Questa pagina è stata tradotta dall'API Cloud Translation.

Configurare la protezione DDoS di rete avanzata

Un attacco di tipo distributed denial of service (DDoS) è un tentativo deliberato da parte di un attore ostile di interrompere le operazioni di siti, sistemi e API esposti pubblicamente, con l'obiettivo di degradare l'esperienza degli utenti legittimi. Per i carichi di lavoro con bilanciatori del carico di rete passthrough esterni, il forwarding del protocollo o VM con indirizzi IP pubblici, Google Cloud Armor offre le seguenti opzioni per proteggere sistemi contro gli attacchi DDoS:

Protezione DDoS di rete standard: protezione di base sempre attiva per bilanciatori del carico di rete passthrough esterni, forwarding del protocollo o VM con indirizzi IP pubblici. Questo è coperto da Google Cloud Armor Standard e non richiede abbonamenti aggiuntivi.
Protezione DDoS di rete avanzata: protezioni aggiuntive per gli abbonati a Cloud Armor Enterprise che utilizzano bilanciatori del carico di rete passthrough esterni, forwarding del protocollo o VM con indirizzi IP pubblici. Per ulteriori informazioni su Cloud Armor Enterprise, consulta la panoramica di Cloud Armor Enterprise.

Questo documento spiega la differenza tra protezione DDoS di rete standard e avanzata. come funziona la protezione DDoS di rete avanzata e come abilitare la protezione DDoS di rete avanzata.

Confronta la protezione DDoS di rete standard e avanzata

Utilizza la seguente tabella per confrontare la protezione DDoS di rete standard e avanzata le funzionalità di machine learning.

Funzionalità	Protezione DDoS di rete standard	Protezione DDoS di rete avanzata
Tipo di endpoint protetto	Bilanciatore del carico di rete passthrough esterno Forwarding del protocollo VM con indirizzi IP pubblici	Bilanciatore del carico di rete passthrough esterno Forwarding del protocollo VM con indirizzi IP pubblici
Applicazione delle regole di forwarding
Monitoraggio e avvisi sugli attacchi sempre attivi
Mitigazioni degli attacchi mirati
Telemetria di mitigazione

Come funziona la protezione DDoS sulla rete

La protezione DDoS di rete standard è sempre attiva. Non devi intraprendere alcuna azione per abilitarlo.

Puoi configurare la protezione DDoS avanzata sulla rete in base alla regione. Anziché associare il criterio di sicurezza perimetrale della rete a uno o più pool di destinazione, istanze di destinazione, servizi di backend o istanze con indirizzi IP esterni, lo associ a un servizio di sicurezza perimetrale della rete in una determinata regione. Se lo abiliti per quella regione, Google Cloud Armor fornisce rilevamento e mitigazione di attacchi volumetrici mirati per il bilanciatore del carico di rete passthrough esterno, protocollo e VM con indirizzi IP pubblici in quella regione. Puoi applicare solo protezione DDoS di rete avanzata per i progetti registrati a con Cloud Armor Enterprise.

Quando configuri la protezione DDoS di rete avanzata, devi prima creare criterio di tipo CLOUD_ARMOR_NETWORK in una regione scelta. Poi, aggiornare il criterio di sicurezza per abilitare la protezione DDoS di rete avanzata. Infine, crea un servizio di sicurezza perimetrale della rete, una risorsa a cui puoi collegare criteri di sicurezza di tipo CLOUD_ARMOR_NETWORK. L'associazione del criterio di sicurezza al servizio di sicurezza perimetrale della rete abilita la protezione DDoS di rete avanzata per tutti gli endpoint applicabili nella regione scelta.

La protezione DDoS di rete avanzata misura il traffico di riferimento per migliorare le prestazioni della mitigazione. Quando attivi la protezione DDoS di rete avanzata, c'è un periodo di addestramento 24 ore prima che la protezione DDoS di rete avanzata sviluppi una base di riferimento affidabile e possa utilizzare l'addestramento per migliorarne le mitigazioni. Al termine del periodo di addestramento, la protezione DDoS di rete avanzata applica ulteriori tecniche di mitigazione basate sui dati storici per via del traffico.

