הגדרת הגנה מתקדמת מפני התקפות DDoS ברשת

התקפת מניעת שירות מבוזרת (DDoS) היא ניסיון מכוון של גורם עוין לשבש את הפעילות של אתרים, מערכות וממשקי API שחשופים לציבור, במטרה לפגוע בחוויה של משתמשים לגיטימיים. עבור עומסי עבודה שמשתמשים במאזני עומסים חיצוניים של רשת להעברת סיגנל ללא שינוי, בהעברת פרוטוקולים או במכונות וירטואליות עם כתובות IP ציבוריות, Google Cloud Armor מציע את האפשרויות הבאות שיעזרו להגן על מערכות מפני מתקפות DDoS:

  • הגנה רגילה מפני DDoS ברשת: הגנה בסיסית שפועלת תמיד למאזן עומסים חיצוני של רשת להעברת סיגנל ללא שינוי, להעברת פרוטוקולים או למכונות וירטואליות עם כתובות IP ציבוריות. ההגנה הזו עוזרת לשמור על יציבות התשתית על ידי ניטור מתמשך של תעבורת הנתונים והגבלת קצב התעבורה אם הוא חורג מהמכסה. ההגנה הרגילה מפני DDoS ברשת לא מחפשת חתימות של התקפות ולא מספקת אמצעי הגנה מתקדמים אחרים כדי למזער נזקים משניים. כדי לקבל הגנה ממוקדת, צריך להפעיל מדיניות אבטחה משלכם עם הגנה מתקדמת מפני DDoS. עלות ההגנה הרגילה מפני DDoS ברשת כלולה ב-Google Cloud Armor Standard ולא נדרשים מינויים נוספים.
  • הגנה מתקדמת מפני DDoS ברשת: אמצעי הגנה נוספים למנויי Cloud Armor Enterprise שמשתמשים במאזן עומסי רשת חיצוני מסוג passthrough, בהעברת פרוטוקולים או במכונות וירטואליות עם כתובות IP ציבוריות. מידע נוסף על Cloud Armor Enterprise זמין במאמר סקירה כללית של Cloud Armor Enterprise.

במסמך הזה מוסבר ההבדל בין הגנה רגילה מפני DDoS ברשת לבין הגנה מתקדמת מפני DDoS ברשת, איך פועלת הגנה מתקדמת מפני DDoS ברשת ואיך מפעילים הגנה מתקדמת מפני DDoS ברשת.

השוואה בין הגנה רגילה מפני DDoS ברשת לבין הגנה מתקדמת

בטבלה הבאה אפשר להשוות בין התכונות של הגנה רגילה ומתקדמת מפני מתקפות DDoS ברשת.

תכונה הגנה רגילה מפני מתקפות DDoS ברשת הגנה מתקדמת מפני התקפות DDoS ברשת
סוג נקודת הקצה המוגנת
  • מאזן עומסי רשת חיצוני להעברת סיגנל ללא שינוי
  • העברת פרוטוקולים
  • מכונות וירטואליות עם כתובות IP ציבוריות
  • מאזן עומסי רשת חיצוני להעברת סיגנל ללא שינוי
  • העברת פרוטוקול
  • מכונות וירטואליות עם כתובות IP ציבוריות
אכיפה של כללי העברה
מעקב והתראות על מתקפות שפועלים תמיד
אמצעים לצמצום הסיכון למתקפות ממוקדות
טלמטריה של מיטיגציה

איך פועלת הגנה מפני התקפות DDoS ברשת

ההגנה הרגילה מפני מתקפות DDoS ברשת מופעלת תמיד, ולא צריך לבצע שום פעולה כדי להפעיל אותה. ההגנה הרגילה מבטיחה שהתשתית תישאר יציבה על ידי ניטור מתמשך של התנועה והגבלת התנועה שחורגת מהמכסה. היא לא מחפשת חתימות של מתקפות ולא מספקת אמצעי הגנה מתקדמים אחרים כדי למזער נזק משני. כדי לקבל הגנה ממוקדת, צריך להפעיל מדיניות אבטחה משלכם באמצעות הגנה מתקדמת מפני מתקפות DDoS. Google Cloud

