Diese Seite enthält Informationen zum Konfigurieren von Adaptive Protection. Machen Sie sich vor dem Konfigurieren von Adaptive Protection mit den Informationen unter Adaptive Protection – Übersicht und mit den Anwendungsfällen für Adaptive Protection vertraut.
Hinweise
In den folgenden Abschnitten werden alle IAM-Rollen und -Berechtigungen (Identity and Access Management) beschrieben, die zum Konfigurieren von Google Cloud Armor-Sicherheitsrichtlinien erforderlich sind. Für die Anwendungsfälle in diesem Dokument benötigen Sie nur die Berechtigung compute.securityPolicies.update
.
IAM-Berechtigungen für Google Cloud Armor-Sicherheitsrichtlinien einrichten
Für die folgenden Vorgänge ist die Rolle Compute Security Admin (roles/compute.securityAdmin
) für Identity and Access Management (IAM) erforderlich:
- Google Cloud Armor-Sicherheitsrichtlinie konfigurieren, ändern, aktualisieren und löschen
- Mit den folgenden API-Methoden:
SecurityPolicies insert
SecurityPolicies delete
SecurityPolicies patch
SecurityPolicies addRule
SecurityPolicies patchRule
SecurityPolicies removeRule
Ein Nutzer mit der Rolle „Compute Network Admin“ (roles/compute.networkAdmin
) kann die folgenden Vorgänge ausführen:
- Google Cloud Armor-Sicherheitsrichtlinie für einen Back-End-Dienst festlegen
- Mit den folgenden API-Methoden:
BackendServices setSecurityPolicy
BackendServices list
(nurgcloud
)
Nutzer mit der Rolle „Sicherheitsadministrator“ (roles/iam.securityAdmin
) und der Rolle „Compute-Netzwerkadministrator“ können Google Cloud Armor-Sicherheitsrichtlinien mit den SecurityPolicies
API-Methoden get
, list
und getRule
ansehen.
IAM-Berechtigungen für benutzerdefinierte Rollen einrichten
In der folgenden Tabelle sind die grundlegenden Berechtigungen der IAM-Rollen und die zugehörigen API-Methoden aufgeführt.
IAM-Berechtigung | API-Methoden |
---|---|
compute.securityPolicies.create |
SecurityPolicies insert |
compute.securityPolicies.delete |
SecurityPolicies delete |
compute.securityPolicies.get |
SecurityPolicies get SecurityPolicies getRule |
compute.securityPolicies.list |
SecurityPolicies list |
compute.securityPolicies.use |
BackendServices setSecurityPolicy |
compute.securityPolicies.update |
SecurityPolicies patch SecurityPolicies addRule SecurityPolicies patchRule SecurityPolicies removeRule |
compute.backendServices.setSecurityPolicy |
BackendServices setSecurityPolicy |
Adaptiven Schutz aktivieren
Führen Sie die folgenden Schritte aus, um Adaptive Protection für Ihre Sicherheitsrichtlinie zu aktivieren. Adaptive Protection wird auf jede Sicherheitsrichtlinie einzeln angewendet.
Console
So aktivieren Sie Adaptive Protection für eine Sicherheitsrichtlinie:
Rufen Sie in der Google Cloud Console die Seite Netzwerksicherheit auf.
Klicken Sie auf der Seite Richtlinien auf den Namen einer Sicherheitsrichtlinie.
Klicken Sie auf Bearbeiten.
Wählen Sie unter Adaptive Protection die Option Aktivieren aus.
Klicken Sie auf Aktualisieren.
So deaktivieren Sie Adaptive Protection für eine Sicherheitsrichtlinie:
Rufen Sie in der Google Cloud Console die Seite Netzwerksicherheit auf.
Klicken Sie auf der Seite Richtlinien auf den Namen einer Sicherheitsrichtlinie.
Klicken Sie auf Bearbeiten.
Entfernen Sie unter Adaptiver Schutz das Häkchen bei Aktivieren.
Klicken Sie auf Aktualisieren.
gcloud
So aktivieren Sie Adaptive Protection für eine Sicherheitsrichtlinie:
gcloud compute security-policies update MY-SECURITY-POLICY \ --enable-layer7-ddos-defense
So deaktivieren Sie Adaptive Protection für eine Sicherheitsrichtlinie:
gcloud compute security-policies update MY-SECURITY-POLICY \ --no-enable-layer7-ddos-defense
Detaillierte Modelle konfigurieren
Mit dem Feature für detaillierte Modelle können Sie bestimmte Hosts oder Pfade als detaillierte Einheiten konfigurieren, die von Adaptive Protection analysiert werden. In den folgenden Beispielen erstellen Sie detaillierte Trafficeinheiten für jeden Host, passen eine detaillierte Trafficeinheit an und konfigurieren Adaptive Protection so, dass Maßnahmen ergriffen werden, wenn der Traffic Ihre Basisabfragen pro Sekunde überschreitet. Weitere Informationen zu detaillierten Modellen finden Sie in der Übersicht zu Adaptive Protection.
