Un attacco DDoS (Distributed Denial of Service) è un tentativo deliberato da parte di un utente ostile di interrompere le operazioni di siti, sistemi e API esposti al pubblico con l'obiettivo di ridurre l'esperienza degli utenti legittimi. Per i carichi di lavoro che utilizzano bilanciatori del carico di rete passthrough esterni, inoltro del protocollo o VM con indirizzi IP pubblici, Google Cloud Armor offre le seguenti opzioni per contribuire a proteggere i sistemi dagli attacchi DDoS:
- Protezione DDoS di rete standard: protezione sempre attiva di base per bilanciatore del carico di rete passthrough esterno, forwarding del protocollo o VM con indirizzi IP pubblici. È coperto da Google Cloud Armor Standard e non richiede abbonamenti aggiuntivi.
- Protezione DDoS di rete avanzata: protezioni aggiuntive per gli abbonati a Cloud Armor Enterprise che utilizzano un bilanciatore del carico di rete passthrough esterno, il forwarding del protocollo o VM con indirizzi IP pubblici. Per ulteriori informazioni su Cloud Armor Enterprise, consulta la panoramica di Cloud Armor Enterprise.
Questo documento illustra la differenza tra protezione DDoS di rete standard e avanzata, come funziona la protezione DDoS di rete avanzata e come abilitare la protezione DDoS di rete avanzata.
Confronta la protezione DDoS di rete standard e avanzata
Utilizza la seguente tabella per confrontare le funzionalità di protezione DDoS di rete standard e avanzate.
| Selezione delle | Protezione DDoS di rete standard | Protezione DDoS di rete avanzata |
|---|---|---|
| Tipo di endpoint protetto |
|
|
| Applicazione delle regole di forwarding | ||
| Monitoraggio e avvisi sugli attacchi sempre attivi | ||
| Mitigazioni di attacchi mirati | ||
| Telemetria di mitigazione |
Come funziona la protezione DDoS sulla rete
La protezione DDoS di rete standard è sempre abilitata. Non devi fare nulla per abilitarlo.
La protezione DDoS di rete avanzata viene configurata in base alla regione. Anziché associare il criterio di sicurezza perimetrale della rete a uno o più pool di destinazione, istanze di destinazione, servizi di backend o istanze a indirizzi IP esterni, puoi associarlo a un servizio di sicurezza perimetrale della rete in una determinata regione. Se lo abiliti per quella regione, Google Cloud Armor fornisce il rilevamento e la mitigazione degli attacchi volumetrici mirati sempre attivi per il bilanciatore del carico di rete passthrough esterno, il forwarding del protocollo e le VM con indirizzi IP pubblici in quella regione. Puoi applicare la protezione DDoS di rete avanzata solo ai progetti registrati in Cloud Armor Enterprise.
Quando configuri la protezione DDoS di rete avanzata, crei prima un criterio di sicurezza di tipo CLOUD_ARMOR_NETWORK in una regione a tua scelta. Successivamente, aggiornerai il criterio di sicurezza per abilitare la protezione DDoS di rete avanzata. Infine, creerai un servizio di sicurezza perimetrale della rete, una risorsa a cui puoi collegare
criteri di sicurezza di tipo CLOUD_ARMOR_NETWORK. Il collegamento del criterio di sicurezza al servizio di sicurezza perimetrale della rete consente la protezione DDoS avanzata sulla rete per tutti gli endpoint applicabili nella regione scelta.
La protezione DDoS di rete avanzata misura il traffico di base per migliorare le prestazioni di mitigazione. Quando attivi la protezione DDoS di rete avanzata, prevede un periodo di addestramento di 24 ore prima che la protezione DDoS di rete avanzata sviluppi una base di riferimento affidabile e possa utilizzare la sua addestramento per migliorare le sue mitigazioni. Al termine del periodo di addestramento, la protezione DDoS di rete avanzata applica tecniche di mitigazione aggiuntive basate sul traffico storico.
Attivare la protezione DDoS di rete avanzata
Per attivare la protezione DDoS di rete avanzata, segui questi passaggi.
Registrati a Cloud Armor Enterprise
Il tuo progetto deve essere registrato in Cloud Armor Enterprise per abilitare la protezione DDoS di rete avanzata in base alla regione. Dopo l'attivazione, tutti gli endpoint a livello di regione nella regione attivata ricevono la protezione DDoS di rete avanzata sempre attiva.
