En este documento, se proporcionan los pasos de configuración para implementar automáticamente el las reglas sugeridas que genera la Protección adaptable. Para habilitar la implementación automática de reglas, debes crear una regla de marcador de posición con los siguientes valores:
- Expresión que debe coincidir:
evaluateAdaptiveProtectionAutoDeploy()
- Acción: Cualquiera
- Prioridad: cualquiera. Recomendamos que establezcas una regla de permiso explícita una prioridad más alta que las demás reglas para el tráfico legítimo de prioridad alta.
Si usas un proxy upstream frente a tu balanceador de cargas de aplicaciones externo, como un
de terceros, puedes configurar la regla
de marcador de posición para que coincida
en la dirección IP del cliente original a partir de uno o varios encabezados especificados. Para usar
esta función de vista previa, configura la opción userIpRequestHeaders[]
en
advancedOptionsConfig
. Para obtener más información, consulta la
ComputeSecurityPolicy
referencia del recurso.
Ejemplos de reglas de marcadores de posición
Los siguientes comandos son ejemplos de reglas de marcador de posición para las políticas de seguridad
llamada POLICY_NAME
, cada una de las cuales presenta una acción de la regla diferente.
Puedes agregar estas reglas a una política de seguridad existente o crear una política nueva. Para obtener más información sobre la creación de políticas de seguridad, consulta Configura políticas de seguridad de Google Cloud Armor.
Bloquea tráfico malicioso
Esta regla de ejemplo se evalúa como true
para las solicitudes que la Protección adaptable
se identifica como tráfico de ataque. Google Cloud Armor aplica el bloqueo
a la solicitud atacante:
gcloud compute security-policies rules create 1000 \ --security-policy POLICY_NAME \ --expression "evaluateAdaptiveProtectionAutoDeploy()" \ --action deny-403
Redirecciona el tráfico malicioso a un desafío de reCAPTCHA
Esta regla de ejemplo redirecciona el tráfico que la Protección adaptable identifica como malicioso a un desafío de reCAPTCHA:
gcloud compute security-policies rules create 1000 \ --security-policy POLICY_NAME \ --expression "evaluateAdaptiveProtectionAutoDeploy()" \ --action redirect \ --redirect-type google-recaptcha
Límite de frecuencia de tráfico malicioso
En este ejemplo, se aplica el límite de frecuencia de Google Cloud Armor La protección adaptable identifica como maliciosa:
gcloud compute security-policies rules create 1000 \ --security-policy POLICY_NAME \ --expression "evaluateAdaptiveProtectionAutoDeploy()" \ --action throttle \ --rate-limit-threshold-count 500 \ --rate-limit-threshold-interval-sec 120 \ --conform-action allow \ --exceed-action deny-404 \ --enforce-on-key ip
Configura los parámetros de implementación automática de la protección adaptable
Puedes configurar los umbrales para la implementación automática de reglas ajustando los los siguientes parámetros. Si no estableces el valor de un parámetro, Google Cloud Armor usa el siguiente valor predeterminado:
Umbral de carga: durante un ataque alertado, la protección adaptable identifica nuevos atacantes solo cuando la carga en el servicio de backend que está siendo atacada supere este umbral. Además, las reglas solo se implementan automáticamente para alerta cuando la carga en el servicio de backend que está bajo ataque supera este umbral.
- Valor predeterminado:
0.8
- Un NEG sin servidores que envía tráfico a App Engine Cloud Run o funciones de Cloud Run.
- Un NEG de Internet que envía tráfico a un origen externo
- Valor predeterminado:
Umbral de confianza: las reglas solo se implementan automáticamente para las alertas activadas posibles ataques con puntuaciones de confianza superiores a este umbral.
- Valor predeterminado:
0.5
- Valor predeterminado:
Umbral de modelo de referencia afectado: Las reglas solo se implementan de forma automática cuando el impacto estimado en el tráfico del modelo de referencia desde la mitigación sugerida está por debajo de este límite.
- Valor predeterminado:
0.01
por ciento
- Valor predeterminado:
Conjunto de vencimiento: Google Cloud Armor deja de aplicar la acción en la regla implementada de forma automática a un atacante identificado después de esta duración. La regla continúa funcionando en solicitudes nuevas.
- Valor predeterminado:
7200
segundos
- Valor predeterminado:
Puedes usar el siguiente comando de ejemplo para actualizar la política de seguridad y usar
con umbrales de implementación automática
no predeterminados. Reemplazar NAME
por
el nombre de tu política de seguridad y reemplaza las variables restantes con el
valores que deseas para tu política.
gcloud beta compute security-policies update NAME [ --layer7-ddos-defense-auto-deploy-load-threshold LOAD_THRESHOLD --layer7-ddos-defense-auto-deploy-confidence-threshold CONFIDENCE_THRESHOLD --layer7-ddos-defense-auto-deploy-impacted-baseline-threshold IMPACTED_BASELINE_THRESHOLD --layer7-ddos-defense-auto-deploy-expiration-sec EXPIRATION_SEC ]
Limitaciones
- La protección adaptable solo está disponible para las políticas de seguridad de backend conectadas a servicios de backend que se exponen a través de un balanceador de cargas de aplicaciones externo. La protección adaptable no está disponible para los balanceadores de cargas de red de proxy externos.