Detaillierte Trafficeinheiten konfigurieren
In den Beispielen in diesem Abschnitt wird der Befehl add-layer7-ddos-defense-threshold-config
mit einigen oder allen der folgenden Flags verwendet:
Flag | Beschreibung |
---|---|
--threshold-config-name |
Der Name der Schwellenwertkonfiguration. |
--traffic-granularity-configs |
Konfigurationsoptionen zum Aktivieren von Adaptive Protection mit dem angegebenen Detaillierungsgrad des Dienstes. |
--auto-deploy-impacted-baseline-threshold |
Grenzwert für die geschätzten Auswirkungen von Adaptive Protection auf den Basistraffic der vorgeschlagenen Regel zur Risikominderung auf einen erkannten Angriff. Automatische Schutzmaßnahmen werden nur angewendet, wenn der Grenzwert nicht überschritten wird. |
--auto-deploy-expiration-sec |
Die Dauer der Aktionen, sofern vorhanden, die von der automatischen Bereitstellung ausgeführt werden. |
--detection-load-threshold |
Erkennungsgrenzwert basierend auf der Auslastung des Back-End-Dienstes. |
--detection-absolute-qps |
Erkennungsgrenzwert basierend auf absoluten Abfragen pro Sekunde. |
--detection-relative-to-baseline-qps |
Erkennungsgrenzwert basierend auf den Abfragen pro Sekunde bezogen auf den Durchschnittswert des Baseline-Traffics. |
Im ersten Beispiel konfigurieren Sie Adaptive Protection so, dass Angriffe erkannt und für jeden Host hinter Ihrem Back-End-Dienst unabhängige Maßnahmen vorgeschlagen werden, ohne dass Standardgrenzwerte überschrieben werden.
gcloud
- Erstellen Sie eine Sicherheitsrichtlinie mit dem Namen
POLICY_NAME
oder verwenden Sie eine vorhandene Sicherheitsrichtlinie. - Wenn Adaptive Protection noch nicht aktiviert ist, verwenden Sie den folgenden Befehl, um Adaptive Protection für Ihre Richtlinie zu aktivieren:
gcloud compute security-policies update POLICY_NAME
--enable-layer7-ddos-defense - Wenden Sie die Sicherheitsrichtlinie auf einen Back-End-Dienst mit mehreren Hosts an.
- Verwenden Sie den folgenden
add-layer7-ddos-defense-threshold-config
-Befehl mit dem Flag--traffic-granularity-configs
, um eine detaillierte Trafficeinheit zu konfigurieren:gcloud compute security-policies add-layer7-ddos-defense-threshold-config POLICY_NAME
--threshold-config-name=per-host-config
--traffic-granularity-configs=type=HTTP_HEADER_HOST;enableEachUniqueValue=true
Im zweiten Beispiel konfigurieren Sie verschiedene Schwellenwerte für die automatische Bereitstellung und Erkennung für einige oder alle der detaillierten Traffic-Einheiten, die Sie im ersten Beispiel konfiguriert haben.
gcloud
- Wenn die automatische Bereitstellung von Adaptive Protection noch nicht aktiviert ist, erstellen Sie eine Platzhalterregel.
- Mit dem folgenden Befehl wird der Grenzwert für die automatische Bereitstellung für eine detaillierte Trafficeinheit mit einem
HTTP_HEADER_HOST
vonHOST
und einemHTTP_PATH
vonPATH
angepasst. Verwenden Sie diesen Befehl für jede detaillierte Trafficeinheit, die Sie anpassen möchten. Ersetzen Sie dabei die Variablen nach Bedarf für jeden Host und URL-Pfad:gcloud compute security-policies add-layer7-ddos-defense-threshold-config
POLICY_NAME
--threshold-config-name=my-host-config
--auto-deploy-impacted-baseline-threshold=0.01
--auto-deploy-expiration-sec=3600
--traffic-granularity-configs=type=HTTP_HEADER_HOST;value=HOST
,type=HTTP_PATH;value=PATH
Erkennen, wenn das Angriffsvolumen die durchschnittliche durchschnittliche Anzahl von Abfragen pro Sekunde überschreitet
Im folgenden Beispiel konfigurieren Sie Adaptive Protection so, dass Angriffe nur dann erkannt werden, wenn das Angriffsvolumen die durchschnittliche Anzahl von Abfragen pro Sekunde um mehr als 50 % überschreitet und nur dann, wenn die Last des Back-End-Dienstes mehr als 90% seiner Kapazität ausmacht.
gcloud
- Erstellen Sie eine Sicherheitsrichtlinie mit dem Namen
POLICY_NAME
oder verwenden Sie eine vorhandene Sicherheitsrichtlinie. Wenn Adaptive Protection noch nicht aktiviert ist, verwenden Sie den folgenden Befehl, um Adaptive Protection für Ihre Richtlinie zu aktivieren:
gcloud compute security-policies update POLICY_NAME \ --enable-layer7-ddos-defense
Wenden Sie die Sicherheitsrichtlinie auf einen Back-End-Dienst an.
Verwenden Sie den folgenden Befehl, um Adaptive Protection mit benutzerdefinierten Erkennungsgrenzwerten zu konfigurieren:
gcloud compute security-policies add-layer7-ddos-defense-threshold-config POLICY_NAME \ --threshold-config-name=my-customized-thresholds \ --detection-load-threshold=0.9 \ --detection-relative-to-baseline-qps=1.5