אתם מגדירים הגנה מתקדמת מפני התקפות DDoS ברשת לפי אזור. במקום לשייך את מדיניות האבטחה של קצה הרשת למאגרי יעד, למכונות יעד, לשירותים לקצה העורפי או למכונות עם כתובות IP חיצוניות, משייכים אותה לשירות אבטחה של קצה הרשת באזור מסוים. כשמפעילים את התכונה הזו באזור מסוים, Cloud Armor מספק זיהוי והפחתה של מתקפות נפח ממוקדות שפועלים תמיד עבור מאזן עומסים חיצוני של רשת להעברת סיגנל ללא שינוי, העברת פרוטוקולים ומכונות וירטואליות עם כתובות IP ציבוריות באותו אזור. אפשר להחיל הגנה מתקדמת מפני התקפות DDoS ברשת רק על פרויקטים שרשומים ל-Cloud Armor Enterprise.

כשמגדירים הגנה מתקדמת מפני מתקפות DDoS ברשת, קודם יוצרים מדיניות אבטחה מהסוג CLOUD_ARMOR_NETWORK באזור שבוחרים. אחר כך מעדכנים את מדיניות האבטחה כדי להפעיל הגנה מתקדמת מפני מתקפות DDoS ברשת. לבסוף, יוצרים שירות אבטחה של קצה הרשת, משאב שאליו אפשר לצרף מדיניות אבטחה מהסוג CLOUD_ARMOR_NETWORK. צירוף מדיניות האבטחה לשירות אבטחה של קצה הרשת מאפשר הגנה מתקדמת מפני מתקפות DDoS ברשת לכל נקודות הקצה הרלוונטיות באזור שבחרתם.

אמצעי ההגנה המתקדמים מפני DDoS ברשת מודדים את תעבורת הבסיס כדי לשפר את ביצועי ההפחתה. כשמפעילים את ההגנה המתקדמת מפני DDoS ברשת, יש תקופת למידה של 24 שעות לפני שההגנה המתקדמת מפני DDoS ברשת מפתחת בסיס מהימן ויכולה להשתמש בלמידה כדי לשפר את ההפחתות. בסיום תקופת הלמידה, ההגנה המתקדמת מפני DDoS ברשת מחילה טכניקות הפחתה נוספות שמבוססות על תעבורה היסטורית.

הפעלת הגנה מתקדמת מפני התקפות DDoS ברשת

כדי להפעיל הגנה מתקדמת מפני מתקפות DDoS ברשת, פועלים לפי השלבים הבאים.

הרשמה ל-Cloud Armor Enterprise

כדי להפעיל הגנה מתקדמת מפני DDoS ברשת על בסיס אזורי, הפרויקט שלכם צריך להיות רשום ב-Cloud Armor Enterprise. אחרי ההפעלה, כל נקודות הקצה האזוריות באזור המופעל מקבלות הגנה מתקדמת מפני DDoS ברשת שפועלת תמיד.

מוודאים שיש מינוי פעיל ל-Cloud Armor Enterprise בחשבון לחיוב, ושהפרויקט הנוכחי רשום ל-Cloud Armor Enterprise. מידע נוסף על הרשמה ל-Cloud Armor Enterprise זמין במאמר הרשמה ל-Cloud Armor Enterprise ורישום פרויקטים.

הגדרת הרשאות לניהול זהויות והרשאות גישה (IAM)

כדי להגדיר, לעדכן או למחוק שירות אבטחה של Cloud Armor Edge, אתם צריכים את הרשאות ה-IAM הבאות:

  • compute.networkEdgeSecurityServices.create
  • compute.networkEdgeSecurityServices.update
  • compute.networkEdgeSecurityServices.get
  • compute.networkEdgeSecurityServices.delete

בטבלה הבאה מפורטות הרשאות הבסיס של תפקידי IAM והשיטות (method) ב-API שמשויכות אליהן.

הרשאת IAM שיטות API
compute.networkEdgeSecurityServices.create networkEdgeSecurityServices insert
compute.networkEdgeSecurityServices.update networkEdgeSecurityServices patch
compute.networkEdgeSecurityServices.get networkEdgeSecurityServices get
compute.networkEdgeSecurityServices.delete networkEdgeSecurityServices delete
compute.networkEdgeSecurityServices.list networkEdgeSecurityServices aggregatedList

מידע נוסף על הרשאות IAM שנדרשות כשמשתמשים ב-Cloud Armor זמין במאמר הגדרת הרשאות IAM למדיניות אבטחה של Google Cloud Armor.

