Mengonfigurasi perlindungan DDoS jaringan lanjutan

Serangan distributed denial of service (DDoS) adalah upaya yang disengaja oleh pelaku yang tidak berwenang untuk mengganggu operasi situs, sistem, dan API yang diekspos secara publik, dengan tujuan untuk menurunkan pengalaman pengguna yang sah. Untuk workload yang menggunakan Load Balancer Jaringan passthrough eksternal, penerusan protokol, atau VM dengan alamat IP publik, Google Cloud Armor menawarkan opsi berikut untuk membantu melindungi sistem dari serangan DDoS:

• Perlindungan DDoS jaringan standar: perlindungan yang selalu aktif dasar untuk Load Balancer Jaringan passthrough eksternal, penerusan protokol, atau VM dengan alamat IP publik. Hal ini tercakup dalam Google Cloud Armor Standard dan tidak memerlukan langganan tambahan.
• Perlindungan DDoS jaringan lanjutan: perlindungan tambahan untuk pelanggan Cloud Armor Enterprise yang menggunakan Load Balancer Jaringan passthrough eksternal, penerusan protokol, atau VM dengan alamat IP publik. Untuk mengetahui informasi selengkapnya tentang Cloud Armor Enterprise, baca ringkasan Cloud Armor Enterprise.

Dokumen ini menjelaskan perbedaan antara perlindungan DDoS jaringan standar dan lanjutan, cara kerja perlindungan DDoS jaringan tingkat lanjut, dan cara mengaktifkan perlindungan lanjutan dari DDoS jaringan.

Membandingkan perlindungan DDoS jaringan standar dan lanjutan

Gunakan tabel berikut untuk membandingkan fitur perlindungan DDoS jaringan standar dan lanjutan.

Fitur	Perlindungan DDoS jaringan standar	Perlindungan DDoS jaringan tingkat lanjut
Jenis endpoint yang dilindungi	Load Balancer Jaringan passthrough eksternal Penerusan protokol VM dengan alamat IP publik	Load Balancer Jaringan passthrough eksternal Penerusan protokol VM dengan alamat IP publik
Penerapan aturan penerusan
Pemberitahuan dan pemantauan serangan yang selalu aktif
Mitigasi serangan yang ditargetkan
Telemetri mitigasi

Cara kerja perlindungan DDoS jaringan

Perlindungan DDoS jaringan standar selalu diaktifkan. Anda tidak perlu melakukan tindakan apa pun untuk mengaktifkannya.

Anda mengonfigurasi perlindungan DDoS jaringan lanjutan berdasarkan region. Saat Anda mengaktifkannya untuk region tertentu, Google Cloud Armor akan menyediakan deteksi dan mitigasi serangan volumetrik yang selalu aktif untuk Load Balancer Jaringan passthrough eksternal, penerusan protokol, dan VM dengan alamat IP publik di region tersebut. Anda hanya dapat menerapkan perlindungan DDoS jaringan lanjutan ke project yang terdaftar di Cloud Armor Enterprise.

Saat mengonfigurasi perlindungan DDoS jaringan lanjutan, Anda harus membuat kebijakan keamanan jenis CLOUD_ARMOR_NETWORK terlebih dahulu di region yang Anda pilih. Selanjutnya, Anda dapat memperbarui kebijakan keamanan untuk mengaktifkan perlindungan DDoS jaringan lanjutan. Terakhir, Anda akan membuat layanan keamanan edge jaringan, resource tempat Anda dapat melampirkan kebijakan keamanan jenis CLOUD_ARMOR_NETWORK. Dengan menyertakan kebijakan keamanan ke layanan keamanan edge jaringan, perlindungan DDoS jaringan lanjutan dapat diperoleh untuk semua endpoint yang berlaku di region yang Anda pilih.

Perlindungan DDoS jaringan tingkat lanjut mengukur traffic dasar Anda untuk meningkatkan performa mitigasinya. Saat Anda mengaktifkan perlindungan DDoS jaringan lanjutan, ada periode pelatihan selama 24 jam sebelum perlindungan DDoS jaringan lanjutan dapat mengembangkan dasar pengukuran yang andal dan dapat menggunakan pelatihannya untuk meningkatkan mitigasinya. Saat periode pelatihan berakhir, perlindungan DDoS jaringan lanjutan akan menerapkan teknik mitigasi tambahan berdasarkan traffic historis.

Mengaktifkan perlindungan DDoS jaringan lanjutan

Gunakan langkah-langkah berikut untuk mengaktifkan perlindungan DDoS jaringan lanjutan.

