avec adresses IP publiques au sein de cette région. Vous ne pouvez appliquer la protection avancée contre les attaques DDoS de réseau qu'aux projets inscrits à Managed Protection Plus.
Lorsque vous configurez la protection DDoS avancée du réseau, vous créez d'abord une stratégie de sécurité du type CLOUD_ARMOR_NETWORK dans la région de votre choix. Ensuite, vous mettez à jour la stratégie de sécurité afin d'activer la protection avancée contre les attaques DDoS. Enfin, vous créez un service de sécurité réseau périphérique, une ressource à laquelle vous pouvez associer des règles de sécurité de type CLOUD_ARMOR_NETWORK. Associer la stratégie de sécurité au service de sécurité périphérique du réseau active la protection avancée contre les attaques DDoS pour tous les points de terminaison applicables dans la région que vous avez choisie.
Activer la protection avancée contre les attaques DDoS du réseau
Suivez ces étapes pour activer la protection DDoS avancée du réseau.
S'inscrire à Managed Protection Plus
Votre projet doit être enregistré auprès de Managed Protection Plus pour pouvoir activer la protection DDoS avancée par région. Une fois la fonctionnalité activée, tous les points de terminaison régionaux de la région activée bénéficient d'une protection DDoS avancée toujours activée.
Vérifiez que votre compte de facturation comporte un abonnement Managed Protection Plus actif et que le projet en cours est enregistré auprès de Managed Protection Plus. Pour en savoir plus sur l'enregistrement auprès de Managed Protection, consultez la section S'abonner au niveau Plus de Managed Protection et enregistrer des projets.
Configurer la protection DDoS avancée du réseau
Suivez ces étapes pour activer la protection DDoS avancée du réseau. Remplacez les variables par les informations correspondant à votre déploiement.
Créez une stratégie de sécurité de type
CLOUD_ARMOR_NETWORKou utilisez une stratégie de sécurité existante de typeCLOUD_ARMOR_NETWORK. Remplacez SECURITY_POLICY_NAME par le nom que vous souhaitez attribuer à votre stratégie de sécurité et REGION par la région dans laquelle vous souhaitez la provisionner.gcloud compute security-policies create SECURITY_POLICY_NAME --type CLOUD_ARMOR_NETWORK --region REGION
Mettez à jour la stratégie de sécurité nouvellement créée ou existante en définissant l'option
--network-ddos-protectionsurADVANCED.gcloud compute security-policies update SECURITY_POLICY_NAME --network-ddos-protection ADVANCED --region REGION
Créez un service de sécurité en périphérie du réseau, qui fait référence à votre stratégie de sécurité.
gcloud compute network-edge-security-services create SERVICE_NAME --security-policy SECURITY_POLICY_NAME --region REGION
Désactiver la protection avancée contre les attaques DDoS du réseau
Pour désactiver la protection DDoS avancée du réseau, vous pouvez soit mettre à jour la stratégie de sécurité en définissant l'option --network-ddos-protection sur STANDARD, soit supprimer la stratégie de sécurité.
Mettre à jour la stratégie de sécurité
Exécutez la commande suivante afin de mettre à jour votre stratégie de sécurité pour passer l'option --network-ddos-protection sur STANDARD. Remplacez les variables par les informations correspondant à votre déploiement.
gcloud compute security-policies update SECURITY_POLICY_NAME --network-ddos-protection STANDARD --region REGION
Supprimer la stratégie de sécurité
Avant de pouvoir supprimer une stratégie de sécurité périphérique de réseau, vous devez d'abord la supprimer du service de sécurité périphérique de réseau, car vous ne pouvez pas supprimer les stratégies de sécurité en cours d'utilisation. Pour supprimer votre stratégie de sécurité, procédez comme suit :
- Supprimez votre stratégie du service de sécurité périphérique en périphérie ou supprimez le service de sécurité périphérique périphérique.
Supprimez la stratégie de sécurité à l'aide de la commande suivante :
gcloud compute security-policies delete NAME
Télémétrie d'atténuation des attaques DDoS visant le réseau
Les sections suivantes expliquent comment utiliser la télémétrie pour analyser les attaques et leurs sources.
Journaux Cloud Logging des événements de protection contre les attaques
Google Cloud Armor génère trois types de journaux d'événements lors de l'atténuation des attaques DDoS. Les sections suivantes fournissent des exemples de format de journal pour chaque type de journal d'événements :
Mitigation started (atténuation démarrée)
@type: "type.googleapis.com/google.cloud.networksecurity.cloudarmor.logging.v1.CloudArmorMitigationAlert" alertId: "11275630857957031521" mitigation_type: "MITIGATION_STARTED" target_vip: "XXX.XXX.XXX.XXX" total_volume: { pps: 1400000 } started: { total_attack_volume: { pps: 1100000 } classified_attack: { attack_type: "ntp amplification" attack_volume: { pps: 500000 } } classified_attack: { attack_type: "ssdp amplification" attack_volume: { pps: 600000 } } }Mitigation ongoing (atténuation en cours)
@type: "type.googleapis.com/google.cloud.networksecurity.cloudarmor.logging.v1.CloudArmorMitigationAlert" alertId: "11275630857957031521" mitigation_type: "MITIGATION_ONGOING" target_vip: "XXX.XXX.XXX.XXX" total_volume: { pps: 1500000 } ongoing: { total_attack_volume: { pps: 1100000 } classified_attack: { attack_type: "ntp amplification" attack_volume: { pps: 500000 } } classified_attack: { attack_type: "ssdp amplification" attack_volume: { pps: 600000 } } }Mitigation completed (atténuation terminée)
@type: "type.googleapis.com/google.cloud.networksecurity.cloudarmor.logging.v1.CloudArmorMitigationAlert" alertId: "11275630857957031521" mitigation_type: "MITIGATION_ENDED" target_vip: "XXX.XXX.XXX.XXX" ended: { attack_duration_seconds: 600 }
Pour afficher ces journaux, accédez à l'explorateur de journaux et affichez la ressource network_security_policy.
Accéder à l'explorateur de journaux
Pour en savoir plus sur l'affichage des journaux, consultez la section Afficher les journaux.