Configura la protección adaptable de Google Cloud Armor

Esta página contiene información para configurar la protección adaptable. Antes cuando configures la protección adaptable, asegúrate de estar familiarizado información en la Descripción general de la protección adaptable y con el Casos de uso de Protección adaptable.

Antes de comenzar

En las siguientes secciones, se explican todos los roles de Identity and Access Management (IAM) y los permisos necesarios para configurar las políticas de seguridad de Google Cloud Armor. Para de los casos de uso de este documento, solo necesitas compute.securityPolicies.update.

Configura los permisos de IAM para las políticas de seguridad de Google Cloud Armor

Las siguientes operaciones requieren Identity and Access Management (IAM) Rol de administrador de seguridad de Compute (roles/compute.securityAdmin):

  • Configura, modifica, actualiza y borra Google Cloud Armor política de seguridad
  • Con los siguientes métodos de API:
    • SecurityPolicies insert
    • SecurityPolicies delete
    • SecurityPolicies patch
    • SecurityPolicies addRule
    • SecurityPolicies patchRule
    • SecurityPolicies removeRule

Un usuario con el rol Administrador de red de Compute (roles/compute.networkAdmin) puede realizar las siguientes operaciones:

  • Establecer una política de seguridad de Google Cloud Armor para un servicio de backend
  • Con los siguientes métodos de API:
    • BackendServices setSecurityPolicy
    • BackendServices list (solo gcloud)

Usuarios con el rol de administrador de seguridad (roles/iam.securityAdmin) y el rol Administrador de red de Compute pueden visualizar la seguridad de Google Cloud Armor políticas mediante los métodos de la API de SecurityPolicies, get, list y getRule.

Configura permisos de IAM para funciones personalizadas

En la siguiente tabla, se enumeran los permisos básicos de las funciones de IAM y sus métodos de API asociados.

Permiso de IAM Métodos de la API
compute.securityPolicies.create SecurityPolicies insert
compute.securityPolicies.delete SecurityPolicies delete
compute.securityPolicies.get SecurityPolicies get
SecurityPolicies getRule
compute.securityPolicies.list SecurityPolicies list
compute.securityPolicies.use BackendServices setSecurityPolicy
compute.securityPolicies.update SecurityPolicies patch
SecurityPolicies addRule
SecurityPolicies patchRule
SecurityPolicies removeRule
compute.backendServices.setSecurityPolicy BackendServices setSecurityPolicy

Habilitar la protección adaptable

Sigue estos pasos para habilitar la protección adaptable y mejorar tu seguridad . La protección adaptable se aplica a cada política de seguridad de forma individual.

Console

A fin de activar la protección adaptable en una política de seguridad, haz lo siguiente:

  1. En la consola de Google Cloud, ve a la página Seguridad de red.

    Ir a Seguridad de red

  2. En la página Políticas, haz clic en el nombre de una política de seguridad.

  3. Haz clic en Edit.

  4. En Protección adaptable, selecciona Habilitar.

  5. Haz clic en Actualizar.

Para desactivar la protección adaptable en una política de seguridad, haz lo siguiente:

  1. En la consola de Google Cloud, ve a la página Seguridad de red.

    Ir a Seguridad de red

  2. En la página Políticas, haz clic en el nombre de una política de seguridad.

  3. Haz clic en Edit.

  4. En Protección adaptable, desmarca Habilitar.

  5. Haz clic en Actualizar.

gcloud

A fin de activar la protección adaptable en una política de seguridad, haz lo siguiente:

gcloud compute security-policies update MY-SECURITY-POLICY \
    --enable-layer7-ddos-defense

Para desactivar la protección adaptable en una política de seguridad, haz lo siguiente:

gcloud compute security-policies update MY-SECURITY-POLICY \
    --no-enable-layer7-ddos-defense

Configura modelos detallados

La función de modelos detallados te permite configurar hosts o rutas de acceso específicos como el las unidades detalladas que analiza la Protección adaptable. En los siguientes ejemplos, a crear unidades de tráfico detalladas para cada host, personalizar un tráfico detallado unidad y configurar la protección adaptable para que tome medidas cuando el tráfico supere las consultas por segundo (QPS) de referencia. Para obtener más información modelos de AA, consulta la Descripción general de la protección adaptable.