Daftar ke Cloud Armor Enterprise

Project Anda harus terdaftar di Cloud Armor Enterprise untuk mengaktifkan perlindungan DDoS jaringan lanjutan di setiap region. Setelah diaktifkan, semua endpoint regional di region yang diaktifkan akan menerima perlindungan DDoS jaringan lanjutan yang selalu aktif.

Pastikan ada langganan Cloud Armor Enterprise yang aktif di akun penagihan Anda, dan project saat ini terdaftar di Cloud Armor Enterprise. Untuk mengetahui informasi selengkapnya tentang cara mendaftar ke Cloud Armor Enterprise, lihat Berlangganan ke Cloud Armor Enterprise dan mendaftarkan project.

Mengonfigurasi izin Identity and Access Management (IAM)

Untuk mengonfigurasi, memperbarui, atau menghapus layanan keamanan edge Google Cloud Armor, Anda memerlukan izin IAM berikut:

• compute.networkEdgeSecurityServices.create
• compute.networkEdgeSecurityServices.update
• compute.networkEdgeSecurityServices.get
• compute.networkEdgeSecurityServices.delete

Tabel berikut mencantumkan izin dasar peran IAM dan metode API yang terkait.

Izin IAM	Metode API
compute.networkEdgeSecurityServices.create	networkEdgeSecurityServices insert
compute.networkEdgeSecurityServices.update	networkEdgeSecurityServices patch
compute.networkEdgeSecurityServices.get	networkEdgeSecurityServices get
compute.networkEdgeSecurityServices.delete	networkEdgeSecurityServices delete
compute.networkEdgeSecurityServices.list	networkEdgeSecurityServices aggregatedList

Untuk mengetahui informasi selengkapnya tentang izin IAM yang Anda perlukan saat menggunakan Google Cloud Armor, lihat Menyiapkan izin IAM untuk kebijakan keamanan Google Cloud Armor.

Mengonfigurasi perlindungan DDoS jaringan lanjutan

Gunakan langkah-langkah berikut untuk mengaktifkan perlindungan DDoS jaringan lanjutan.

1. Buat kebijakan keamanan jenis CLOUD_ARMOR_NETWORK, atau gunakan kebijakan keamanan yang sudah ada dengan jenis CLOUD_ARMOR_NETWORK.

    gcloud compute security-policies create SECURITY_POLICY_NAME \
        --type CLOUD_ARMOR_NETWORK \
        --region REGION
   

   Ganti kode berikut:

   • SECURITY_POLICY_NAME: nama yang Anda inginkan untuk kebijakan keamanan Anda
   • REGION: region tempat Anda ingin menyediakan kebijakan keamanan

2. Perbarui kebijakan keamanan yang baru dibuat atau yang sudah ada dengan menetapkan flag --network-ddos-protection ke ADVANCED.

    gcloud compute security-policies update SECURITY_POLICY_NAME \
        --network-ddos-protection ADVANCED \
        --region REGION
   

   Atau, Anda dapat menetapkan flag --network-ddos-protection ke ADVANCED_PREVIEW untuk mengaktifkan kebijakan keamanan dalam mode pratinjau.

    gcloud beta compute security-policies update SECURITY_POLICY_NAME \
        --network-ddos-protection ADVANCED_PREVIEW \
        --region REGION
   

3. Buat layanan keamanan edge jaringan yang mereferensikan kebijakan keamanan Anda.

    gcloud compute network-edge-security-services create SERVICE_NAME \
        --security-policy SECURITY_POLICY_NAME \
        --region REGION
   

Nonaktifkan perlindungan DDoS jaringan lanjutan

Untuk menonaktifkan perlindungan DDoS jaringan lanjutan, Anda dapat memperbarui atau menghapus kebijakan keamanan.

Memperbarui kebijakan keamanan

Gunakan perintah berikut untuk memperbarui kebijakan keamanan Anda untuk menetapkan flag --network-ddos-protection ke STANDARD. Ganti variabel dengan informasi yang relevan dengan deployment Anda.

gcloud compute security-policies update SECURITY_POLICY_NAME \
    --network-ddos-protection STANDARD \
    --region REGION

Menghapus kebijakan keamanan

Sebelum dapat menghapus kebijakan keamanan edge jaringan, Anda harus menghapusnya terlebih dahulu dari layanan keamanan edge jaringan karena Anda tidak dapat menghapus kebijakan keamanan yang sedang digunakan. Gunakan langkah-langkah berikut untuk menghapus kebijakan keamanan Anda:

1. Hapus kebijakan Anda dari layanan keamanan edge jaringan atau hapus layanan keamanan edge jaringan.

2. Hapus kebijakan keamanan menggunakan perintah berikut:

   gcloud compute security-policies delete NAME
   

Menggunakan mode pratinjau

Mode pratinjau memungkinkan Anda memantau efek perlindungan DDoS jaringan lanjutan tanpa menerapkan mitigasi.

