Diese Seite enthält Informationen zum Konfigurieren von Adaptive Protection. Vorher sollten Sie sich mit den Funktionen vertraut machen, Informationen in den Adaptive Protection – Übersicht und mit der Anwendungsfälle für Adaptive Protection.
Hinweise
In den folgenden Abschnitten werden alle IAM-Rollen (Identity and Access Management) und
Berechtigungen, die zum Konfigurieren von Google Cloud Armor-Sicherheitsrichtlinien erforderlich sind. Für
die Anwendungsfälle in diesem Dokument entsprechen, benötigen Sie nur die
Berechtigung „compute.securityPolicies.update
“.
IAM-Berechtigungen für Google Cloud Armor-Sicherheitsrichtlinien einrichten
Für die folgenden Vorgänge ist die Identitäts- und Zugriffsverwaltung (Identity and Access Management, IAM) erforderlich
Rolle „Compute-Sicherheitsadministrator“ (roles/compute.securityAdmin
):
- Google Cloud Armor konfigurieren, ändern, aktualisieren und löschen Sicherheitsrichtlinie
- Mithilfe der folgenden API-Methoden:
<ph type="x-smartling-placeholder">
- </ph>
SecurityPolicies insert
SecurityPolicies delete
SecurityPolicies patch
SecurityPolicies addRule
SecurityPolicies patchRule
SecurityPolicies removeRule
Einen Nutzer mit der Rolle „Compute-Netzwerkadministrator“ (roles/compute.networkAdmin
)
kann folgende Vorgänge ausführen:
- Google Cloud Armor-Sicherheitsrichtlinie für einen Back-End-Dienst festlegen
- Mithilfe der folgenden API-Methoden:
<ph type="x-smartling-placeholder">
- </ph>
BackendServices setSecurityPolicy
BackendServices list
(nurgcloud
)
Nutzer mit der Rolle „Sicherheitsadministrator“ (roles/iam.securityAdmin
)
und die Rolle „Compute Network Admin“ kann die Google Cloud Armor-Sicherheit ansehen
mithilfe der SecurityPolicies
API-Methoden get
, list
und
getRule
.
IAM-Berechtigungen für benutzerdefinierte Rollen einrichten
In der folgenden Tabelle sind die grundlegenden Berechtigungen der IAM-Rollen und die zugehörigen API-Methoden aufgeführt.
IAM-Berechtigung | API-Methoden |
---|---|
compute.securityPolicies.create |
SecurityPolicies insert |
compute.securityPolicies.delete |
SecurityPolicies delete |
compute.securityPolicies.get |
SecurityPolicies get SecurityPolicies getRule |
compute.securityPolicies.list |
SecurityPolicies list |
compute.securityPolicies.use |
BackendServices setSecurityPolicy |
compute.securityPolicies.update |
SecurityPolicies patch SecurityPolicies addRule SecurityPolicies patchRule SecurityPolicies removeRule |
compute.backendServices.setSecurityPolicy |
BackendServices setSecurityPolicy |
Adaptiven Schutz aktivieren
So aktivieren Sie Adaptive Protection für Ihre Sicherheit . Adaptive Protection wird auf jede Sicherheitsrichtlinie einzeln angewendet.
Console
So aktivieren Sie Adaptive Protection für eine Sicherheitsrichtlinie:
Rufen Sie in der Google Cloud Console die Seite Netzwerksicherheit auf.
Klicken Sie auf der Seite Richtlinien auf den Namen einer Sicherheitsrichtlinie.
Klicken Sie auf Bearbeiten.
Wählen Sie unter Adaptive Protection die Option Aktivieren aus.
Klicken Sie auf Aktualisieren.
So deaktivieren Sie Adaptive Protection für eine Sicherheitsrichtlinie:
Rufen Sie in der Google Cloud Console die Seite Netzwerksicherheit auf.
Klicken Sie auf der Seite Richtlinien auf den Namen einer Sicherheitsrichtlinie.
Klicken Sie auf Bearbeiten.
Entfernen Sie unter Adaptiver Schutz das Häkchen bei Aktivieren.
Klicken Sie auf Aktualisieren.