Assicurati che sia presente un abbonamento a Cloud Armor Enterprise attivo nel tuo account di fatturazione e che il progetto attuale sia registrato in Cloud Armor Enterprise. Per ulteriori informazioni sulla registrazione a Cloud Armor Enterprise, consulta l'articolo Abbonamento a Cloud Armor Enterprise e registrazione dei progetti.
Configurare le autorizzazioni di Identity and Access Management (IAM)
Per configurare, aggiornare o eliminare un servizio di sicurezza perimetrale di Google Cloud Armor, devi disporre delle seguenti autorizzazioni IAM:
compute.networkEdgeSecurityServices.createcompute.networkEdgeSecurityServices.updatecompute.networkEdgeSecurityServices.getcompute.networkEdgeSecurityServices.delete
La seguente tabella elenca le autorizzazioni di base dei ruoli IAM e i relativi metodi API associati.
| Autorizzazioni IAM | Metodi dell'API |
|---|---|
compute.networkEdgeSecurityServices.create |
networkEdgeSecurityServices insert |
compute.networkEdgeSecurityServices.update |
networkEdgeSecurityServices patch |
compute.networkEdgeSecurityServices.get |
networkEdgeSecurityServices get |
compute.networkEdgeSecurityServices.delete |
networkEdgeSecurityServices delete |
compute.networkEdgeSecurityServices.list |
networkEdgeSecurityServices aggregatedList |
Per ulteriori informazioni sulle autorizzazioni IAM necessarie quando utilizzi Google Cloud Armor, consulta Configurare le autorizzazioni IAM per i criteri di sicurezza di Google Cloud Armor.
Configurare la protezione DDoS di rete avanzata
Per attivare la protezione DDoS di rete avanzata, segui questi passaggi.
Crea un criterio di sicurezza di tipo
CLOUD_ARMOR_NETWORKoppure utilizzane uno esistente di tipoCLOUD_ARMOR_NETWORK.gcloud compute security-policies create SECURITY_POLICY_NAME \ --type CLOUD_ARMOR_NETWORK \ --region REGIONSostituisci quanto segue:
SECURITY_POLICY_NAME: il nome che vuoi che abbia il criterio di sicurezzaREGION: la regione in cui vuoi eseguire il provisioning del criterio di sicurezza
Aggiorna il criterio di sicurezza appena creato o esistente impostando il flag
--network-ddos-protectionsuADVANCED.gcloud compute security-policies update SECURITY_POLICY_NAME \ --network-ddos-protection ADVANCED \ --region REGIONIn alternativa, puoi impostare il flag
--network-ddos-protectionsuADVANCED_PREVIEWper abilitare il criterio di sicurezza in modalità di anteprima.gcloud beta compute security-policies update SECURITY_POLICY_NAME \ --network-ddos-protection ADVANCED_PREVIEW \ --region REGIONCrea un servizio di sicurezza perimetrale della rete che fa riferimento al criterio di sicurezza.
gcloud compute network-edge-security-services create SERVICE_NAME \ --security-policy SECURITY_POLICY_NAME \ --region REGION
Disattivare la protezione DDoS di rete avanzata
Per disattivare la protezione DDoS di rete avanzata, puoi aggiornare o eliminare il criterio di sicurezza.
Aggiorna il criterio di sicurezza
Utilizza il comando seguente per aggiornare il criterio di sicurezza in modo da impostare il flag --network-ddos-protection su STANDARD. Sostituisci le variabili con informazioni pertinenti al deployment.
gcloud compute security-policies update SECURITY_POLICY_NAME \
--network-ddos-protection STANDARD \
--region REGION
Elimina il criterio di sicurezza
Prima di poter eliminare un criterio di sicurezza perimetrale della rete, devi rimuoverlo dal servizio di sicurezza perimetrale della rete perché non puoi eliminare i criteri di sicurezza in uso. Per eliminare il criterio di sicurezza:
Rimuovi il criterio dal servizio di sicurezza perimetrale della rete o elimina il servizio.
Per rimuovere il criterio dal servizio di sicurezza perimetrale della rete, utilizza il comando seguente:
gcloud compute network-edge-security-services update SERVICE_NAME \ --security-policy="" \ --region=REGION_NAME
Per eliminare il servizio di sicurezza perimetrale della rete, utilizza il seguente comando:
gcloud compute network-edge-security-services delete SERVICE_NAME \ --region=REGION_NAME
Elimina il criterio di sicurezza utilizzando il comando seguente:
gcloud compute security-policies delete SECURITY_POLICY_NAME
Utilizzare la modalità di anteprima
La modalità di anteprima consente di monitorare gli effetti della protezione DDoS di rete avanzata senza applicare la mitigazione.