Pelanggan Cloud Armor Enterprise juga dapat mengaktifkan mode pratinjau untuk kebijakan perlindungan DDoS jaringan lanjutan. Dalam mode pratinjau, Anda menerima semua logging dan telemetri tentang serangan yang terdeteksi dan mitigasi yang diusulkan. Namun, mitigasi yang diusulkan tidak diterapkan. Hal ini memungkinkan Anda menguji efektivitas mitigasi sebelum mengaktifkannya. Karena setiap kebijakan dikonfigurasi per region, Anda dapat mengaktifkan atau menonaktifkan mode pratinjau per region.

Untuk mengaktifkan mode pratinjau, tetapkan tanda --ddos-protection ke ADVANCED_PREVIEW. Anda dapat menggunakan contoh berikut untuk memperbarui kebijakan yang ada.

gcloud beta compute security-policies update POLICY_NAME \
    --network-ddos-protection ADVANCED_PREVIEW \
    --region=REGION

Ganti kode berikut:

• POLICY_NAME: nama kebijakan Anda
• REGION: wilayah tempat kebijakan Anda berada.

Jika kebijakan keamanan berada dalam mode pratinjau selama serangan aktif dan Anda ingin menerapkan mitigasi, Anda dapat memperbarui kebijakan keamanan untuk menetapkan flag --network-ddos-protection ke ADVANCED. Kebijakan ini akan diterapkan hampir segera, dan peristiwa logging MITIGATION_ONGOING berikutnya akan mencerminkan perubahan tersebut. Peristiwa logging MITIGATION_ONGOING terjadi setiap lima menit.

Telemetri mitigasi DDoS jaringan

Bagian berikut menjelaskan cara menggunakan telemetri untuk menganalisis serangan dan sumbernya.

Log peristiwa mitigasi serangan Cloud Logging

Google Cloud Armor menghasilkan tiga jenis log peristiwa saat memitigasi serangan DDoS. Bagian berikut memberikan contoh format log untuk setiap jenis log peristiwa:

Mitigasi dimulai

  @type: "type.googleapis.com/google.cloud.networksecurity.cloudarmor.logging.v1.CloudArmorMitigationAlert"
  alertId: "11275630857957031521"
  mitigation_type: "MITIGATION_STARTED"
  target_vip: "XXX.XXX.XXX.XXX"
  total_volume: {
   pps: 1400000
   bps: 140000000
  }
  started: {
   total_attack_volume: {
    pps: 1100000
    bps: 110000000
   }
   classified_attack: {
    attack_type: "NTP-udp"
    attack_volume: {
       pps: 500000
       bps: 50000000
    }
   }
   classified_attack: {
    attack_type: "CHARGEN-udp"
    attack_volume: {
       pps: 600000
       bps: 60000000
    }
   }
  }
  

Mitigasi sedang berlangsung

  @type: "type.googleapis.com/google.cloud.networksecurity.cloudarmor.logging.v1.CloudArmorMitigationAlert"
  alertId: "11275630857957031521"
  mitigation_type: "MITIGATION_ONGOING"
  target_vip: "XXX.XXX.XXX.XXX"
  total_volume: {
   pps: 1500000
   bps: 150000000
  }
  ongoing: {
   total_attack_volume: {
    pps: 1100000
    bps: 110000000
   }
   classified_attack: {
    attack_type: "NTP-udp"
    attack_volume: {
       pps: 500000
       bps: 50000000
    }
   }
   classified_attack: {
    attack_type: "CHARGEN-udp"
    attack_volume: {
       pps: 600000
       bps: 60000000
    }
   }
  }
  

Mitigasi selesai

  @type: "type.googleapis.com/google.cloud.networksecurity.cloudarmor.logging.v1.CloudArmorMitigationAlert"
  alertId: "11275630857957031521"
  mitigation_type: "MITIGATION_ENDED"
  target_vip: "XXX.XXX.XXX.XXX"
  ended: {
      attack_duration_seconds: 600
      attack_type: "NTP-udp"
  }
  

Dalam mode pratinjau, setiap mitigation_type sebelumnya didahului oleh PREVIEWED_. Misalnya, dalam mode pratinjau, MITIGATION_STARTED adalah PREVIEWED_MITIGATION_STARTED.

Untuk melihat log ini, buka Logs Explorer, lalu lihat resource network_security_policy.

Buka Logs Explorer

Untuk informasi lebih lanjut tentang melihat log, lihat Melihat log.

Langkah selanjutnya

• Pelajari cara Mengonfigurasi kebijakan keamanan edge jaringan
• Pelajari Cloud Armor Enterprise