הגדרת הגנה מתקדמת מפני התקפות DDoS ברשת

כדי להפעיל הגנה מתקדמת מפני מתקפות DDoS ברשת:

  1. יוצרים מדיניות אבטחה מסוג CLOUD_ARMOR_NETWORK או משתמשים במדיניות אבטחה קיימת מסוג CLOUD_ARMOR_NETWORK.

     gcloud compute security-policies create SECURITY_POLICY_NAME \
     --type CLOUD_ARMOR_NETWORK \
     --region REGION

    מחליפים את מה שכתוב בשדות הבאים:

    • SECURITY_POLICY_NAME: השם שרוצים לתת למדיניות האבטחה
    • REGION: האזור שבו רוצים להקצות את מדיניות האבטחה

  2. מעדכנים את מדיניות האבטחה החדשה או הקיימת על ידי הגדרת האפשרות --network-ddos-protection לערך ADVANCED.

     gcloud compute security-policies update SECURITY_POLICY_NAME \
     --network-ddos-protection ADVANCED \
     --region REGION

    לחלופין, אפשר להגדיר את הדגל --network-ddos-protection לערך ADVANCED_PREVIEW כדי להפעיל את מדיניות האבטחה במצב תצוגה מקדימה.

     gcloud beta compute security-policies update SECURITY_POLICY_NAME \
     --network-ddos-protection ADVANCED_PREVIEW \
     --region REGION

  3. יוצרים שירות אבטחה של קצה הרשת שמפנה למדיניות האבטחה.

     gcloud compute network-edge-security-services create SERVICE_NAME \
     --security-policy SECURITY_POLICY_NAME \
     --region REGION

השבתה של הגנה מתקדמת מפני התקפות DDoS ברשת

כדי להשבית את ההגנה המתקדמת מפני מתקפות DDoS ברשת, אפשר לעדכן או למחוק את מדיניות האבטחה.

עדכון מדיניות האבטחה

כדי לעדכן את מדיניות האבטחה ולהגדיר את הדגל --network-ddos-protection לערך STANDARD, משתמשים בפקודה הבאה: מחליפים את המשתנים במידע שרלוונטי לפריסה.

gcloud compute security-policies update SECURITY_POLICY_NAME \
    --network-ddos-protection STANDARD \
    --region REGION

מחיקת מדיניות האבטחה

כדי למחוק מדיניות אבטחה של קצה הרשת, צריך קודם להסיר אותה משירות האבטחה של קצה הרשת, כי אי אפשר למחוק מדיניות אבטחה שנמצאת בשימוש. כדי למחוק את מדיניות האבטחה:

  1. מסירים את המדיניות משירות האבטחה של קצה הרשת או מוחקים את שירות האבטחה של קצה הרשת.

    • כדי להסיר את המדיניות משירות האבטחה של קצה הרשת, משתמשים בפקודה הבאה:

       gcloud compute network-edge-security-services update SERVICE_NAME \
     --security-policy="" \
     --region=REGION_NAME

    • כדי למחוק את שירות האבטחה של קצה הרשת, משתמשים בפקודה הבאה:

       gcloud compute network-edge-security-services delete SERVICE_NAME \
     --region=REGION_NAME

  2. כדי למחוק את מדיניות האבטחה, מריצים את הפקודה הבאה:

      gcloud compute security-policies delete SECURITY_POLICY_NAME

שימוש במצב תצוגה מקדימה

מצב התצוגה המקדימה מאפשר לכם לעקוב אחרי ההשפעות של הגנה מתקדמת מפני DDoS ברשת בלי לאכוף את ההפחתה.

מנויים ל-Cloud Armor Enterprise יכולים גם להפעיל מצב תצוגה מקדימה לכללי מדיניות מתקדמים להגנה מפני DDoS ברשת. במצב תצוגה מקדימה, מקבלים את כל הרישום ביומן והטלמטריה לגבי המתקפה שזוהתה וההצעה לצמצום הסיכון. עם זאת, לא נאכף הפתרון המוצע. כך תוכלו לבדוק את היעילות של אמצעי ההגנה לפני שתפעילו אותם. מכיוון שכל מדיניות מוגדרת לפי אזור, אפשר להפעיל או להשבית את מצב התצוגה המקדימה לפי אזור.

