Mengonfigurasi Perlindungan Adaptif Google Cloud Armor

Halaman ini berisi informasi tentang cara mengonfigurasi Perlindungan Adaptif. Sebelum mengonfigurasi Perlindungan Adaptif, pastikan Anda sudah memahami informasi dalam ringkasan Perlindungan Adaptif dan kasus penggunaan Perlindungan Adaptif.

Sebelum memulai

Bagian berikut menjelaskan semua peran dan izin Identity and Access Management (IAM) yang diperlukan untuk mengonfigurasi kebijakan keamanan Google Cloud Armor. Untuk kasus penggunaan dalam dokumen ini, Anda hanya memerlukan izin compute.securityPolicies.update.

Menyiapkan izin IAM untuk kebijakan keamanan Google Cloud Armor

Operasi berikut memerlukan peran Admin Keamanan Compute (roles/compute.securityAdmin) Identity and Access Management (IAM):

  • Mengonfigurasi, mengubah, mengupdate, dan menghapus kebijakan keamanan Google Cloud Armor
  • Menggunakan metode API berikut:
    • SecurityPolicies insert
    • SecurityPolicies delete
    • SecurityPolicies patch
    • SecurityPolicies addRule
    • SecurityPolicies patchRule
    • SecurityPolicies removeRule

Pengguna dengan peran Admin Jaringan Compute (roles/compute.networkAdmin) dapat melakukan operasi berikut:

  • Menetapkan kebijakan keamanan Google Cloud Armor untuk layanan backend
  • Menggunakan metode API berikut:
    • BackendServices setSecurityPolicy
    • BackendServices list (gcloud saja)

Pengguna dengan peran Admin Keamanan (roles/iam.securityAdmin) dan peran Admin Jaringan Compute dapat melihat kebijakan keamanan Google Cloud Armor menggunakan metode API SecurityPolicies get, list, dan getRule.

Menyiapkan izin IAM untuk peran khusus

Tabel berikut mencantumkan izin dasar peran IAM dan metode API yang terkait.

Izin IAM Metode API
compute.securityPolicies.create SecurityPolicies insert
compute.securityPolicies.delete SecurityPolicies delete
compute.securityPolicies.get SecurityPolicies get
SecurityPolicies getRule
compute.securityPolicies.list SecurityPolicies list
compute.securityPolicies.use BackendServices setSecurityPolicy
compute.securityPolicies.update SecurityPolicies patch
SecurityPolicies addRule
SecurityPolicies patchRule
SecurityPolicies removeRule
compute.backendServices.setSecurityPolicy BackendServices setSecurityPolicy

Aktifkan Perlindungan Adaptif

Gunakan langkah-langkah berikut guna mengaktifkan Perlindungan Adaptif untuk kebijakan keamanan Anda. Perlindungan Adaptif diterapkan satu per satu ke setiap kebijakan keamanan.

Konsol

Guna mengaktifkan Perlindungan Adaptif untuk kebijakan keamanan:

  1. Di konsol Google Cloud, buka halaman Network Security.

    Buka Keamanan Jaringan

  2. Di halaman Kebijakan, klik nama kebijakan keamanan.

  3. Klik Edit.

  4. Di bagian Perlindungan Adaptif, pilih Aktifkan.

  5. Klik Perbarui.

Guna menonaktifkan Perlindungan Adaptif untuk kebijakan keamanan:

  1. Di konsol Google Cloud, buka halaman Network Security.

    Buka Keamanan Jaringan

  2. Di halaman Kebijakan, klik nama kebijakan keamanan.

  3. Klik Edit.

  4. Di bagian Adaptive Protection, hapus Enable.

  5. Klik Perbarui.

gcloud

Guna mengaktifkan Perlindungan Adaptif untuk kebijakan keamanan:

gcloud compute security-policies update MY-SECURITY-POLICY \
    --enable-layer7-ddos-defense

Guna menonaktifkan Perlindungan Adaptif untuk kebijakan keamanan:

gcloud compute security-policies update MY-SECURITY-POLICY \
    --no-enable-layer7-ddos-defense

Mengonfigurasi model terperinci

Fitur model terperinci memungkinkan Anda mengonfigurasi host atau jalur tertentu sebagai unit terperinci yang dianalisis oleh Perlindungan Adaptif. Pada contoh berikut, Anda membuat unit traffic terperinci untuk setiap host, menyesuaikan unit traffic terperinci, dan mengonfigurasi Perlindungan Adaptif untuk mengambil tindakan saat traffic melebihi kueri dasar per detik (QPS). Untuk mengetahui informasi selengkapnya tentang model terperinci, lihat ringkasan Perlindungan Adaptif.

