Tôi đã tìm kiếm trong các tài liệu của Google Cloud Armor để biết thông tin về tính năng bảo vệ DDoS của một phiên bản VM tính toán GCP. Từ những gì tôi đã tìm thấy, Google Cloud Armor Managed Protection cung cấp tính năng bảo vệ DDoS truyền thống (có lẽ là lớp 3 và lớp 4) và nó phải được gắn vào bộ cân bằng tải. Ngoài ra, Google Cloud Armor Adaptive Protection cung cấp khả năng bảo vệ lớp 7 thông qua tính năng phát hiện bất thường dựa trên công nghệ máy học trong lưu lượng mạng và chính sách này phải được áp dụng thông qua chính sách bảo mật của Google Cloud Armor. Chính sách này phải được gắn với bộ cân bằng tải.

Nhưng các bộ cân bằng tải được liên kết với một nhóm phiên bản chứ không phải một phiên bản VM đơn lẻ và chúng dành cho các phiên bản tự động phân hạng (ví dụ: dựa trên một mẫu phiên bản), thay vì cho một phiên bản VM đơn lẻ. Tôi đang chạy một số ứng dụng máy chủ trạng thái độc lập (mỗi ứng dụng trong phiên bản VM của riêng chúng), trong đó tính năng tự động thay đổi tỷ lệ không thực sự là một tùy chọn.

Tôi có thể xác định nhóm cá thể một phiên bản (tức là với các quy tắc tự động phân vùng được đặt để sinh ra chính xác 1 phiên bản). Tuy nhiên, tôi có nhiều phiên bản VM riêng lẻ mà tôi muốn bảo vệ DDoS trên đó, vì vậy tôi cần một nhóm phiên bản cho mỗi phiên bản này và một bộ cân bằng tải cho mỗi nhóm phiên bản. Điều này sẽ rất tốn kém rất nhanh chóng.

Một tùy chọn thực tế hơn sẽ là thiết lập một nhóm phiên bản được chia tỷ lệ tự động duy nhất được gắn với bộ cân bằng tải để chỉ đóng vai trò như một proxy ngược cho tất cả các máy chủ khác, được truy cập nội bộ trong một VPC chung. Proxy ngược đó có thể được gắn vào một bộ cân bằng tải và được cung cấp bảo vệ DDoS như một điểm vào duy nhất.

Nhưng có vẻ lạ đối với tôi rằng bắt đầu phải cân bằng tải để bảo vệ DDoS trên GCP. Xét cho cùng, lá chắn AWS không yêu cầu bộ cân bằng tải có hiệu lực. Tui bỏ lỡ điều gì vậy?

Biên tập:

Tôi đang xây dựng một nền tảng lưu trữ cho các ứng dụng được nhắm mục tiêu cụ thể khác nhau. Mỗi máy khách sẽ có phiên bản VM của riêng họ hoặc chia sẻ phiên bản VM với một hoặc hai máy khách khác. Hầu hết các ứng dụng được nhắm mục tiêu không phải là ứng dụng web, mà chỉ là các ứng dụng hỗ trợ TCP / UDP (ví dụ: một số trong số chúng là máy chủ trò chơi). Chúng là các ứng dụng trạng thái và quan trọng hơn là chúng có xu hướng yêu cầu duy trì đồng thời tất cả các kết nối trong một phiên bản duy nhất, vì vậy việc mở rộng ra ngoài một phiên bản đơn lẻ thường không khả thi. Ngoài ra, định giá bộ cân bằng tải GCP triển khai một mức giá cơ bản lớn cho năm quy tắc chuyển tiếp đầu tiên và do đó, việc đặt mỗi phiên bản đằng sau bộ cân bằng tải của chính nó không phải là một lựa chọn. Đối với một số ứng dụng này, các cuộc tấn công DoS là mối quan tâm đặc biệt.

answer

Google Cloud Platform cung cấp một số tính năng để bảo vệ khỏi các cuộc tấn công DDoS. Bạn có thể sử dụng các phương pháp này cùng với các phương pháp hay nhất được đề cập bên dưới và các biện pháp khác phù hợp với yêu cầu của bạn để làm cho việc triển khai GCP của bạn có khả năng chống lại các cuộc tấn công DDoS.

Giảm bề mặt tấn công để triển khai GCE của bạn

○ Cung cấp phần riêng biệt và an toàn của Google Cloud với Mạng ảo Google Cloud.

○ Cô lập và bảo mật việc triển khai của bạn bằng cách sử dụng mạng con và mạng, quy tắc tường lửa, thẻ và Quản lý danh tính và truy cập (IAM).

○ Mở quyền truy cập vào các cổng và giao thức mà bạn cần bằng cách sử dụng các quy tắc tường lửa và / hoặc chuyển tiếp giao thức p.

○ GCP cung cấp tính năng bảo vệ chống giả mạo cho mạng riêng (địa chỉ IP) theo mặc định.

○ GCP tự động cung cấp cách ly giữa các mạng ảo.

Cách ly lưu lượng truy cập nội bộ của bạn với thế giới bên ngoài

○ Triển khai các phiên bản không có IP công cộng trừ khi cần thiết.

○ Bạn có thể thiết lập cổng NAT hoặc pháo đài SSH để giới hạn số lượng các trường hợp được tiếp xúc với internet.

Triển khai các giải pháp bảo vệ DDoS của bên thứ ba

○ Để đáp ứng nhu cầu bảo vệ cụ thể của bạn nhằm ngăn ngừa / giảm thiểu tấn công DDoS, hãy cân nhắc mua các giải pháp bảo vệ DDoS chuyên biệt của bên thứ ba để bảo vệ khỏi các cuộc tấn công như vậy.

○ Bạn cũng có thể triển khai các giải pháp DDoS có sẵn thông qua G oogle Cloud Launcher.

Tôi đã để lại cho bạn tài liệu tham khảo Các phương pháp hay nhất để giảm thiểu và bảo vệ DDoS trên Google Cloud Platform