Esta página contém informações sobre a configuração da proteção adaptativa. Antes de configurar a Proteção adaptável, certifique-se de que conhece as informações na vista geral da Proteção adaptável e nos exemplos de utilização da Proteção adaptável.
Antes de começar
As secções seguintes explicam todas as funções e autorizações da gestão de identidade e de acesso (IAM) necessárias para configurar as políticas de segurança do Cloud Armor. Para os exemplos de utilização neste documento, só precisa da autorização compute.securityPolicies.update.
Configure autorizações IAM para políticas de segurança do Cloud Armor
As seguintes operações requerem a função de administrador de segurança do Compute do Identity and Access Management (IAM)
(roles/compute.securityAdmin):
- Configurar, modificar, atualizar e eliminar uma política de segurança do Cloud Armor
- Usando os seguintes métodos da API:
SecurityPolicies insertSecurityPolicies deleteSecurityPolicies patchSecurityPolicies addRuleSecurityPolicies patchRuleSecurityPolicies removeRule
Um utilizador com a função de administrador de rede de computação (roles/compute.networkAdmin)
pode realizar as seguintes operações:
- Definir uma política de segurança do Cloud Armor para um serviço de back-end
- Usando os seguintes métodos da API:
BackendServices setSecurityPolicyBackendServices list(apenasgcloud)
Os utilizadores com a função de administrador de segurança (roles/iam.securityAdmin)
e a função de administrador de rede de computação podem ver as políticas de segurança do Cloud Armor
através dos métodos da API SecurityPolicies get, list e
getRule.
Configure autorizações da IAM para funções personalizadas
A tabela seguinte apresenta as autorizações base das funções da IAM e os respetivos métodos da API associados.
| Autorização de IAM | Métodos da API |
|---|---|
compute.securityPolicies.create |
SecurityPolicies insert |
compute.securityPolicies.delete |
SecurityPolicies delete |
compute.securityPolicies.get |
SecurityPolicies getSecurityPolicies getRule |
compute.securityPolicies.list |
SecurityPolicies list |
compute.securityPolicies.use |
BackendServices setSecurityPolicy |
compute.securityPolicies.update |
SecurityPolicies patchSecurityPolicies addRuleSecurityPolicies patchRuleSecurityPolicies removeRule |
compute.backendServices.setSecurityPolicy |
BackendServices setSecurityPolicy |
Ative a proteção adaptável
Siga os passos abaixo para ativar a proteção adaptativa para a sua política de segurança. A proteção adaptativa é aplicada a cada política de segurança individualmente.
Consola
Para ativar a proteção adaptável para uma política de segurança:
Na Google Cloud consola, aceda à página Segurança de rede.
Na página Políticas, clique no nome de uma política de segurança.
Clique em Edit.
Em Proteção adaptativa, selecione Ativar.
Clique em Atualizar.
Para desativar a proteção adaptável para uma política de segurança:
Na Google Cloud consola, aceda à página Segurança de rede.
Na página Políticas, clique no nome de uma política de segurança.
Clique em Edit.
Em Proteção adaptável, desmarque a opção Ativar.
Clique em Atualizar.
gcloud
Para ativar a proteção adaptável para uma política de segurança:
gcloud compute security-policies update MY-SECURITY-POLICY \
--enable-layer7-ddos-defense
Para desativar a proteção adaptável para uma política de segurança:
gcloud compute security-policies update MY-SECURITY-POLICY \
--no-enable-layer7-ddos-defense
Configure modelos detalhados
A funcionalidade de modelos detalhados permite-lhe configurar anfitriões ou caminhos específicos como as unidades detalhadas que a proteção adaptativa analisa. Nos exemplos seguintes, cria unidades de tráfego detalhadas para cada anfitrião, personaliza uma unidade de tráfego detalhada e configura a proteção adaptável para tomar medidas quando o tráfego excede as suas consultas por segundo (CPS) de base. Para mais informações sobre os modelos detalhados, consulte a vista geral da proteção adaptativa.
