Men-deploy aturan yang disarankan Perlindungan Adaptif secara otomatis

Dokumen ini memberikan langkah konfigurasi untuk men-deploy secara otomatis aturan yang disarankan yang dihasilkan oleh Perlindungan Adaptif. Untuk mengaktifkan deployment aturan otomatis, Anda harus membuat aturan placeholder dengan nilai berikut:

Ekspresi pencocokan: evaluateAdaptiveProtectionAutoDeploy()
Tindakan: Apa pun
Prioritas: Apa pun. Sebaiknya tetapkan aturan izin eksplisit pada prioritas yang lebih tinggi daripada aturan lainnya untuk traffic yang sah dan berprioritas tinggi.

Jika menggunakan proxy upstream di depan Load Balancer Aplikasi eksternal, seperti CDN pihak ketiga, Anda dapat mengonfigurasi aturan placeholder agar mencocokkan permintaan berdasarkan alamat IP klien asli dari header atau header tertentu. Untuk menggunakan fitur pratinjau ini, konfigurasikan opsi userIpRequestHeaders[] di kolom advancedOptionsConfig. Untuk mengetahui informasi selengkapnya, lihat referensi resource ComputeSecurityPolicy.

Contoh aturan placeholder

Perintah berikut adalah contoh aturan placeholder untuk kebijakan keamanan yang disebut POLICY_NAME, yang masing-masing menampilkan tindakan aturan yang berbeda. Anda dapat menambahkan aturan ini ke kebijakan keamanan yang ada atau membuat kebijakan baru. Untuk mengetahui informasi selengkapnya tentang cara membuat kebijakan keamanan, lihat Mengonfigurasi kebijakan keamanan Cloud Armor.

Memblokir traffic berbahaya

Contoh aturan ini dievaluasi menjadi true untuk permintaan yang diidentifikasi oleh Perlindungan Adaptif sebagai traffic serangan. Cloud Armor menerapkan tindakan pemblokiran pada permintaan serangan:

gcloud compute security-policies rules create 1000 \
    --security-policy POLICY_NAME \
    --expression "evaluateAdaptiveProtectionAutoDeploy()" \
    --action deny-403

Mengarahkan traffic berbahaya ke tantangan reCAPTCHA

Contoh aturan ini mengalihkan traffic yang diidentifikasi oleh Perlindungan Adaptif sebagai berbahaya ke tantangan reCAPTCHA:

gcloud compute security-policies rules create 1000 \
    --security-policy POLICY_NAME \
    --expression "evaluateAdaptiveProtectionAutoDeploy()" \
    --action redirect \
    --redirect-type google-recaptcha

Membatasi kapasitas traffic berbahaya

Contoh ini menerapkan pembatasan kapasitas Cloud Armor ke traffic yang diidentifikasi oleh Perlindungan Adaptif sebagai berbahaya:

gcloud compute security-policies rules create 1000 \
    --security-policy POLICY_NAME \
    --expression "evaluateAdaptiveProtectionAutoDeploy()" \
    --action throttle \
    --rate-limit-threshold-count 500 \
    --rate-limit-threshold-interval-sec 120 \
    --conform-action allow \
    --exceed-action deny-404 \
    --enforce-on-key ip

Mengonfigurasi parameter deployment otomatis Perlindungan Adaptif

Anda dapat mengonfigurasi nilai minimum untuk deployment aturan otomatis dengan menyesuaikan parameter berikut. Jika Anda tidak menetapkan nilai untuk parameter, Cloud Armor akan menggunakan nilai default.

