Halaman ini berisi informasi tentang cara mengonfigurasi Perlindungan Adaptif. Sebelum mengonfigurasi Perlindungan Adaptif, pastikan Anda memahami informasi dalam ringkasan Perlindungan Adaptif dan kasus penggunaan Perlindungan Adaptif.
Sebelum memulai
Bagian berikut menjelaskan semua peran dan izin Identity and Access Management (IAM) yang diperlukan untuk mengonfigurasi kebijakan keamanan Google Cloud Armor. Untuk
kasus penggunaan dalam dokumen ini, Anda hanya memerlukan
izin compute.securityPolicies.update.
Menyiapkan izin IAM untuk kebijakan keamanan Google Cloud Armor
Operasi berikut memerlukan peran Compute Security Admin (roles/compute.securityAdmin) Identity and Access Management (IAM):
- Mengonfigurasi, mengubah, memperbarui, dan menghapus kebijakan keamanan Google Cloud Armor
- Menggunakan metode API berikut:
SecurityPolicies insertSecurityPolicies deleteSecurityPolicies patchSecurityPolicies addRuleSecurityPolicies patchRuleSecurityPolicies removeRule
Pengguna dengan peran Admin Jaringan Compute (roles/compute.networkAdmin) dapat melakukan operasi berikut:
- Menetapkan kebijakan keamanan Google Cloud Armor untuk layanan backend
- Menggunakan metode API berikut:
BackendServices setSecurityPolicyBackendServices list(gcloudsaja)
Pengguna dengan peran Security Admin (roles/iam.securityAdmin)
dan peran Compute Network Admin dapat melihat kebijakan keamanan Google Cloud Armor
menggunakan metode SecurityPolicies API get, list, dan
getRule.
Menyiapkan izin IAM untuk peran kustom
Tabel berikut mencantumkan izin dasar peran IAM dan metode API terkaitnya.
| Izin IAM | Metode API |
|---|---|
compute.securityPolicies.create |
SecurityPolicies insert |
compute.securityPolicies.delete |
SecurityPolicies delete |
compute.securityPolicies.get |
SecurityPolicies getSecurityPolicies getRule |
compute.securityPolicies.list |
SecurityPolicies list |
compute.securityPolicies.use |
BackendServices setSecurityPolicy |
compute.securityPolicies.update |
SecurityPolicies patchSecurityPolicies addRuleSecurityPolicies patchRuleSecurityPolicies removeRule |
compute.backendServices.setSecurityPolicy |
BackendServices setSecurityPolicy |
Mengaktifkan Perlindungan Adaptif
Gunakan langkah-langkah berikut untuk mengaktifkan Perlindungan Adaptif untuk kebijakan keamanan Anda. Perlindungan Adaptif diterapkan ke setiap kebijakan keamanan secara terpisah.
Konsol
Untuk mengaktifkan Perlindungan Adaptif untuk kebijakan keamanan:
Di konsol Google Cloud, buka halaman Network Security.
Di halaman Policies, klik nama kebijakan keamanan.
Klik Edit.
Di bagian Adaptive Protection, pilih Enable.
Klik Perbarui.
Untuk menonaktifkan Perlindungan Adaptif untuk kebijakan keamanan:
Di konsol Google Cloud, buka halaman Network Security.
Di halaman Policies, klik nama kebijakan keamanan.
Klik Edit.
Di bagian Adaptive Protection, hapus centang pada Enable.
Klik Perbarui.
gcloud
Untuk mengaktifkan Perlindungan Adaptif untuk kebijakan keamanan:
gcloud compute security-policies update MY-SECURITY-POLICY \
--enable-layer7-ddos-defense
Untuk menonaktifkan Perlindungan Adaptif untuk kebijakan keamanan:
gcloud compute security-policies update MY-SECURITY-POLICY \
--no-enable-layer7-ddos-defense
Mengonfigurasi model terperinci
Fitur model terperinci memungkinkan Anda mengonfigurasi host atau jalur tertentu sebagai unit terperinci yang dianalisis Adaptive Protection. Dalam contoh berikut, Anda membuat unit traffic terperinci untuk setiap host, menyesuaikan unit traffic terperinci, dan mengonfigurasi Adaptive Protection untuk mengambil tindakan saat traffic melebihi kueri dasar pengukuran per detik (QPS). Untuk mengetahui informasi selengkapnya tentang model granular, lihat ringkasan Adaptive Protection.