Attiva la protezione DDoS di rete avanzata

Per attivare la protezione DDoS di rete avanzata, procedi come indicato di seguito.

Registrati a Cloud Armor Enterprise

Il progetto deve essere registrato in Cloud Armor Enterprise per attivare la protezione DDoS di rete avanzata su base regionale. Dopo l'attivazione, tutte le istanze gli endpoint nella regione attivata ricevono la protezione DDoS di rete avanzata sempre attiva.

Assicurati che sia attivo un abbonamento a Cloud Armor Enterprise nel tuo e che il progetto corrente è registrato con Cloud Armor Enterprise. Per ulteriori informazioni sull'abbonamento a Cloud Armor Enterprise, consulta Abbonarsi a Cloud Armor Enterprise e registrare i progetti.

Configura le autorizzazioni IAM (Identity and Access Management)

Per configurare, aggiornare o eliminare un servizio di sicurezza perimetrale di Google Cloud Armor: devi disporre delle seguenti autorizzazioni IAM:

compute.networkEdgeSecurityServices.create
compute.networkEdgeSecurityServices.update
compute.networkEdgeSecurityServices.get
compute.networkEdgeSecurityServices.delete

La tabella seguente elenca i ruoli IAM autorizzazioni di base e i metodi API associati.

Autorizzazioni IAM	Metodi dell'API
`compute.networkEdgeSecurityServices.create`	`networkEdgeSecurityServices insert`
`compute.networkEdgeSecurityServices.update`	`networkEdgeSecurityServices patch`
`compute.networkEdgeSecurityServices.get`	`networkEdgeSecurityServices get`
`compute.networkEdgeSecurityServices.delete`	`networkEdgeSecurityServices delete`
`compute.networkEdgeSecurityServices.list`	`networkEdgeSecurityServices aggregatedList`

Per saperne di più sulle autorizzazioni IAM necessarie per utilizzare Google Cloud Armor, consulta Configurare le autorizzazioni IAM per i criteri di sicurezza di Google Cloud Armor.

Configurare la protezione DDoS di rete avanzata

Per attivare la protezione DDoS di rete avanzata, segui questa procedura.

Crea un criterio di sicurezza di tipo CLOUD_ARMOR_NETWORK o utilizza un criterio esistente criterio di sicurezza di tipo CLOUD_ARMOR_NETWORK.
```
 gcloud compute security-policies create SECURITY_POLICY_NAME \
     --type CLOUD_ARMOR_NETWORK \
     --region REGION
```
Sostituisci quanto segue:
- SECURITY_POLICY_NAME: il nome che vuoi il criterio di sicurezza
- REGION: la regione in cui vuoi eseguire il provisioning del criterio di sicurezza

Aggiorna il criterio di sicurezza appena creato o esistente impostando la --network-ddos-protection flag per ADVANCED.

 gcloud compute security-policies update SECURITY_POLICY_NAME \
     --network-ddos-protection ADVANCED \
     --region REGION

In alternativa, puoi impostare il flag --network-ddos-protection su ADVANCED_PREVIEW per attivare il criterio di sicurezza in modalità di anteprima.

 gcloud beta compute security-policies update SECURITY_POLICY_NAME \
     --network-ddos-protection ADVANCED_PREVIEW \
     --region REGION

Crea un servizio di sicurezza perimetrale della rete che faccia riferimento al tuo criterio di sicurezza.

 gcloud compute network-edge-security-services create SERVICE_NAME \
     --security-policy SECURITY_POLICY_NAME \
     --region REGION

Disattivare la protezione DDoS di rete avanzata

Per disattivare la protezione DDoS di rete avanzata, puoi aggiornare o eliminare la sicurezza .

