Esta página contiene información sobre la configuración de la protección adaptable. Antes de configurar la protección adaptable, asegúrate de conocer la información de la descripción general de la protección adaptable y los casos de uso de la protección adaptable.
Antes de comenzar
En las siguientes secciones, se explican todas las funciones y los permisos de Identity and Access Management (IAM) necesarios para configurar las políticas de seguridad de Google Cloud Armor. Para
los casos de uso de este documento, solo necesitas el
permiso compute.securityPolicies.update
.
Configura los permisos de IAM para las políticas de seguridad de Google Cloud Armor
Las siguientes operaciones requieren la función de administrador de seguridad de Compute (roles/compute.securityAdmin
) de Identity and Access Management (IAM):
- Configurar, modificar, actualizar y borrar una política de seguridad de Google Cloud Armor
- Con los siguientes métodos de API:
SecurityPolicies insert
SecurityPolicies delete
SecurityPolicies patch
SecurityPolicies addRule
SecurityPolicies patchRule
SecurityPolicies removeRule
Un usuario con el rol de administrador de red de Compute (roles/compute.networkAdmin
) puede realizar las siguientes operaciones:
- Establecer una política de seguridad de Google Cloud Armor para un servicio de backend
- Con los siguientes métodos de API:
BackendServices setSecurityPolicy
BackendServices list
(sologcloud
)
Los usuarios con el rol de administrador de seguridad (roles/iam.securityAdmin
) y el rol de administrador de red de Compute pueden ver las políticas de seguridad de Google Cloud Armor mediante los métodos de la API de SecurityPolicies
get
, list
y getRule
.
Configura permisos de IAM para funciones personalizadas
En la siguiente tabla, se enumeran los permisos básicos de las funciones de IAM y sus métodos de API asociados.
Permiso de IAM | Métodos de la API |
---|---|
compute.securityPolicies.create |
SecurityPolicies insert |
compute.securityPolicies.delete |
SecurityPolicies delete |
compute.securityPolicies.get |
SecurityPolicies get SecurityPolicies getRule |
compute.securityPolicies.list |
SecurityPolicies list |
compute.securityPolicies.use |
BackendServices setSecurityPolicy |
compute.securityPolicies.update |
SecurityPolicies patch SecurityPolicies addRule SecurityPolicies patchRule SecurityPolicies removeRule |
compute.backendServices.setSecurityPolicy |
BackendServices setSecurityPolicy |
Habilitar la protección adaptable
Usa los siguientes pasos para habilitar la protección adaptable en tu política de seguridad. La Protección adaptable se aplica a cada política de seguridad de forma individual.
Console
A fin de activar la protección adaptable en una política de seguridad, haz lo siguiente:
En la consola de Google Cloud, ve a la página Seguridad de red.
En la página Políticas, haz clic en el nombre de una política de seguridad.
Haz clic en Editar.
En Protección adaptable, selecciona Habilitar.
Haz clic en Update.
Para desactivar la protección adaptable en una política de seguridad, haz lo siguiente:
En la consola de Google Cloud, ve a la página Seguridad de red.
En la página Políticas, haz clic en el nombre de una política de seguridad.
Haz clic en Editar.
En Protección adaptable, desmarca Habilitar.
Haz clic en Update.
gcloud
A fin de activar la protección adaptable en una política de seguridad, haz lo siguiente:
gcloud compute security-policies update MY-SECURITY-POLICY \ --enable-layer7-ddos-defense
Para desactivar la protección adaptable en una política de seguridad, haz lo siguiente:
gcloud compute security-policies update MY-SECURITY-POLICY \ --no-enable-layer7-ddos-defense
Configura modelos detallados
La función de modelos detallados te permite configurar hosts o rutas de acceso específicos como las unidades detalladas que analiza la protección adaptable. En los siguientes ejemplos, puedes crear unidades de tráfico detalladas para cada host, personalizar una unidad de tráfico detallada y configurar la protección adaptable a fin de que tome medidas cuando el tráfico supere las consultas por segundo (QPS) de referencia. Para obtener más información sobre los modelos detallados, consulta la Descripción general de la protección adaptable.