Mengonfigurasi unit traffic terperinci
Contoh di bagian ini menggunakan perintah
add-layer7-ddos-defense-threshold-config
dengan beberapa atau semua flag berikut:
| Flag | Deskripsi |
|---|---|
--threshold-config-name |
Nama konfigurasi nilai minimum. |
--traffic-granularity-configs |
Opsi konfigurasi untuk mengaktifkan Perlindungan Adaptif agar berfungsi pada granularitas layanan yang ditentukan. |
--auto-deploy-impacted-baseline-threshold |
Batas pada perkiraan dampak Adaptive Protection terhadap traffic dasar dari aturan mitigasi yang disarankan untuk serangan yang terdeteksi. Pertahanan otomatis hanya diterapkan jika nilai minimum tidak terlampaui. |
--auto-deploy-expiration-sec |
Durasi tindakan, jika ada, yang dilakukan oleh deployment otomatis. |
--detection-load-threshold |
Nilai minimum deteksi berdasarkan beban layanan backend. |
--detection-absolute-qps |
Ambang deteksi berdasarkan QPS absolut. |
--detection-relative-to-baseline-qps |
Batas deteksi berdasarkan QPS relatif terhadap rata-rata traffic dasar pengukuran. |
Pada contoh pertama, Anda mengonfigurasi Adaptive Protection untuk mendeteksi serangan pada dan menyarankan mitigasi independen untuk setiap host di balik layanan backend, tanpa mengganti nilai minimum default.
gcloud
- Buat kebijakan keamanan dengan nama
POLICY_NAME, atau gunakan kebijakan keamanan yang ada. - Jika Perlindungan Adaptif belum diaktifkan, gunakan perintah berikut
untuk mengaktifkan Perlindungan Adaptif untuk kebijakan Anda:
gcloud compute security-policies update POLICY_NAME
--enable-layer7-ddos-defense - Terapkan kebijakan keamanan ke layanan backend dengan beberapa host.
- Gunakan perintah
add-layer7-ddos-defense-threshold-configberikut dengan flag--traffic-granularity-configsuntuk mengonfigurasi unit traffic terperinci:gcloud compute security-policies add-layer7-ddos-defense-threshold-config POLICY_NAME
--threshold-config-name=per-host-config
--traffic-granularity-configs=type=HTTP_HEADER_HOST;enableEachUniqueValue=true
Dalam contoh kedua, Anda mengonfigurasi berbagai nilai minimum deteksi dan deployment otomatis untuk beberapa atau semua unit traffic terperinci yang Anda konfigurasikan dalam contoh pertama.
gcloud
- Jika deployment otomatis Adaptive Protection belum diaktifkan, buat aturan placeholder.
- Perintah berikut menyesuaikan nilai minimum deployment otomatis untuk unit traffic granular dengan
HTTP_HEADER_HOSTHOSTdanHTTP_PATHPATH. Gunakan perintah ini untuk setiap unit traffic terperinci yang ingin Anda sesuaikan, dengan mengganti variabel sesuai kebutuhan untuk setiap host dan jalur URL:gcloud compute security-policies add-layer7-ddos-defense-threshold-config
POLICY_NAME
--threshold-config-name=my-host-config
--auto-deploy-impacted-baseline-threshold=0.01
--auto-deploy-expiration-sec=3600
--traffic-granularity-configs=type=HTTP_HEADER_HOST;value=HOST,type=HTTP_PATH;value=PATH
Mendeteksi saat volume serangan melebihi QPS rata-rata dasar pengukuran
Dalam contoh berikut, Anda mengonfigurasi Adaptive Protection untuk mendeteksi serangan hanya jika volume serangan melebihi QPS rata-rata dasar pengukuran Anda lebih dari 50%, dan hanya jika beban layanan backend lebih dari 90% dari kapasitas.
gcloud
- Buat kebijakan keamanan dengan nama
POLICY_NAME, atau gunakan kebijakan keamanan yang ada. Jika Perlindungan Adaptif belum diaktifkan, gunakan perintah berikut untuk mengaktifkan Perlindungan Adaptif untuk kebijakan Anda:
gcloud compute security-policies update POLICY_NAME \ --enable-layer7-ddos-defense
Terapkan kebijakan keamanan ke layanan backend.
Gunakan perintah berikut untuk mengonfigurasi Adaptive Protection dengan nilai minimum deteksi yang disesuaikan:
gcloud compute security-policies add-layer7-ddos-defense-threshold-config POLICY_NAME \ --threshold-config-name=my-customized-thresholds \ --detection-load-threshold=0.9 \ --detection-relative-to-baseline-qps=1.5
Langkah selanjutnya
- Ringkasan Perlindungan Adaptif Google Cloud Armor
- Kasus penggunaan Google Cloud Armor Adaptive Protection