Aggiorna il criterio di sicurezza

Utilizza il seguente comando per aggiornare il criterio di sicurezza in modo da impostare il flag --network-ddos-protection su STANDARD. Sostituisci variabili con informazioni pertinenti al deployment.

gcloud compute security-policies update SECURITY_POLICY_NAME \
    --network-ddos-protection STANDARD \
    --region REGION

Elimina il criterio di sicurezza

Prima di poter eliminare un criterio di sicurezza perimetrale della rete, devi prima rimuoverlo dal servizio di sicurezza perimetrale della rete perché non puoi eliminare i criteri di sicurezza in uso. Per eliminare il criterio di sicurezza:

Rimuovi il criterio dal servizio di sicurezza perimetrale della rete o elimina il servizio di sicurezza perimetrale della rete.
- Per rimuovere il criterio dal servizio di sicurezza perimetrale della rete, utilizza seguente comando:
```
gcloud compute network-edge-security-services update SERVICE_NAME \
 --security-policy="" \
 --region=REGION_NAME
```
- Per eliminare il servizio di sicurezza all'edge della rete, utilizza il seguente comando:
```
gcloud compute network-edge-security-services delete SERVICE_NAME \
 --region=REGION_NAME
```
Elimina il criterio di sicurezza utilizzando il seguente comando:
```
gcloud compute security-policies delete SECURITY_POLICY_NAME
```

Utilizzare la modalità di anteprima

La modalità di anteprima consente di monitorare gli effetti della protezione DDoS di rete avanzata senza applicarne la mitigazione.

Gli abbonati a Cloud Armor Enterprise possono anche attivare la modalità di anteprima per i criteri di protezione DDoS di rete avanzata. In modalità di anteprima, ricevi tutti i dati la telemetria sull'attacco rilevato e sulla mitigazione proposta. Tuttavia, la mitigazione proposta non viene applicata. In questo modo puoi testare l'efficacia della mitigazione prima di abilitarla. Poiché ogni criterio viene configurata per regione, puoi attivare o disattivare la modalità di anteprima per regione.

Per attivare la modalità di anteprima, imposta il flag --ddos-protection su ADVANCED_PREVIEW. Puoi usare l'esempio seguente per aggiornare un criterio esistente.

gcloud beta compute security-policies update POLICY_NAME \
    --network-ddos-protection ADVANCED_PREVIEW \
    --region=REGION

Sostituisci quanto segue:

POLICY_NAME: il nome della norma
REGION: la regione in cui si trova il criterio.

Se il criterio di sicurezza è in modalità di anteprima durante un attacco attivo e si desidera per applicare le mitigazioni, puoi aggiornare i criteri di sicurezza per impostare --network-ddos-protection flag per ADVANCED. Il criterio viene applicato in modo forzato quasi immediatamente e il successivo evento di logging MITIGATION_ONGOING riflette modifica. MITIGATION_ONGOING eventi di logging si verificano ogni cinque minuti.

Telemetria per la mitigazione dei rischi DDoS sulla rete

Google Cloud Armor genera tre tipi di log eventi durante la mitigazione degli attacchi DDoS attacchi: MITIGATION_STARTED, MITIGATION_ONGOING e MITIGATION_ENDED. Tu puoi utilizzare i seguenti filtri di log per visualizzare i log in base al tipo di mitigazione:

Tipo di mitigazione	Filtro log
Inizio mitigazione	resource.type="network_security_policy" jsonPayload.mitigationType="MITIGATION_STARTED"
Migrazione in corso	resource.type="network_security_policy" jsonPayload.mitigationType="MITIGATION_ONGOING"
Fine attenuazione	resource.type="network_security_policy" jsonPayload.mitigationType="MITIGATION_ENDED"

Tipo di mitigazione

Filtro log

Inizio mitigazione

resource.type="network_security_policy"

jsonPayload.mitigationType="MITIGATION_STARTED"

Migrazione in corso

resource.type="network_security_policy"

jsonPayload.mitigationType="MITIGATION_ONGOING"