Gli abbonati a Cloud Armor Enterprise possono anche attivare la modalità di anteprima per i criteri avanzati di protezione DDoS sulla rete. In modalità di anteprima, ricevi tutti i log e i dati di telemetria relativi all'attacco rilevato e alla mitigazione proposta. Tuttavia, la mitigazione proposta non viene applicata. Ciò consente di testare l'efficacia della mitigazione prima di abilitarla. Poiché ogni criterio è configurato per regione, puoi abilitare o disabilitare la modalità di anteprima per ogni regione.
Per attivare la modalità di anteprima, imposta il flag --ddos-protection su ADVANCED_PREVIEW.
Puoi utilizzare il seguente esempio per aggiornare un criterio esistente.
gcloud beta compute security-policies update POLICY_NAME \
--network-ddos-protection ADVANCED_PREVIEW \
--region=REGION
Sostituisci quanto segue:
POLICY_NAME: il nome del criterioREGION: la regione in cui si trova il criterio.
Se il criterio di sicurezza è in modalità di anteprima durante un attacco attivo e vuoi applicare le mitigazioni, puoi aggiornare il criterio di sicurezza per impostare il flag --network-ddos-protection su ADVANCED. Il criterio viene applicato quasi immediatamente e il successivo evento di logging MITIGATION_ONGOING riflette la modifica. Si verificano MITIGATION_ONGOING eventi di logging ogni cinque minuti.
Telemetria di mitigazione degli attacchi DDoS sulla rete
Le seguenti sezioni spiegano come utilizzare la telemetria per analizzare gli attacchi e le loro origini.
Log degli eventi di mitigazione degli attacchi di Cloud Logging
Google Cloud Armor genera tre tipi di log eventi per attenuare gli attacchi DDoS. Le seguenti sezioni forniscono esempi del formato di log per ciascun tipo di log eventi:
Mitigazione avviata
@type: "type.googleapis.com/google.cloud.networksecurity.cloudarmor.logging.v1.CloudArmorMitigationAlert"
alertId: "11275630857957031521"
mitigation_type: "MITIGATION_STARTED"
target_vip: "XXX.XXX.XXX.XXX"
total_volume: {
pps: 1400000
bps: 140000000
}
started: {
total_attack_volume: {
pps: 1100000
bps: 110000000
}
classified_attack: {
attack_type: "NTP-udp"
attack_volume: {
pps: 500000
bps: 50000000
}
}
classified_attack: {
attack_type: "CHARGEN-udp"
attack_volume: {
pps: 600000
bps: 60000000
}
}
}
Mitigazione in corso
@type: "type.googleapis.com/google.cloud.networksecurity.cloudarmor.logging.v1.CloudArmorMitigationAlert"
alertId: "11275630857957031521"
mitigation_type: "MITIGATION_ONGOING"
target_vip: "XXX.XXX.XXX.XXX"
total_volume: {
pps: 1500000
bps: 150000000
}
ongoing: {
total_attack_volume: {
pps: 1100000
bps: 110000000
}
classified_attack: {
attack_type: "NTP-udp"
attack_volume: {
pps: 500000
bps: 50000000
}
}
classified_attack: {
attack_type: "CHARGEN-udp"
attack_volume: {
pps: 600000
bps: 60000000
}
}
}
Mitigazione completata
@type: "type.googleapis.com/google.cloud.networksecurity.cloudarmor.logging.v1.CloudArmorMitigationAlert"
alertId: "11275630857957031521"
mitigation_type: "MITIGATION_ENDED"
target_vip: "XXX.XXX.XXX.XXX"
ended: {
attack_duration_seconds: 600
attack_type: "NTP-udp"
}
In modalità di anteprima, tutti i valori mitigation_type precedenti sono preceduti da PREVIEWED_. Ad esempio, in modalità di anteprima, MITIGATION_STARTED è invece
PREVIEWED_MITIGATION_STARTED.
Per visualizzare questi log, vai a Esplora log e visualizza la risorsa network_security_policy.
Per ulteriori informazioni sulla visualizzazione dei log, consulta Visualizzazione dei log.
Passaggi successivi
- Scopri come configurare i criteri di sicurezza perimetrale della rete
- Scopri di più su Cloud Armor Enterprise