Nilai minimum beban: selama serangan yang terdeteksi, Perlindungan Adaptif mengidentifikasi penyerang baru hanya jika beban ke layanan backend yang sedang diserang melebihi nilai minimum ini. Selain itu, aturan hanya di-deploy secara otomatis untuk pemberitahuan jika beban ke layanan backend yang diserang melebihi nilai minimum ini.
- Nilai default: 0.8
  Perhatian: Menetapkan kolom nilai minimum beban tidak akan berpengaruh pada backend serverless. Nilai batas beban tidak digunakan untuk mendeteksi serangan atau memicu deployment otomatis untuk layanan backend yang dikonfigurasi dengan grup endpoint jaringan (NEG) berikut:
  - NEG serverless yang mengirim traffic ke App Engine, Cloud Run, atau Cloud Run Functions.
  - NEG internet yang mengirimkan traffic ke asal eksternal.
Nilai minimum keyakinan: aturan hanya di-deploy secara otomatis untuk peringatan tentang potensi serangan dengan skor keyakinan yang lebih besar dari nilai minimum ini.
- Nilai default: 0.5
Nilai minimum dasar yang terpengaruh: aturan hanya di-deploy secara otomatis jika perkiraan dampak pada traffic dasar dari mitigasi yang disarankan berada di bawah nilai minimum ini. impactedBaselineProportion dan impactedbaselinePolicyProportion harus lebih rendah daripada nilai minimum dasar yang terpengaruh.
- Nilai default: 0.01 (1%)
Setelan habis masa berlaku: Cloud Armor berhenti menerapkan tindakan dalam aturan yang di-deploy secara otomatis kepada penyerang yang teridentifikasi setelah durasi ini. Aturan akan terus beroperasi terhadap permintaan baru.
- Nilai default: 7200 detik

Perintah berikut menambahkan konfigurasi nilai minimum pertahanan DDoS Layer 7 ke kebijakan keamanan.

gcloud compute security-policies add-layer7-ddos-defense-threshold-config NAME
[FLAG = VALUE]

Ganti kode berikut:

NAME: nama kebijakan keamanan.
FLAG: parameter nilai minimum pertahanan.
VALUE: nilai parameter nilai minimum pertahanan.

Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi unit traffic terperinci.

Perintah berikut memperbarui kebijakan keamanan untuk menggunakan nilai minimum yang diterapkan secara otomatis dan tidak default. Anda dapat menetapkan paling banyak satu parameter auto_deploy_config dan threshold_config. Menetapkan lebih dari satu flag akan menyebabkan error.

gcloud beta compute security-policies update NAME [
    --layer7-ddos-defense-auto-deploy-PARAMETER VALUE
]

Ganti kode berikut:

NAME: nama kebijakan keamanan.
PARAMETER: parameter deployment otomatis. Salah satunya adalah:
- load-threshold
- confidence-threshold
- impacted-baseline-threshold
- expiration-sec
VALUE: nilai parameter deployment otomatis.

Logging

Log yang dibuat oleh aturan yang di-deploy secara otomatis dengan Perlindungan Adaptif memiliki kolom tambahan berikut:

autoDeployed: setelah Anda mengonfigurasi deployment aturan otomatis, setiap log pemberitahuan yang dihasilkan oleh Perlindungan Adaptif memiliki kolom boolean autoDeployed, yang menunjukkan apakah pertahanan otomatis dipicu. Jika autoDeployed disetel ke true, hal ini menunjukkan bahwa aturan placeholder evaluateAdaptiveProtectionAutoDeploy() telah mengevaluasi bahwa nilai minimum dasar Confidence dan Impacted serangan telah melampaui parameter deployment otomatis yang dikonfigurasi. Kemudian, sistem akan mulai memantau beban dinamis. Setelah beban melampaui nilai minimum beban yang dikonfigurasi, aturan akan otomatis di-deploy untuk mengurangi serangan.
adaptiveProtection.autoDeployAlertId: setiap kali Perlindungan Adaptif mengambil tindakan pada permintaan sebagai bagian dari pertahanan otomatis, log permintaan akan memiliki kolom adaptiveProtection.autoDeployAlertId tambahan, yang mencatat ID pemberitahuan. Kolom ini muncul di bagian enforcedSecurityPolicy atau previewSecurityPolicy, bergantung pada apakah kebijakan keamanan berada dalam mode pratinjau.

Untuk melihat log permintaan, lihat Menggunakan logging permintaan. Screenshot berikut menunjukkan contoh entri log Perlindungan Adaptif, dengan kolom autoDeployed dan adaptiveProtection.autoDeployAlertId.

Contoh log Perlindungan Adaptif. — Contoh log Perlindungan Adaptif (klik untuk memperbesar).

Batasan

Perlindungan Adaptif hanya tersedia untuk kebijakan keamanan backend yang dilampirkan ke layanan backend yang diekspos melalui Load Balancer Aplikasi eksternal. Perlindungan Adaptif tidak tersedia untuk Load Balancer Jaringan proxy eksternal.