Fine attenuazione

resource.type="network_security_policy"

jsonPayload.mitigationType="MITIGATION_ENDED"

Log degli eventi di mitigazione degli attacchi di Cloud Logging

Le sezioni seguenti forniscono esempi del formato del log per ogni tipo di log eventi:

Migrazione avviata

  @type: "type.googleapis.com/google.cloud.networksecurity.cloudarmor.logging.v1.CloudArmorMitigationAlert"
  alertId: "11275630857957031521"
  mitigation_type: "MITIGATION_STARTED"
  target_vip: "XXX.XXX.XXX.XXX"
  total_volume: {
   pps: 1400000
   bps: 140000000
  }
  started: {
   total_attack_volume: {
    pps: 1100000
    bps: 110000000
   }
   classified_attack: {
    attack_type: "NTP-udp"
    attack_volume: {
       pps: 500000
       bps: 50000000
    }
   }
   classified_attack: {
    attack_type: "CHARGEN-udp"
    attack_volume: {
       pps: 600000
       bps: 60000000
    }
   }
   attack_sources: {
    top_source_asns: {
      asn: "ABCDEF"
      volume: {
        pps: 20000
        bps: 2000000
      }
    }
    top_source_asns: {
      asn: "UVWXYZ"
      volume: {
        pps: 20000
        bps: 2000000
      }
    }
    top_source_geos: {
      region_code: "XX"
      volume: {
        pps: 20000
        bps: 2000000
      }
    }
    top_source_geos: {
      region_code: "XY"
      volume: {
        pps: 20000
        bps: 2000000
      }
    }
   }
  }

Migrazione in corso

  @type: "type.googleapis.com/google.cloud.networksecurity.cloudarmor.logging.v1.CloudArmorMitigationAlert"
  alertId: "11275630857957031521"
  mitigation_type: "MITIGATION_ONGOING"
  target_vip: "XXX.XXX.XXX.XXX"
  total_volume: {
   pps: 1500000
   bps: 150000000
  }
  ongoing: {
   total_attack_volume: {
    pps: 1100000
    bps: 110000000
   }
   classified_attack: {
    attack_type: "NTP-udp"
    attack_volume: {
       pps: 500000
       bps: 50000000
    }
   }
   classified_attack: {
    attack_type: "CHARGEN-udp"
    attack_volume: {
       pps: 600000
       bps: 60000000
    }
   }
   attack_sources: {
    top_source_asns: {
      asn: "ABCDEF"
      volume: {
        pps: 20000
        bps: 2000000
      }
    }
    top_source_asns: {
      asn: "UVWXYZ"
      volume: {
        pps: 20000
        bps: 2000000
      }
    }
    top_source_geos: {
      region_code: "XX"
      volume: {
        pps: 20000
        bps: 2000000
      }
    }
    top_source_geos: {
      region_code: "XY"
      volume: {
        pps: 20000
        bps: 2000000
      }
    }
   }
  }

Mitigazione completata

  @type: "type.googleapis.com/google.cloud.networksecurity.cloudarmor.logging.v1.CloudArmorMitigationAlert"
  alertId: "11275630857957031521"
  mitigation_type: "MITIGATION_ENDED"
  target_vip: "XXX.XXX.XXX.XXX"
  ended: {
      attack_duration_seconds: 600
      attack_type: "NTP-udp"
  }

In modalità di anteprima, tutti i valori mitigation_type precedenti sono preceduti di PREVIEWED_. Ad esempio, in modalità di anteprima, MITIGATION_STARTED viene invece PREVIEWED_MITIGATION_STARTED.

Per visualizzare questi log, vai a Esplora log e visualizza il network_security_policy risorsa.

Vai a Esplora log

Per ulteriori informazioni sulla visualizzazione dei log, consulta Visualizzazione dei log.

Passaggi successivi

Scopri come configurare i criteri di sicurezza perimetrale della rete
Scopri di più su Cloud Armor Enterprise