Esta página se ha traducido con Cloud Translation API.

Implementar automáticamente las reglas sugeridas de Protección adaptativa

En este documento se describen los pasos de configuración para desplegar automáticamente las reglas sugeridas que genera Protección adaptativa. Para habilitar la implementación automática de reglas, debe crear una regla de marcador de posición con los siguientes valores:

Expresión de concordancia: evaluateAdaptiveProtectionAutoDeploy()
Acción: cualquiera
Prioridad: cualquiera. Te recomendamos que definas una regla de permiso explícita con una prioridad más alta que el resto de las reglas para el tráfico legítimo de alta prioridad.

Si usas un proxy upstream delante de tu balanceador de carga de aplicaciones externo, como una CDN de terceros, puedes configurar la regla de marcador de posición para que coincida con las solicitudes en función de la dirección IP del cliente original de una o varias encabezados especificados. Para usar esta función de vista previa, configura la opción userIpRequestHeaders[] en el campo advancedOptionsConfig. Para obtener más información, consulta la referencia del recurso ComputeSecurityPolicy.

Ejemplo de reglas de marcadores de posición

Los siguientes comandos son reglas de marcador de posición de ejemplo para las políticas de seguridad llamadas POLICY_NAME, cada una de las cuales incluye una acción de regla diferente. Puedes añadir estas reglas a una política de seguridad que ya tengas o crear una nueva. Para obtener más información sobre cómo crear políticas de seguridad, consulta el artículo Configurar políticas de seguridad de Cloud Armor.

Bloquear tráfico malicioso

Esta regla de ejemplo se evalúa como true para las solicitudes que Protección adaptativa identifica como tráfico de ataque. Cloud Armor aplica la acción de bloqueo a la solicitud atacante:

gcloud compute security-policies rules create 1000 \
    --security-policy POLICY_NAME \
    --expression "evaluateAdaptiveProtectionAutoDeploy()" \
    --action deny-403

Redirigir el tráfico malicioso a una prueba reCAPTCHA

Esta regla de ejemplo redirige el tráfico que Protección adaptativa identifica como malicioso a una prueba reCAPTCHA:

gcloud compute security-policies rules create 1000 \
    --security-policy POLICY_NAME \
    --expression "evaluateAdaptiveProtectionAutoDeploy()" \
    --action redirect \
    --redirect-type google-recaptcha

Limitar la frecuencia del tráfico malicioso

En este ejemplo se aplica la limitación de frecuencia de Cloud Armor al tráfico que Adaptive Protection identifica como malicioso:

gcloud compute security-policies rules create 1000 \
    --security-policy POLICY_NAME \
    --expression "evaluateAdaptiveProtectionAutoDeploy()" \
    --action throttle \
    --rate-limit-threshold-count 500 \
    --rate-limit-threshold-interval-sec 120 \
    --conform-action allow \
    --exceed-action deny-404 \
    --enforce-on-key ip

Configurar los parámetros de implementación automática de Protección adaptativa

Puede configurar los umbrales para la implementación automática de reglas ajustando los siguientes parámetros. Si no define el valor de un parámetro, Cloud Armor usará el valor predeterminado.

Umbral de carga: durante un ataque alertado, Adaptive Protection identifica a los nuevos atacantes solo cuando la carga del servicio de backend atacado supera este umbral. Además, las reglas solo se implementan automáticamente para las alertas cuando la carga del servicio backend que está sufriendo un ataque supera este umbral.
- Valor predeterminado: 0.8
  Precaución: Definir el campo de umbral de carga no tiene ningún efecto en los backends sin servidor. El valor del umbral de carga no se usa para detectar un ataque ni para activar la implementación automática de los servicios de backend que estén configurados con los siguientes grupos de puntos finales de red (NEG):
  - Un NEG sin servidor que envía tráfico a App Engine, Cloud Run o funciones de Cloud Run.
  - Un NEG de Internet que envía tráfico a un origen externo.
Umbral de confianza: las reglas solo se despliegan automáticamente en las alertas sobre posibles ataques con puntuaciones de confianza superiores a este umbral.
- Valor predeterminado: 0.5
Umbral de referencia afectado: las reglas solo se implementan automáticamente cuando el impacto estimado en el tráfico de referencia de la mitigación sugerida está por debajo de este umbral. impactedBaselineProportion y impactedbaselinePolicyProportion deben ser inferiores al umbral de referencia afectado.
- Valor predeterminado: 0.01 (1%)
Tiempo de vencimiento definido: Cloud Armor deja de aplicar la acción de la regla desplegada automáticamente a un atacante identificado después de este periodo. La regla sigue funcionando con las nuevas solicitudes.
- Valor predeterminado: 7200 segundos

El siguiente comando añade configuraciones de umbral de defensa contra ataques DDoS de capa 7 a las políticas de seguridad.

gcloud compute security-policies add-layer7-ddos-defense-threshold-config NAME
[FLAG = VALUE]

Haz los cambios siguientes:

NAME: el nombre de la política de seguridad.
FLAG: el parámetro de umbral de defensa.
VALUE: el valor del parámetro de umbral de defensa.

Para obtener más información, consulta Configurar unidades de tráfico granulares.

El siguiente comando actualiza la política de seguridad para usar umbrales no predeterminados que se implementan automáticamente. Puedes definir como máximo uno de los parámetros auto_deploy_config y threshold_config. Si se define más de una marca, se produce un error.

gcloud beta compute security-policies update NAME [
    --layer7-ddos-defense-auto-deploy-PARAMETER VALUE
]

Haz los cambios siguientes:

NAME: el nombre de la política de seguridad.
PARAMETER: el parámetro de implementación automática. Puede ser uno de los siguientes:
- load-threshold
- confidence-threshold
- impacted-baseline-threshold
- expiration-sec
VALUE: el valor del parámetro de implementación automática.

Almacenamiento de registros

Los registros generados por las reglas implementadas automáticamente con Protección adaptativa tienen los siguientes campos adicionales:

autoDeployed: después de configurar la implementación automática de reglas, cada registro de alerta que genera Protección adaptativa tiene el campo booleano autoDeployed, que indica si se ha activado una defensa automática. Si autoDeployed tiene el valor true, significa que la regla de marcador de posición evaluateAdaptiveProtectionAutoDeploy() ya ha evaluado que los umbrales de confianza e impacto del ataque han superado los parámetros de implementación automática configurados. A continuación, el sistema empieza a monitorizar la carga dinámica. Una vez que la carga supera el umbral configurado, la regla se implementa automáticamente para mitigar el ataque.
adaptiveProtection.autoDeployAlertId: cada vez que Protección adaptativa toma medidas en una solicitud como parte de una defensa automática, el registro de solicitudes tiene el campo adicional adaptiveProtection.autoDeployAlertId, que registra el ID de alerta. Este campo aparece en enforcedSecurityPolicy o previewSecurityPolicy, según si la política de seguridad está en modo de vista previa.

Para ver los registros de solicitudes, consulta Usar registros de solicitudes. En la siguiente captura de pantalla se muestra un ejemplo de una entrada de registro de Adaptive Protection con los campos autoDeployed y adaptiveProtection.autoDeployAlertId.

Registro de ejemplo de Adaptive Protection. — Registro de ejemplo de Adaptive Protection (haz clic para ampliar).

Limitaciones

Adaptive Protection solo está disponible para las políticas de seguridad de backend asociadas a servicios de backend expuestos a través de un balanceador de carga de aplicaciones externo. Adaptive Protection no está disponible para los balanceadores de carga de red de proxy externo.