Mengonfigurasi Google Cloud Armor Adaptive Protection

Halaman ini berisi informasi tentang cara mengonfigurasi Perlindungan Adaptif. Sebelum mengonfigurasi Perlindungan Adaptif, pastikan Anda memahami informasi dalam Ringkasan Perlindungan Adaptif dan Kasus penggunaan Perlindungan Adaptif.

Sebelum memulai

Bagian berikut menjelaskan semua peran dan izin Identity and Access Management (IAM) yang diperlukan untuk mengonfigurasi kebijakan keamanan Cloud Armor. Untuk kasus penggunaan dalam dokumen ini, Anda hanya memerlukan izin compute.securityPolicies.update.

Menyiapkan izin IAM untuk kebijakan keamanan Cloud Armor

Operasi berikut memerlukan peran Compute Security Admin (roles/compute.securityAdmin) Identity and Access Management (IAM):

  • Mengonfigurasi, mengubah, mengupdate, dan menghapus kebijakan keamanan Cloud Armor
  • Menggunakan metode API berikut:
    • SecurityPolicies insert
    • SecurityPolicies delete
    • SecurityPolicies patch
    • SecurityPolicies addRule
    • SecurityPolicies patchRule
    • SecurityPolicies removeRule

Pengguna dengan peran Admin Jaringan Compute (roles/compute.networkAdmin) dapat melakukan operasi berikut:

  • Menetapkan kebijakan keamanan Cloud Armor untuk layanan backend
  • Menggunakan metode API berikut:
    • BackendServices setSecurityPolicy
    • BackendServices list (gcloud saja)

Pengguna dengan peran Admin Keamanan (roles/iam.securityAdmin) dan peran Admin Jaringan Compute dapat melihat kebijakan keamanan Cloud Armor menggunakan metode API SecurityPolicies get, list, dan getRule.

Menyiapkan izin IAM untuk peran kustom

Tabel berikut mencantumkan izin dasar peran IAM dan metode API terkaitnya.

Izin IAM Metode API
compute.securityPolicies.create SecurityPolicies insert
compute.securityPolicies.delete SecurityPolicies delete
compute.securityPolicies.get SecurityPolicies get
SecurityPolicies getRule
compute.securityPolicies.list SecurityPolicies list
compute.securityPolicies.use BackendServices setSecurityPolicy
compute.securityPolicies.update SecurityPolicies patch
SecurityPolicies addRule
SecurityPolicies patchRule
SecurityPolicies removeRule
compute.backendServices.setSecurityPolicy BackendServices setSecurityPolicy

Mengaktifkan Perlindungan Adaptif

Gunakan langkah-langkah berikut untuk mengaktifkan Perlindungan Adaptif untuk kebijakan keamanan Anda. Perlindungan Adaptif diterapkan ke setiap kebijakan keamanan secara terpisah.

Konsol

Untuk mengaktifkan Perlindungan Adaptif untuk kebijakan keamanan:

  1. Di konsol Google Cloud , buka halaman Network Security.

    Buka Keamanan Jaringan

  2. Di halaman Kebijakan, klik nama kebijakan keamanan.

  3. Klik Edit.

  4. Di bagian Adaptive Protection, pilih Aktifkan.

  5. Klik Perbarui.

Untuk menonaktifkan Perlindungan Adaptif untuk kebijakan keamanan:

  1. Di konsol Google Cloud , buka halaman Network Security.

    Buka Keamanan Jaringan

  2. Di halaman Kebijakan, klik nama kebijakan keamanan.

  3. Klik Edit.

  4. Di bagian Adaptive Protection, hapus centang pada Aktifkan.

  5. Klik Perbarui.

gcloud

Untuk mengaktifkan Perlindungan Adaptif untuk kebijakan keamanan:

gcloud compute security-policies update MY-SECURITY-POLICY \
    --enable-layer7-ddos-defense

Untuk menonaktifkan Perlindungan Adaptif untuk kebijakan keamanan:

gcloud compute security-policies update MY-SECURITY-POLICY \
    --no-enable-layer7-ddos-defense

Mengonfigurasi model terperinci

Fitur model terperinci memungkinkan Anda mengonfigurasi host atau jalur tertentu sebagai unit terperinci yang dianalisis oleh Perlindungan Adaptif. Dalam contoh berikut, Anda membuat unit traffic terperinci untuk setiap host, menyesuaikan unit traffic terperinci, dan mengonfigurasi Adaptive Protection untuk mengambil tindakan saat traffic melebihi kueri per detik (QPS) dasar Anda. Untuk mengetahui informasi selengkapnya tentang model terperinci, lihat Ringkasan Adaptive Protection.

