Configura la limitazione di frequenza

Questa pagina contiene informazioni su come configurare le regole di Google Cloud Armor per applicare i limiti di frequenza per client configurando un'azione di limitazione o di esclusione basata sulla frequenza. Prima di configurare la limitazione di frequenza, assicurati di acquisire familiarità con le informazioni contenute nella panoramica della limitazione di frequenza.

Prima di iniziare

Le sezioni seguenti illustrano tutti i ruoli e le autorizzazioni di Identity and Access Management (IAM) necessari per configurare i criteri di sicurezza di Google Cloud Armor. Per i casi d'uso in questo documento, è necessaria solo l'autorizzazione compute.securityPolicies.create.

Configura le autorizzazioni IAM per i criteri di sicurezza di Google Cloud Armor

Le seguenti operazioni richiedono il ruolo Amministratore sicurezza Compute (roles/compute.securityAdmin) di Identity and Access Management (IAM):

Configurazione, modifica, aggiornamento ed eliminazione di un criterio di sicurezza di Google Cloud Armor
Utilizzare i seguenti metodi dell'API:
- SecurityPolicies insert
- SecurityPolicies delete
- SecurityPolicies patch
- SecurityPolicies addRule
- SecurityPolicies patchRule
- SecurityPolicies removeRule

Un utente con il ruolo Amministratore rete Compute (roles/compute.networkAdmin) può eseguire le seguenti operazioni:

Impostazione di un criterio di sicurezza di Google Cloud Armor per un servizio di backend
Utilizzare i seguenti metodi dell'API:
- BackendServices setSecurityPolicy
- BackendServices list (solo gcloud)

Gli utenti con il ruolo Amministratore sicurezza (roles/iam.securityAdmin) e il ruolo Amministratore rete Compute possono visualizzare i criteri di sicurezza di Google Cloud Armor utilizzando i metodi dell'API SecurityPolicies get, list e getRule.

Configurazione delle autorizzazioni IAM per i ruoli personalizzati

La seguente tabella elenca le autorizzazioni di base dei ruoli IAM e i relativi metodi API associati.

Autorizzazioni IAM	Metodi dell'API
`compute.securityPolicies.create`	`SecurityPolicies insert`
`compute.securityPolicies.delete`	`SecurityPolicies delete`
`compute.securityPolicies.get`	`SecurityPolicies get` `SecurityPolicies getRule`
`compute.securityPolicies.list`	`SecurityPolicies list`
`compute.securityPolicies.use`	`BackendServices setSecurityPolicy`
`compute.securityPolicies.update`	`SecurityPolicies patch` `SecurityPolicies addRule` `SecurityPolicies patchRule` `SecurityPolicies removeRule`
`compute.backendServices.setSecurityPolicy`	`BackendServices setSecurityPolicy`

Regole per la limitazione basata sulla frequenza

Le regole per la limitazione basata sulla frequenza hanno il formato seguente in Google Cloud CLI:

gcloud compute security-policies rules create PRIORITY \
    --security-policy=SECURITY_POLICY \
    {--expression=EXPRESSION | --src-ip-ranges=SRC_IP_RANGE} \
    --action "throttle" \
    --rate-limit-threshold-count=RATE_LIMIT_THRESHOLD_COUNT \
    --rate-limit-threshold-interval-sec=RATE_LIMIT_THRESHOLD_INTERVAL_SEC \
    --conform-action=[allow] \
    --exceed-action=[deny-403|deny-404|deny-429|deny-502|redirect] \
    --exceed-redirect-type=[google-recaptcha|external-302] \
    --exceed-redirect-target=REDIRECT_URL \
    --enforce-on-key=[IP | ALL | HTTP-HEADER | XFF-IP | HTTP-COOKIE | HTTP-PATH | SNI | REGION-CODE] \
    --enforce-on-key-name=[HTTP_HEADER_NAME|HTTP_COOKIE_NAME]

Limitazione di frequenza su chiavi singole

Ad esempio, il seguente comando gcloud CLI crea una regola throttle con priorità 105 con un limite di frequenza di 100 richieste ogni 60 secondi per ogni indirizzo IP in 1.2.3.0/24. Le richieste che superano il limite di limitazione restituiscono un codice di errore 429.

gcloud compute security-policies rules create 105 \
    --security-policy SECURITY_POLICY \
    --src-ip-ranges="1.2.3.0/24" \
    --action=throttle \
    --rate-limit-threshold-count=100 \
    --rate-limit-threshold-interval-sec=60 \
    --conform-action=allow \
    --exceed-action=deny-429 \
    --enforce-on-key=IP

