Diese Seite wurde von der Cloud Translation API übersetzt.

Vorgeschlagene Adaptive Protection-Regeln automatisch bereitstellen

In diesem Dokument finden Sie Konfigurationsschritte für die automatische Bereitstellung der vorgeschlagenen Regeln, die von Adaptive Protection generiert werden. Wenn Sie die automatische Bereitstellung von Regeln aktivieren möchten, müssen Sie eine Platzhalterregel mit den folgenden Werten erstellen:

Übereinstimmungsausdruck: evaluateAdaptiveProtectionAutoDeploy()
Aktion: Beliebig
Priorität: Beliebig. Es wird empfohlen, für einen legitimen Traffic mit hoher Priorität eine explizite allow-Regel mit einer höheren Priorität festzulegen als Ihre anderen Regeln.

Wenn Sie einen vorgelagerten Proxy vor Ihrem externen Application Load Balancer verwenden, z. B. ein CDN eines Drittanbieters, können Sie die Platzhalterregel so konfigurieren, dass Anfragen anhand der IP-Adresse des ursprünglichen Clients aus einem oder mehreren angegebenen Headern abgeglichen werden. Wenn Sie dieses Vorschau-Feature verwenden möchten, konfigurieren Sie die Option userIpRequestHeaders[] im Feld advancedOptionsConfig. Weitere Informationen finden Sie in der ComputeSecurityPolicy-Ressourcenreferenz.

Beispielregeln für Platzhalter

Die folgenden Befehle sind Beispiel-Platzhalterregeln für Sicherheitsrichtlinien mit dem Namen POLICY_NAME, die jeweils eine andere Regelaktion enthalten. Sie können diese Regeln einer vorhandenen Sicherheitsrichtlinie hinzufügen oder eine neue Richtlinie erstellen. Weitere Informationen zum Erstellen von Sicherheitsrichtlinien finden Sie unter Google Cloud Armor-Sicherheitsrichtlinien konfigurieren.

Schädlichen Traffic blockieren

Diese Beispielregel ergibt true für Anfragen, die von Adaptive Protection als Angriffstraffic identifiziert werden. Google Cloud Armor wendet die Blockierungsaktion auf die angreifende Anfrage an:

gcloud compute security-policies rules create 1000 \
    --security-policy POLICY_NAME \
    --expression "evaluateAdaptiveProtectionAutoDeploy()" \
    --action deny-403

Schadsoftware-Traffic zu einer reCAPTCHA-Aufgabe weiterleiten

Diese Beispielregel leitet Traffic, der von Adaptive Protection als schädlich eingestuft wird, zu einer reCAPTCHA-Aufgabe weiter:

gcloud compute security-policies rules create 1000 \
    --security-policy POLICY_NAME \
    --expression "evaluateAdaptiveProtectionAutoDeploy()" \
    --action redirect \
    --redirect-type google-recaptcha

Schadsoftware-Traffic begrenzen

In diesem Beispiel wird die Google Cloud Armor-Ratenbegrenzung auf Traffic angewendet, der von Adaptive Protection als schädlich eingestuft wird:

gcloud compute security-policies rules create 1000 \
    --security-policy POLICY_NAME \
    --expression "evaluateAdaptiveProtectionAutoDeploy()" \
    --action throttle \
    --rate-limit-threshold-count 500 \
    --rate-limit-threshold-interval-sec 120 \
    --conform-action allow \
    --exceed-action deny-404 \
    --enforce-on-key ip

Parameter für die automatische Bereitstellung von Adaptive Protection konfigurieren

Sie können die Grenzwerte für die automatische Bereitstellung von Regeln anpassen, indem Sie die folgenden Parameter optimieren. Wenn Sie den Wert für einen Parameter nicht festlegen, verwendet Google Cloud Armor den Standardwert.