Configura unidades de tráfico detalladas
En los ejemplos de esta sección, se usa el comando add-layer7-ddos-defense-threshold-config
con algunas o todas las siguientes marcas:
Marca | Descripción |
---|---|
--threshold-config-name |
El nombre de la configuración del umbral. |
--traffic-granularity-configs |
Opciones de configuración para habilitar la protección adaptable de modo que funcione en el nivel de detalle del servicio especificado. |
--auto-deploy-impacted-baseline-threshold |
Umbral del impacto estimado de la protección adaptable en el tráfico de referencia de la regla de mitigación sugerida para un ataque detectado. Las defensas automáticas se aplican solo si no se excede el umbral. |
--auto-deploy-expiration-sec |
La duración de las acciones, si las hay, que realiza la implementación automática. |
--detection-load-threshold |
Umbral de detección basado en la carga del servicio de backend. |
--detection-absolute-qps |
Umbral de detección basado en QPS absolutas. |
--detection-relative-to-baseline-qps |
Umbral de detección basado en QPS relativo al promedio del tráfico de referencia. |
En el primer ejemplo, configuras la protección adaptable a fin de detectar ataques y sugerir mitigaciones independientes para cada host detrás de tu servicio de backend, sin anular ningún umbral predeterminado.
gcloud
- Crea una política de seguridad con el nombre
POLICY_NAME
o usa una política de seguridad existente. - Si la protección adaptable aún no está habilitada, usa el siguiente comando para habilitarla en tu política:
gcloud compute security-policies update POLICY_NAME
--enable-layer7-ddos-defense - Aplica la política de seguridad a un servicio de backend con varios hosts.
- Usa el siguiente comando
add-layer7-ddos-defense-threshold-config
con la marca--traffic-granularity-configs
para configurar una unidad de tráfico detallada:gcloud compute security-policies add-layer7-ddos-defense-threshold-config POLICY_NAME
--threshold-config-name=per-host-config
--traffic-granularity-configs=type=HTTP_HEADER_HOST;enableEachUniqueValue=true
En el segundo ejemplo, se configuran diferentes umbrales de implementación y detección automáticas para algunas o todas las unidades de tráfico detalladas que configuraste en el primer ejemplo.
gcloud
- Si la implementación automática de la protección adaptable aún no está habilitada, crea una regla de marcador de posición.
- Con el siguiente comando, se personaliza el umbral de implementación automática para una unidad de tráfico detallada con un
HTTP_HEADER_HOST
deHOST
y unHTTP_PATH
dePATH
. Usa este comando para cada unidad de tráfico detallada que desees personalizar y reemplaza las variables según sea necesario para cada host y ruta de URL:gcloud compute security-policies add-layer7-ddos-defense-threshold-config
POLICY_NAME
--threshold-config-name=my-host-config
--auto-deploy-impacted-baseline-threshold=0.01
--auto-deploy-expiration-sec=3600
--traffic-granularity-configs=type=HTTP_HEADER_HOST;value=HOST
,type=HTTP_PATH;value=PATH
Detecta cuando el volumen de ataque supera el promedio de QPS de referencia
En el siguiente ejemplo, se configura la protección adaptable para que detecte un ataque solo cuando el volumen de ataque supere las QPS promedio de referencia en más de un 50% y solo cuando la carga del servicio de backend supere el 90% de su capacidad.
gcloud
- Crea una política de seguridad con el nombre
POLICY_NAME
o usa una política de seguridad existente. Si la protección adaptable aún no está habilitada, usa el siguiente comando para habilitarla en tu política:
gcloud compute security-policies update POLICY_NAME \ --enable-layer7-ddos-defense
Aplica la política de seguridad a un servicio de backend.
Usa el siguiente comando para configurar la protección adaptable con umbrales de detección personalizados:
gcloud compute security-policies add-layer7-ddos-defense-threshold-config POLICY_NAME \ --threshold-config-name=my-customized-thresholds \ --detection-load-threshold=0.9 \ --detection-relative-to-baseline-qps=1.5
¿Qué sigue?
- Descripción general de la Protección adaptable de Google Cloud Armor
- Casos de uso de la protección adaptable de Google Cloud Armor