Ad esempio, il seguente comando gcloud CLI crea una regola throttle con priorità 110 con un limite di frequenza di 10 richieste ogni 60 secondi per ogni valore univoco dell'intestazione HTTP User-Agent in tutte le richieste provenienti dagli indirizzi IP in 1.2.3.0/24. Le richieste che superano il limite di limitazione restituiscono un codice di errore 429.

gcloud compute security-policies rules create 110 \
    --security-policy SECURITY_POLICY \
    --src-ip-ranges="1.2.3.0/24" \
    --action=throttle \
    --rate-limit-threshold-count=10 \
    --rate-limit-threshold-interval-sec=60 \
    --conform-action=allow \
    --exceed-action=deny-429 \
    --enforce-on-key=HTTP-HEADER \
    --enforce-on-key-name='User-Agent'

Infine, puoi emettere esclusioni basate sulla tariffa per gli utenti che dispongono di un cookie di esenzione reCAPTCHA valido. Ad esempio, il seguente comando gcloud CLI crea una regola throttle a priorità 115 con un limite di frequenza di 20 richieste ogni 5 minuti per ogni cookie di esenzione reCAPTCHA univoco per tutte le richieste con un cookie di esenzione reCAPTCHA valido. Le richieste che superano il limite di limitazione vengono reindirizzate per la valutazione di reCAPTCHA Enterprise. Per ulteriori informazioni sui cookie di esenzione e sulla valutazione di reCAPTCHA Enterprise, consulta la panoramica sulla gestione dei bot.

gcloud compute security-policies rules create 115 \
    --security-policy SECURITY_POLICY \
    --expression="token.recaptcha_exemption.valid" \
    --action=throttle \
    --rate-limit-threshold-count=20 \
    --rate-limit-threshold-interval-sec=300 \
    --conform-action=allow \
    --exceed-action=redirect \
    --exceed-redirect-type=google-recaptcha \
    --enforce-on-key=HTTP-COOKIE \
    --enforce-on-key-name="recaptcha-ca-e"

Limitazione di frequenza basata sulle impronte JA3

Puoi utilizzare le impronte JA3 come chiave di limitazione di frequenza. L'esempio seguente crea una regola throttle con priorità 1000 con un limite di frequenza di 20 richieste ogni 5 minuti che corrisponde alle richieste con il percorso /login, in base all'impronta JA3 del client. Le richieste che superano il limite di limitazione vengono rifiutate.

gcloud compute security-policies rules create 1000 \
    --security-policy SECURITY_POLICY \
    --expression "request.path.matches('/login')" \
    --action throttle \
    --rate-limit-threshold-count 20 \
    --rate-limit-threshold-interval-sec 300 \
    --conform-action allow \
    --exceed-action deny-429 \
    --enforce-on-key-configs tls-ja3-fingerprint

Limitazione di frequenza basata sull'indirizzo IP dell'utente

Quando ricevi richieste che provengono da un proxy upstream, puoi applicare una limitazione di frequenza in base all'indirizzo IP del client di origine. L'esempio seguente crea una regola throttle con priorità 1000 con un limite di frequenza di 20 richieste ogni 5 minuti che corrisponde alle richieste con il percorso /login, in base all'indirizzo IP del client di origine. Le richieste che superano il limite vengono rifiutate.

gcloud compute security-policies rules create 1000 \
    --security-policy SECURITY_POLICY
    --expression "request.path.matches('/login')"
    --action throttle
    --rate-limit-threshold-count 20
    --rate-limit-threshold-interval-sec 300
    --conform-action allow
    --exceed-action deny-429
    --enforce-on-key-configs user-ip

Per ulteriori informazioni sul supporto degli indirizzi IP degli utenti, consulta la documentazione di riferimento sul linguaggio delle regole.

Limitazione di frequenza basata su più chiavi

Puoi anche limitare il traffico in base a più chiavi di limitazione di frequenza utilizzando il flag enforce-on-key-configs. Questo flag sostituisce sia il flag enforce-on-key sia il flag enforce-on-key-name. Il flag enforce-on-key-configs richiede un elenco separato da virgole di coppie KEY=NAME; tuttavia, non è necessario specificare un nome per alcune chiavi.