Mengonfigurasi unit traffic terperinci

Contoh di bagian ini menggunakan perintah add-layer7-ddos-defense-threshold-config dengan beberapa atau semua tanda berikut:

Tanda Deskripsi
--threshold-config-name Nama konfigurasi ambang batas.
--traffic-granularity-configs Opsi konfigurasi untuk mengaktifkan Perlindungan Adaptif agar berfungsi pada perincian layanan yang ditentukan.
--auto-deploy-impacted-baseline-threshold Nilai minimum perkiraan dampak Perlindungan Adaptif terhadap traffic dasar dari aturan mitigasi yang disarankan ke serangan yang terdeteksi. Perlindungan otomatis diterapkan hanya jika nilai minimum tidak terlampaui.
--auto-deploy-expiration-sec Durasi tindakan, jika ada, yang diambil oleh deployment otomatis.
--detection-load-threshold Nilai minimum deteksi berdasarkan beban layanan backend.
--detection-absolute-qps Nilai minimum deteksi berdasarkan QPS absolut.
--detection-relative-to-baseline-qps Nilai minimum deteksi berdasarkan QPS relatif terhadap rata-rata traffic dasar.

Pada contoh pertama, Anda mengonfigurasi Perlindungan Adaptif untuk mendeteksi serangan dan menyarankan mitigasi independen untuk setiap host di belakang layanan backend, tanpa mengganti batas default apa pun.

gcloud

  1. Buat kebijakan keamanan dengan nama POLICY_NAME, atau gunakan kebijakan keamanan yang sudah ada.
  2. Jika Perlindungan Adaptif belum diaktifkan, gunakan perintah berikut guna mengaktifkan Perlindungan Adaptif untuk kebijakan Anda: 
    gcloud compute security-policies update POLICY_NAME 
    
--enable-layer7-ddos-defense
  3. Terapkan kebijakan keamanan ke layanan backend dengan beberapa host.
  4. Gunakan perintah add-layer7-ddos-defense-threshold-config berikut dengan flag --traffic-granularity-configs untuk mengonfigurasi unit traffic terperinci: 
    gcloud compute security-policies add-layer7-ddos-defense-threshold-config POLICY_NAME 
    
--threshold-config-name=per-host-config 
    
--traffic-granularity-configs=type=HTTP_HEADER_HOST;enableEachUniqueValue=true

Pada contoh kedua, Anda mengonfigurasi batas deployment dan deteksi otomatis yang berbeda untuk beberapa atau semua unit traffic terperinci yang dikonfigurasi di contoh pertama.

gcloud

  1. Jika deployment otomatis Perlindungan Adaptif belum diaktifkan, buat aturan placeholder.
  2. Perintah berikut menyesuaikan batas deploy otomatis untuk unit traffic terperinci dengan HTTP_HEADER_HOST HOST dan HTTP_PATH dari PATH. Gunakan perintah ini untuk setiap unit traffic terperinci yang ingin Anda sesuaikan, dengan mengganti variabel yang diperlukan untuk setiap host dan jalur URL: 
    gcloud compute security-policies add-layer7-ddos-defense-threshold-config POLICY_NAME 
    
--threshold-config-name=my-host-config 
    
--auto-deploy-impacted-baseline-threshold=0.01 
    
--auto-deploy-expiration-sec=3600 
    
--traffic-granularity-configs=type=HTTP_HEADER_HOST;value=HOST,type=HTTP_PATH;value=PATH

Mendeteksi saat volume serangan melebihi QPS rata-rata dasar pengukuran

Pada contoh berikut, Anda mengonfigurasi Perlindungan Adaptif untuk mendeteksi serangan hanya saat volume serangan melebihi QPS rata-rata dasar pengukuran lebih dari 50%, dan hanya saat beban layanan backend lebih dari 90% kapasitasnya.

gcloud

  1. Buat kebijakan keamanan dengan nama POLICY_NAME, atau gunakan kebijakan keamanan yang sudah ada.

  2. Jika Perlindungan Adaptif belum diaktifkan, gunakan perintah berikut guna mengaktifkan Perlindungan Adaptif untuk kebijakan Anda:

    gcloud compute security-policies update POLICY_NAME \
  --enable-layer7-ddos-defense

  3. Terapkan kebijakan keamanan ke layanan backend.

  4. Gunakan perintah berikut untuk mengonfigurasi Perlindungan Adaptif dengan batas deteksi yang disesuaikan:

    gcloud compute security-policies add-layer7-ddos-defense-threshold-config POLICY_NAME \
   --threshold-config-name=my-customized-thresholds \
   --detection-load-threshold=0.9 \
   --detection-relative-to-baseline-qps=1.5

Langkah selanjutnya