Mengonfigurasi unit traffic terperinci

Contoh di bagian ini menggunakan perintah add-layer7-ddos-defense-threshold-config dengan beberapa atau semua tanda berikut:

Flag Deskripsi
--threshold-config-name Nama konfigurasi nilai minimum.
--traffic-granularity-configs Opsi konfigurasi untuk mengaktifkan Perlindungan Adaptif agar berfungsi pada perincian layanan yang ditentukan.
--auto-deploy-impacted-baseline-threshold Nilai minimum pada perkiraan dampak Adaptive Protection terhadap traffic dasar aturan mitigasi yang disarankan untuk serangan yang terdeteksi. Pertahanan otomatis hanya diterapkan jika nilai minimum tidak terlampaui.
--auto-deploy-expiration-sec Durasi tindakan, jika ada, yang dilakukan oleh deployment otomatis.
--detection-load-threshold Nilai minimum deteksi berdasarkan beban layanan backend.
--detection-absolute-qps Ambang batas deteksi berdasarkan QPS absolut.
--detection-relative-to-baseline-qps Ambang batas deteksi berdasarkan QPS relatif terhadap rata-rata traffic dasar.

Dalam contoh pertama, Anda mengonfigurasi Perlindungan Adaptif untuk mendeteksi serangan pada dan menyarankan mitigasi independen untuk setiap host di belakang layanan backend Anda, tanpa mengganti nilai minimum default.

gcloud

  1. Buat kebijakan keamanan dengan nama POLICY_NAME, atau gunakan kebijakan keamanan yang sudah ada.
  2. Jika Perlindungan Adaptif belum diaktifkan, gunakan perintah berikut untuk mengaktifkan Perlindungan Adaptif untuk kebijakan Anda: 
    gcloud compute security-policies update POLICY_NAME 
    
--enable-layer7-ddos-defense
  3. Terapkan kebijakan keamanan ke layanan backend dengan beberapa host.
  4. Gunakan perintah add-layer7-ddos-defense-threshold-config berikut dengan flag --traffic-granularity-configs untuk mengonfigurasi unit traffic terperinci: 
    gcloud compute security-policies add-layer7-ddos-defense-threshold-config POLICY_NAME 
    
--threshold-config-name=per-host-config 
    
--traffic-granularity-configs=type=HTTP_HEADER_HOST;enableEachUniqueValue=true

Dalam contoh kedua, Anda mengonfigurasi berbagai nilai minimum deployment otomatis dan deteksi untuk beberapa atau semua unit traffic terperinci yang Anda konfigurasi dalam contoh pertama.

gcloud

  1. Jika deployment otomatis Perlindungan Adaptif belum diaktifkan, buat aturan placeholder.
  2. Perintah berikut menyesuaikan nilai minimum deployment otomatis untuk unit traffic terperinci dengan HTTP_HEADER_HOST HOST dan HTTP_PATH PATH. Gunakan perintah ini untuk setiap unit traffic terperinci yang ingin Anda sesuaikan, dengan mengganti variabel sesuai kebutuhan untuk setiap jalur host dan URL: 
    gcloud compute security-policies add-layer7-ddos-defense-threshold-config POLICY_NAME 
    
--threshold-config-name=my-host-config 
    
--auto-deploy-impacted-baseline-threshold=0.01 
    
--auto-deploy-expiration-sec=3600 
    
--traffic-granularity-configs=type=HTTP_HEADER_HOST;value=HOST,type=HTTP_PATH;value=PATH

Mendeteksi saat volume serangan melebihi QPS rata-rata dasar

Dalam contoh berikut, Anda mengonfigurasi Adaptive Protection untuk mendeteksi serangan hanya jika volume serangan melebihi QPS rata-rata dasar Anda lebih dari 50%, dan hanya jika beban layanan backend lebih dari 90% kapasitasnya.

gcloud

  1. Buat kebijakan keamanan dengan nama POLICY_NAME, atau gunakan kebijakan keamanan yang sudah ada.

  2. Jika Perlindungan Adaptif belum diaktifkan, gunakan perintah berikut untuk mengaktifkan Perlindungan Adaptif untuk kebijakan Anda:

    gcloud compute security-policies update POLICY_NAME \
  --enable-layer7-ddos-defense

  3. Terapkan kebijakan keamanan ke layanan backend.

  4. Gunakan perintah berikut untuk mengonfigurasi Perlindungan Adaptif dengan nilai minimum deteksi yang disesuaikan:

    gcloud compute security-policies add-layer7-ddos-defense-threshold-config POLICY_NAME \
   --threshold-config-name=my-customized-thresholds \
   --detection-load-threshold=0.9 \
   --detection-relative-to-baseline-qps=1.5

Langkah berikutnya