כדי להפעיל את מצב התצוגה המקדימה, מגדירים את הדגל --ddos-protection לערך ADVANCED_PREVIEW. אפשר להשתמש בדוגמה הבאה כדי לעדכן מדיניות קיימת.

gcloud beta compute security-policies update POLICY_NAME \
    --network-ddos-protection ADVANCED_PREVIEW \
    --region=REGION

מחליפים את מה שכתוב בשדות הבאים:

  • POLICY_NAME: השם של המדיניות
  • REGION: האזור שבו נמצאת המדיניות.

אם מדיניות האבטחה שלכם נמצאת במצב תצוגה מקדימה במהלך מתקפה פעילה ואתם רוצים לאכוף את אמצעי ההגנה, אתם יכולים לעדכן את מדיניות האבטחה כדי להגדיר את הדגל --network-ddos-protection לערך ADVANCED. המדיניות נאכפת כמעט באופן מיידי, והשינוי משתקף באירוע הבא של רישום ביומן MITIGATION_ONGOING. אירועי רישום ביומן MITIGATION_ONGOING מתרחשים כל חמש דקות.

טלמטריית צמצום של התקפות DDoS ברשת

‫Cloud Armor יוצר שלושה סוגים של יומני אירועים כשממתנים מתקפות DDoS: ‏ MITIGATION_STARTED,‏ MITIGATION_ONGOING ו-MITIGATION_ENDED. כדי להציג את היומנים לפי סוג ההקלה, אפשר להשתמש במסנני היומנים הבאים:

סוג המיטיגציה מסנן יומן
תחילת המיטיגציה

resource.type="network_security_policy"

jsonPayload.mitigationType="MITIGATION_STARTED"
הטיפול נמשך

resource.type="network_security_policy"

jsonPayload.mitigationType="MITIGATION_ONGOING"
סיום המיטיגציה

resource.type="network_security_policy"

jsonPayload.mitigationType="MITIGATION_ENDED"

יומני אירועים של צעדים לצמצום נזקים ממתקפות ב-Cloud Logging

בקטעים הבאים מופיעות דוגמאות לפורמט של יומן לכל סוג של יומן אירועים:

השבתה זמנית של אותות אכיפה התחילה

  @type: "type.googleapis.com/google.cloud.networksecurity.cloudarmor.logging.v1.CloudArmorMitigationAlert"
  alertId: "11275630857957031521"
  mitigation_type: "MITIGATION_STARTED"
  target_vip: "XXX.XXX.XXX.XXX"
  total_volume: {
   pps: 1400000
   bps: 140000000
  }
  started: {
   total_attack_volume: {
    pps: 1100000
    bps: 110000000
   }
   classified_attack: {
    attack_type: "NTP-udp"
    attack_volume: {
       pps: 500000
       bps: 50000000
    }
   }
   classified_attack: {
    attack_type: "CHARGEN-udp"
    attack_volume: {
       pps: 600000
       bps: 60000000
    }
   }
   attack_sources: {
    top_source_asns: {
      asn: "ABCDEF"
      volume: {
        pps: 20000
        bps: 2000000
      }
    }
    top_source_asns: {
      asn: "UVWXYZ"
      volume: {
        pps: 20000
        bps: 2000000
      }
    }
    top_source_geos: {
      region_code: "XX"
      volume: {
        pps: 20000
        bps: 2000000
      }
    }
    top_source_geos: {
      region_code: "XY"
      volume: {
        pps: 20000
        bps: 2000000
      }
    }
    top_source_ips: {
      region_code: "xx.xx.xx.xx"
      volume: {
        pps: 20000
        bps: 2000000
      }
    }
    top_source_ips: {
      region_code: "yy.yy.yy.yy"
      volume: {
        pps: 20000
        bps: 2000000
      }
    }
   }
  }