Lastschwellenwert: Während eines gemeldeten Angriffs identifiziert Adaptive Protection nur dann neue Angreifer, wenn die Last des angegriffenen Backend-Dienstes diesen Grenzwert überschreitet. Außerdem werden Regeln nur automatisch für Benachrichtigungen bereitgestellt, wenn die Last des angegriffenen Backend-Dienstes diesen Grenzwert überschreitet.
- Standardwert: 0.8
  Achtung: Das Festlegen des Felds für den Lastschwellenwert hat keine Auswirkungen auf serverlose Back-Ends. Der Lastschwellenwert wird weder zum Erkennen eines Angriffs noch zum Auslösen der automatischen Bereitstellung für Backend-Dienste verwendet, die mit den folgenden Netzwerk-Endpunktgruppen (NEGs) konfiguriert sind:
  - Eine serverlose NEG, die Traffic an App Engine, Cloud Run oder Cloud Run Functions sendet.
  - Eine Internet-NEG, die Traffic an einen externen Ursprung sendet.
Konfidenzgrenzwert: Regeln werden nur automatisch für Benachrichtigungen zu potenziellen Angriffen mit Konfidenzwerten bereitgestellt, die diesen Grenzwert überschreiten.
- Standardwert: 0.5
Betroffener Basisgrenzwert: Regeln werden nur automatisch bereitgestellt, wenn die geschätzte Auswirkung auf den Basistraffic aus der vorgeschlagenen Risikominderung unter diesem Grenzwert liegt. impactedBaselineProportion und impactedbaselinePolicyProportion sollten unter dem Grenzwert für den betroffenen Basistraffic liegen.
- Standardwert: 0.01 Prozent (0,01%, nicht 1%)
Ablauf festgelegt: Google Cloud Armor wendet die Aktion in der automatisch bereitgestellten Regel nach dieser Zeitspanne nicht mehr auf einen identifizierten Angreifer an. Die Regel wird weiterhin auf neue Anfragen angewendet.
- Standardwert: 7200 Sekunden

Mit dem folgenden Beispielbefehl können Sie Ihre Sicherheitsrichtlinie aktualisieren, um nicht standardmäßige, automatisch bereitgestellte Grenzwerte zu verwenden. Ersetzen Sie NAME durch den Namen Ihrer Sicherheitsrichtlinie und die verbleibenden Variablen durch die gewünschten Werte für Ihre Richtlinie.

gcloud beta compute security-policies update NAME [
    --layer7-ddos-defense-auto-deploy-load-threshold LOAD_THRESHOLD
    --layer7-ddos-defense-auto-deploy-confidence-threshold CONFIDENCE_THRESHOLD
    --layer7-ddos-defense-auto-deploy-impacted-baseline-threshold IMPACTED_BASELINE_THRESHOLD
    --layer7-ddos-defense-auto-deploy-expiration-sec EXPIRATION_SEC
]

Logging

Logs, die von Regeln generiert werden, die automatisch mit Adaptive Protection bereitgestellt werden, haben die folgenden zusätzlichen Felder:

autoDeployed: Nachdem Sie die automatische Bereitstellung von Regeln konfiguriert haben, enthält jedes von Adaptive Protection generierte Warnungsprotokoll das boolesche Feld autoDeployed, das angibt, ob eine automatische Verteidigung ausgelöst wurde. Wenn autoDeployed auf true gesetzt ist, bedeutet das, dass die Platzhalterregel evaluateAdaptiveProtectionAutoDeploy() bereits ausgewertet hat, dass die Grenzwerte für Konfidenz und betroffene Baseline für den Angriff die konfigurierten Parameter für die automatische Bereitstellung überschritten haben. Das System beginnt dann mit der Überwachung der dynamischen Last. Sobald die Last den konfigurierten Lastschwellenwert überschreitet, wird die Regel automatisch bereitgestellt, um den Angriff abzuwehren.
adaptiveProtection.autoDeployAlertId: Wenn Adaptive Protection im Rahmen einer automatischen Abwehr eine Aktion für eine Anfrage ausführt, enthält das Anfragelog das zusätzliche Feld adaptiveProtection.autoDeployAlertId, in dem die Benachrichtigungs-ID aufgezeichnet wird. Dieses Feld wird unter enforcedSecurityPolicy oder previewSecurityPolicy angezeigt, je nachdem, ob sich die Sicherheitsrichtlinie im Vorschaumodus befindet.

Informationen zum Aufrufen von Anfragelogs finden Sie unter Anfrage-Logging verwenden. Der folgende Screenshot zeigt ein Beispiel für einen Protokolleintrag für den adaptiven Schutz mit den Feldern autoDeployed und adaptiveProtection.autoDeployAlertId.

Ein Beispielprotokoll für Adaptive Protection. — Beispiel für ein Adaptive Protection-Log (zum Vergrößern klicken).

Beschränkungen

Adaptive Protection ist nur für Back-End-Sicherheitsrichtlinien verfügbar, die an Back-End-Dienste angehängt sind, die über einen externen Application Load Balancer freigegeben werden. Adaptive Protection ist für externe Proxy-Network-Load-Balancer nicht verfügbar.