Configura unidades de tráfico detalladas

En los ejemplos de esta sección, se usan add-layer7-ddos-defense-threshold-config con algunas o todas las marcas siguientes:

Flag Descripción
--threshold-config-name El nombre de la configuración del umbral.
--traffic-granularity-configs Opciones de configuración para habilitar la protección adaptable el nivel de detalle del servicio especificado.
--auto-deploy-impacted-baseline-threshold Umbral del impacto estimado de la protección adaptable en la el tráfico de referencia de la regla de mitigación sugerida a un ataque detectado. Las defensas automáticas se aplican solo si no se excede el umbral.
--auto-deploy-expiration-sec La duración de las acciones, si las hubiera, que realiza la implementación automática.
--detection-load-threshold Umbral de detección basado en la carga del servicio de backend.
--detection-absolute-qps Umbral de detección basado en QPS absolutas.
--detection-relative-to-baseline-qps Umbral de detección basado en QPS en relación con el promedio del modelo de referencia tráfico.

En el primer ejemplo, configuraste la protección adaptable para detectar ataques en y sugerir mitigaciones independientes para cada host detrás del servicio de backend sin anular ningún umbral predeterminado.

gcloud

  1. Crea una política de seguridad con el nombre POLICY_NAME. o usar una política de seguridad existente.
  2. Si la Protección adaptable no está habilitada, usa el siguiente comando: Si quieres habilitar la Protección adaptable para tu política, sigue estos pasos: 
    gcloud compute security-policies update POLICY_NAME 
    
--enable-layer7-ddos-defense
  3. Aplica la política de seguridad a un servicio de backend con varios hosts.
  4. Usa el siguiente comando add-layer7-ddos-defense-threshold-config con la marca --traffic-granularity-configs para configurar un tráfico detallado unidad: 
    gcloud compute security-policies add-layer7-ddos-defense-threshold-config POLICY_NAME 
    
--threshold-config-name=per-host-config 
    
--traffic-granularity-configs=type=HTTP_HEADER_HOST;enableEachUniqueValue=true

En el segundo ejemplo, configurarás la implementación automática y la detección para algunas o todas las unidades de tráfico detalladas que configuraste en el primer ejemplo.

gcloud

  1. Si la implementación automática de la protección adaptable no está habilitada, Crea una regla de marcador de posición.
  2. El siguiente comando personaliza el umbral de implementación automática para un nivel unidad de tráfico con un HTTP_HEADER_HOST de HOST y un HTTP_PATH de PATH. Usa este comando para cada unidad de tráfico detallado que deseas personalizar y reemplaza el variables según sea necesario para cada host y ruta de URL: 
    gcloud compute security-policies add-layer7-ddos-defense-threshold-config POLICY_NAME 
    
--threshold-config-name=my-host-config 
    
--auto-deploy-impacted-baseline-threshold=0.01 
    
--auto-deploy-expiration-sec=3600 
    
--traffic-granularity-configs=type=HTTP_HEADER_HOST;value=HOST,type=HTTP_PATH;value=PATH

Detecta cuándo el volumen de ataque supera las QPS promedio del modelo de referencia

En el siguiente ejemplo, configurarás la protección adaptable para detectar un ataque solo cuando el volumen de ataque excede el promedio de QPS en un porcentaje superior al 50%, y solo cuando la carga del servicio de backend supera el 90% de su la capacidad de procesamiento.

gcloud

  1. Crea una política de seguridad con el nombre POLICY_NAME. o usar una política de seguridad existente.

  2. Si la Protección adaptable no está habilitada, usa lo siguiente: para habilitar la Protección adaptable en tu política:

    gcloud compute security-policies update POLICY_NAME \
  --enable-layer7-ddos-defense

  3. Aplica la política de seguridad a un servicio de backend.

  4. Usa el siguiente comando para configurar la protección adaptable con umbrales de detección personalizados:

    gcloud compute security-policies add-layer7-ddos-defense-threshold-config POLICY_NAME \
   --threshold-config-name=my-customized-thresholds \
   --detection-load-threshold=0.9 \
   --detection-relative-to-baseline-qps=1.5

¿Qué sigue?