Configure unidades de tráfego detalhadas
Os exemplos nesta secção usam o comando
add-layer7-ddos-defense-threshold-config
com algumas ou todas as seguintes flags:
| Bandeira | Descrição |
|---|---|
--threshold-config-name |
O nome da configuração do limite. |
--traffic-granularity-configs |
Opções de configuração para ativar a proteção adaptável para funcionar na granularidade do serviço especificada. |
--auto-deploy-impacted-baseline-threshold |
Limite no impacto estimado da proteção adaptativa no tráfego de base da regra de mitigação sugerida para um ataque detetado. As defesas automáticas só são aplicadas se o limite não for excedido. |
--auto-deploy-expiration-sec |
A duração das ações, se existirem, realizadas pela implementação automática. |
--detection-load-threshold |
Limite de deteção com base na carga do serviço de back-end. |
--detection-absolute-qps |
Limite de deteção baseado em QPS absolutas. |
--detection-relative-to-baseline-qps |
Limite de deteção com base em QPS relativo à média do tráfego de base. |
No primeiro exemplo, configura a Proteção adaptável para detetar ataques em e sugerir mitigações independentes para cada anfitrião atrás do seu serviço de back-end, sem substituir quaisquer limites predefinidos.
gcloud
- Crie uma política de segurança com o nome
POLICY_NAMEou use uma política de segurança existente. - Se a proteção adaptável ainda não estiver ativada, use o seguinte comando para a ativar para a sua política:
gcloud compute security-policies update POLICY_NAME
--enable-layer7-ddos-defense - Aplique a política de segurança a um serviço de back-end com vários anfitriões.
- Use o seguinte comando
add-layer7-ddos-defense-threshold-configcom a flag--traffic-granularity-configspara configurar uma unidade de tráfego detalhada:gcloud compute security-policies add-layer7-ddos-defense-threshold-config POLICY_NAME
--threshold-config-name=per-host-config
--traffic-granularity-configs=type=HTTP_HEADER_HOST;enableEachUniqueValue=true
No segundo exemplo, configura diferentes limites de implementação automática e deteção para algumas ou todas as unidades de tráfego detalhadas que configurou no primeiro exemplo.
gcloud
- Se a implementação automática da proteção adaptável ainda não estiver ativada, crie uma regra de marcador de posição.
- O comando seguinte personaliza o limite de implementação automática para uma unidade de tráfego detalhada com um
HTTP_HEADER_HOSTdeHOSTe umHTTP_PATHdePATH. Use este comando para cada unidade de tráfego detalhada que quer personalizar, substituindo as variáveis conforme necessário para cada anfitrião e caminho do URL:gcloud compute security-policies add-layer7-ddos-defense-threshold-config
POLICY_NAME
--threshold-config-name=my-host-config
--auto-deploy-impacted-baseline-threshold=0.01
--auto-deploy-expiration-sec=3600
--traffic-granularity-configs=type=HTTP_HEADER_HOST;value=HOST,type=HTTP_PATH;value=PATH
Detetar quando o volume de ataques excede o QPS médio de base
No exemplo seguinte, configura a proteção adaptável para detetar um ataque apenas quando o volume do ataque exceder a sua QPS média de referência em mais de 50% e apenas quando a carga do serviço de back-end for superior a 90% da respetiva capacidade.
gcloud
- Crie uma política de segurança com o nome
POLICY_NAMEou use uma política de segurança existente. Se a proteção adaptável ainda não estiver ativada, use o seguinte comando para a ativar para a sua política:
gcloud compute security-policies update POLICY_NAME \ --enable-layer7-ddos-defense
Aplique a política de segurança a um serviço de back-end.
Use o seguinte comando para configurar a proteção adaptável com limites de deteção personalizados:
gcloud compute security-policies add-layer7-ddos-defense-threshold-config POLICY_NAME \ --threshold-config-name=my-customized-thresholds \ --detection-load-threshold=0.9 \ --detection-relative-to-baseline-qps=1.5
O que se segue?
- Vista geral da proteção adaptativa do Google Cloud Armor
- Exemplos de utilização da proteção adaptativa do Google Cloud Armor