הטיפול נמשך

  @type: "type.googleapis.com/google.cloud.networksecurity.cloudarmor.logging.v1.CloudArmorMitigationAlert"
  alertId: "11275630857957031521"
  mitigation_type: "MITIGATION_ONGOING"
  target_vip: "XXX.XXX.XXX.XXX"
  total_volume: {
   pps: 1500000
   bps: 150000000
  }
  ongoing: {
   total_attack_volume: {
    pps: 1100000
    bps: 110000000
   }
   classified_attack: {
    attack_type: "NTP-udp"
    attack_volume: {
       pps: 500000
       bps: 50000000
    }
   }
   classified_attack: {
    attack_type: "CHARGEN-udp"
    attack_volume: {
       pps: 600000
       bps: 60000000
    }
   }
   attack_sources: {
    top_source_asns: {
      asn: "ABCDEF"
      volume: {
        pps: 20000
        bps: 2000000
      }
    }
    top_source_asns: {
      asn: "UVWXYZ"
      volume: {
        pps: 20000
        bps: 2000000
      }
    }
    top_source_geos: {
      region_code: "XX"
      volume: {
        pps: 20000
        bps: 2000000
      }
    }
    top_source_geos: {
      region_code: "XY"
      volume: {
        pps: 20000
        bps: 2000000
      }
    }
    top_source_ips: {
      region_code: "xx.xx.xx.xx"
      volume: {
        pps: 20000
        bps: 2000000
      }
    }
    top_source_ips: {
      region_code: "yy.yy.yy.yy"
      volume: {
        pps: 20000
        bps: 2000000
      }
    }
   }
  }

הטיפול הושלם

  @type: "type.googleapis.com/google.cloud.networksecurity.cloudarmor.logging.v1.CloudArmorMitigationAlert"
  alertId: "11275630857957031521"
  mitigation_type: "MITIGATION_ENDED"
  target_vip: "XXX.XXX.XXX.XXX"
  ended: {
      attack_duration_seconds: 600
      attack_type: "NTP-udp"
  }

במצב תצוגה מקדימה, לפני כל אחד מהתגים mitigation_type שצוינו למעלה מופיע התג PREVIEWED_. לדוגמה, במצב תצוגה מקדימה, התג MITIGATION_STARTED מופיע במקום התג PREVIEWED_MITIGATION_STARTED.

כדי לראות את היומנים האלה, עוברים אל Logs Explorer ומציגים את המשאב network_security_policy.

כניסה לדף Logs Explorer

מידע נוסף על צפייה ביומנים זמין במאמר צפייה ביומנים.

ממצאים ב-Security Command Center

לוח הבקרה של Security Command Center עוזר לכם לעקוב אחרי מתקפות DDoS נפחיות שמכוונות למאזן עומסי הרשת שלכם מסוג passthrough ולמכונות הווירטואליות שלכם, ולהגיב להן. כש-Cloud Armor מזהה מתקפה, מופיע במרכז הבקרה ובכרטיס Cloud Armor ממצא ייעודי עם התווית Volumetric DDoS Attack Attempt - Network LB/VMs (ניסיון למתקפת DDoS נפחית – איזון עומסים ברשת/מכונות וירטואליות).

הממצא כולל קישורים ישירים ליומנים רלוונטיים, ומספק את המידע הבא שיעזור לכם להבין את המתקפה:

  • המשאב הספציפי שנמצא תחת מתקפה
  • נפח התנועה שמשפיע על המשאב
  • הסיווג של המתקפה (למשל: UDP,‏ TCP או הצפת SYN)

הממצא משקף באופן דינמי את סטטוס המתקפה. סטטוס המתקפה מבוסס על האירועים הבאים ביומן:

  • התחילו פעולות לצמצום הסיכון: הממצא מופיע כשהתחילו פעולות לצמצום הסיכון

  • הפתרון נמצא בתהליך: ככל שהפתרון מתקדם, הממצא מתעדכן אוטומטית כדי שתהיו מעודכנים לגבי המצב. בצילום המסך הבא מוצג ממצא פעיל לדוגמה:

    ממצא פעיל ב-Security Command Center.
    ממצא פעיל של Security Command Center (אפשר ללחוץ כדי להגדיל).

  • ההתמודדות הסתיימה: כשהמתקפה נחלשת וההתמודדות מסתיימת, הממצא הופך ללא פעיל, ומתקבל תיעוד של האירוע. בצילום המסך הבא מוצג ממצא לא פעיל לדוגמה:

    ממצא לא פעיל ב-Security Command Center.
    ממצא לא פעיל ב-Security Command Center (אפשר ללחוץ כדי להגדיל).

המאמרים הבאים