gcloud
So aktivieren Sie Adaptive Protection für eine Sicherheitsrichtlinie:
gcloud compute security-policies update MY-SECURITY-POLICY \ --enable-layer7-ddos-defense
So deaktivieren Sie Adaptive Protection für eine Sicherheitsrichtlinie:
gcloud compute security-policies update MY-SECURITY-POLICY \ --no-enable-layer7-ddos-defense
Detaillierte Modelle konfigurieren
Mit der Funktion für detaillierte Modelle können Sie bestimmte Hosts oder Pfade als die von Adaptive Protection analysiert werden. In den folgenden Beispielen Sie erstellen detaillierte Traffic-Einheiten für jeden Host und passen detaillierte Traffic-Einheiten an. und konfigurieren Sie Adaptive Protection so, dass Maßnahmen ergriffen werden, wenn der Datenverkehr über die Basisabfragen pro Sekunde zu vergleichen. Weitere Informationen zu detaillierten Modelle finden Sie in der Adaptive Protection – Übersicht
Detaillierte Traffic-Einheiten konfigurieren
In den Beispielen in diesem Abschnitt wird die Methode
add-layer7-ddos-defense-threshold-config
mit einigen oder allen der folgenden Flags ausführen:
Flag | Beschreibung |
---|---|
--threshold-config-name |
Der Name der Schwellenwertkonfiguration. |
--traffic-granularity-configs |
Konfigurationsoptionen zum Aktivieren von Adaptive Protection den angegebenen Detaillierungsgrad des Dienstes. |
--auto-deploy-impacted-baseline-threshold |
Grenzwert für die geschätzten Auswirkungen von Adaptive Protection auf die Basistraffic der vorgeschlagenen Risikominderungsregel zu einem erkannten Angriff. Der automatische Schutz wird nur angewendet, wenn der Grenzwert nicht überschritten wird. |
--auto-deploy-expiration-sec |
Die Dauer von Aktionen (falls vorhanden), die bei der automatischen Bereitstellung vorgenommen werden. |
--detection-load-threshold |
Erkennungsgrenzwert, der auf der Last des Back-End-Dienstes basiert. |
--detection-absolute-qps |
Erkennungsgrenzwert basierend auf absoluten Abfragen pro Sekunde. |
--detection-relative-to-baseline-qps |
Erkennungsgrenzwert basierend auf den Abfragen pro Sekunde im Verhältnis zum Durchschnitt der Referenz Zugriffe. |
Im ersten Beispiel konfigurieren Sie Adaptive Protection so, dass Angriffe auf und schlagen unabhängige Maßnahmen für jeden Host hinter Ihrem Back-End-Dienst vor. ohne Standardgrenzwerte zu überschreiben.
gcloud
- Erstellen Sie eine Sicherheitsrichtlinie mit dem Namen
POLICY_NAME
. oder eine vorhandene Sicherheitsrichtlinie verwenden. - Wenn Adaptive Protection noch nicht aktiviert ist, verwenden Sie den folgenden Befehl
So aktivieren Sie Adaptive Protection für Ihre Richtlinie:
gcloud compute security-policies update POLICY_NAME
--enable-layer7-ddos-defense - Wenden Sie die Sicherheitsrichtlinie auf einen Back-End-Dienst mit mehreren Hosts an.
- Verwenden Sie den folgenden
add-layer7-ddos-defense-threshold-config
-Befehl mit Das Flag--traffic-granularity-configs
zum Konfigurieren eines detaillierten Traffics Einheit:gcloud compute security-policies add-layer7-ddos-defense-threshold-config POLICY_NAME
--threshold-config-name=per-host-config
--traffic-granularity-configs=type=HTTP_HEADER_HOST;enableEachUniqueValue=true
Im zweiten Beispiel konfigurieren Sie verschiedene automatische Bereitstellungs- und für einige oder alle der detaillierten Traffic-Einheiten, die Sie in im ersten Beispiel.
gcloud
- Wenn die automatische Bereitstellung von Adaptive Protection noch nicht aktiviert ist, Platzhalterregel erstellen.
- Mit dem folgenden Befehl können Sie den
Schwellenwert für die automatische Bereitstellung
Traffic-Einheit mit einem
HTTP_HEADER_HOST
vonHOST
undHTTP_PATH
vonPATH
. Verwenden Sie diesen Befehl für jede detaillierte Traffic-Einheit, die Sie anpassen möchten. Variablen nach Bedarf für jeden Host und URL-Pfad hinzufügen:gcloud compute security-policies add-layer7-ddos-defense-threshold-config
POLICY_NAME
--threshold-config-name=my-host-config
--auto-deploy-impacted-baseline-threshold=0.01
--auto-deploy-expiration-sec=3600
--traffic-granularity-configs=type=HTTP_HEADER_HOST;value=HOST
,type=HTTP_PATH;value=PATH
Erkennen, wenn das Angriffsvolumen den durchschnittlichen Basiswert der Abfragen pro Sekunde überschreitet
Im folgenden Beispiel konfigurieren Sie Adaptive Protection so, dass ein Angriff nur, wenn das Angriffsvolumen die durchschnittliche Anzahl von Abfragen pro Sekunde um mehr als Ihre Baseline übersteigt als 50 % und nur dann, wenn die Auslastung des Back-End-Dienstes mehr als 90% seiner Kapazität.
gcloud
- Erstellen Sie eine Sicherheitsrichtlinie mit dem Namen
POLICY_NAME
. oder eine vorhandene Sicherheitsrichtlinie verwenden. Wenn Adaptive Protection noch nicht aktiviert ist, verwenden Sie Folgendes: Befehl, um Adaptive Protection für Ihre Richtlinie zu aktivieren:
gcloud compute security-policies update POLICY_NAME \ --enable-layer7-ddos-defense
Wenden Sie die Sicherheitsrichtlinie auf einen Back-End-Dienst an.
Verwenden Sie den folgenden Befehl, um Adaptive Protection mit benutzerdefinierte Erkennungsschwellenwerte:
gcloud compute security-policies add-layer7-ddos-defense-threshold-config POLICY_NAME \ --threshold-config-name=my-customized-thresholds \ --detection-load-threshold=0.9 \ --detection-relative-to-baseline-qps=1.5
Nächste Schritte
- Google Cloud Armor Adaptive Protection – Übersicht
- Anwendungsfälle für Google Cloud Armor Adaptive Protection