L'esempio seguente crea una regola throttle per il criterio POLICY_NAME con priorità 105 con un limite di frequenza di 100 richieste ogni 60 secondi per ogni combinazione di HTTP-PATH e site_id in tutte le richieste provenienti da indirizzi IP in 1.2.3.0/24. Le richieste che superano il limite restituiscono un codice di errore 429.

gcloud compute security-policies rules create 105 \
    --security-policy=POLICY_NAME \
    --src-ip-ranges="1.2.3.0/24" \
    --action=throttle \
    --rate-limit-threshold-count=100 \
    --rate-limit-threshold-interval-sec=60 \
    --conform-action=allow \
    --exceed-action=deny-429 \
    --enforce-on-key-configs="HTTP-PATH,HTTP-COOKIE=site_id"

Regole per le esclusioni basate sulle tariffe

Le regole per le esclusioni basate sulla frequenza hanno il seguente formato nellgcloud CLI:

gcloud compute security-policies rules create PRIORITY \
    --security-policy=SECURITY_POLICY \
    {--expression=EXPRESSION | --src-ip-ranges=SRC_IP_RANGE} \
    --action "rate-based-ban" \
    --rate-limit-threshold-count=RATE_LIMIT_THRESHOLD_COUNT \
    --rate-limit-threshold-interval-sec=RATE_LIMIT_THRESHOLD_INTERVAL_SEC \
    --ban-duration-sec=BAN_DURATION_SEC \
    --ban-threshold-count=BAN_THRESHOLD_COUNT \
    --ban-threshold-interval-sec=BAN_THRESHOLD_INTERVAL_SEC \
    --conform-action=[allow] \
    --exceed-action=[deny-403|deny-404|deny-429|deny-502|redirect] \
    --exceed-redirect-type=[google-recaptcha|external-302] \
    --exceed-redirect-target=REDIRECT_URL \
    --enforce-on-key=[IP | ALL | HTTP-HEADER | XFF-IP | HTTP-COOKIE | HTTP-PATH | SNI | REGION-CODE] \
    --enforce-on-key-name=[HTTP_HEADER_NAME|HTTP_COOKIE_NAME]

Ad esempio, il seguente comando gcloud CLI crea una regola di esclusione basata sulla frequenza con priorità 100 per ogni indirizzo IP le cui richieste corrispondono a un'intestazione fish con valore tuna ed esclude per 300 secondi quando la frequenza supera il limite di 50 richieste per ogni 120 secondi. Le richieste escluse restituiscono un codice di errore 404.

gcloud compute security-policies rules create 100 \
    --security-policy=sec-policy \
    --expression="request.headers['fish'] == 'tuna'" \
    --action=rate-based-ban \
    --rate-limit-threshold-count=50 \
    --rate-limit-threshold-interval-sec=120 \
    --ban-duration-sec=300 \
    --conform-action=allow \
    --exceed-action=deny-404 \
    --enforce-on-key=IP

Ad esempio, il seguente comando gcloud CLI crea una regola di esclusione basata sulla frequenza con priorità 101 per limitare a 10 richieste ogni 60 secondi tutte le richieste il cui codice regione corrisponde a US. La regola esclude anche le richieste dalla regione US per 300 secondi quando la frequenza supera il limite di 1000 richieste ogni 600 secondi. Le richieste escluse restituiscono un codice di errore 403.

gcloud compute security-policies rules create 101 \
    --security-policy sec-policy \
    --expression "origin.region_code == 'US'" \
    --action rate-based-ban \
    --rate-limit-threshold-count 10 \
    --rate-limit-threshold-interval-sec 60 \
    --ban-duration-sec 300 \
    --ban-threshold-count 1000 \
    --ban-threshold-interval-sec 600 \
    --conform-action allow \
    --exceed-action deny-403 \
    --enforce-on-key ALL

Ad esempio, il seguente comando gcloud CLI crea una regola di esclusione basata sulla frequenza con priorità 102 per limitare tutte le richieste da qualsiasi intervallo di indirizzi IP di origine a 20 richieste ogni 60 secondi. La regola esclude anche le richieste da qualsiasi intervallo di indirizzi IP di origine per 600 secondi quando la frequenza delle richieste supera un limite di 500 richieste per 400 secondi. Le richieste escluse restituiscono un codice di errore 429.

gcloud compute security-policies rules create 102 \
    --security-policy sec-policy \
    --src-ip-ranges="*" \
    --action rate-based-ban \
    --rate-limit-threshold-count 20 \
    --rate-limit-threshold-interval-sec 60 \
    --ban-duration-sec 600 \
    --ban-threshold-count 500 \
    --ban-threshold-interval-sec 400 \
    --conform-action allow \
    --exceed-action deny-429 \
    --enforce-on-key ALL

Passaggi successivi

Visualizza la panoramica della limitazione di frequenza.
Scopri di più sulla gestione dei bot.