Mengonfigurasi Google Cloud Armor Adaptive Protection

Halaman ini berisi informasi tentang cara mengonfigurasi Perlindungan Adaptif. Sebelum mengonfigurasi Perlindungan Adaptif, pastikan Anda memahami informasi di ringkasan Perlindungan Adaptif dan kasus penggunaan Perlindungan Adaptif.

Sebelum memulai

Bagian berikut menjelaskan semua peran dan izin Identity and Access Management (IAM) yang diperlukan untuk mengonfigurasi kebijakan keamanan Cloud Armor. Untuk kasus penggunaan di dokumen ini, Anda hanya memerlukan izin compute.securityPolicies.update.

Menyiapkan izin IAM untuk kebijakan keamanan Cloud Armor

Operasi berikut memerlukan peran Compute Security Admin Identity and Access Management (IAM) (roles/compute.securityAdmin):

  • Mengonfigurasi, mengubah, memperbarui, dan menghapus kebijakan keamanan Cloud Armor
  • Dengan menggunakan metode API berikut:
    • SecurityPolicies insert
    • SecurityPolicies delete
    • SecurityPolicies patch
    • SecurityPolicies addRule
    • SecurityPolicies patchRule
    • SecurityPolicies removeRule

Pengguna dengan peran Compute Network Admin (roles/compute.networkAdmin) dapat melakukan operasi berikut:

  • Menetapkan kebijakan keamanan Cloud Armor untuk layanan backend
  • Dengan menggunakan metode API berikut:
    • BackendServices setSecurityPolicy
    • BackendServices list (gcloud saja)

Pengguna dengan peran Security Admin (roles/iam.securityAdmin) dan peran Compute Network Admin (roles/compute.networkAdmin) dapat melihat kebijakan keamanan Cloud Armor menggunakan metode API SecurityPolicies get, list, dan getRule.

Menyiapkan izin IAM untuk peran khusus

Tabel berikut mencantumkan izin dasar peran IAM dan metode API terkaitnya.

Izin IAM Metode API
compute.securityPolicies.create SecurityPolicies insert
compute.securityPolicies.delete SecurityPolicies delete
compute.securityPolicies.get SecurityPolicies get
SecurityPolicies getRule
compute.securityPolicies.list SecurityPolicies list
compute.securityPolicies.use BackendServices setSecurityPolicy
compute.securityPolicies.update SecurityPolicies patch
SecurityPolicies addRule
SecurityPolicies patchRule
SecurityPolicies removeRule
compute.backendServices.setSecurityPolicy BackendServices setSecurityPolicy

Mengaktifkan Perlindungan Adaptif

Gunakan langkah-langkah berikut untuk mengaktifkan Perlindungan Adaptif untuk kebijakan keamanan Anda. Perlindungan Adaptif diterapkan ke setiap kebijakan keamanan secara terpisah.

Konsol

Guna mengaktifkan Perlindungan Adaptif untuk kebijakan keamanan:

  1. Di konsol Google Cloud , buka halaman Network Security.

    Buka Network Security

  2. Di halaman Policies, klik nama kebijakan keamanan.

  3. Klik Edit.

  4. Di bagian Adaptive Protection, pilih Enable.

  5. Klik Update.

Guna menonaktifkan Perlindungan Adaptif untuk kebijakan keamanan:

  1. Di konsol Google Cloud , buka halaman Network Security.

    Buka Network Security

  2. Di halaman Policies, klik nama kebijakan keamanan.

  3. Klik Edit.

  4. Di bagian Adaptive Protection, hapus centang di Enable.

  5. Klik Update.

gcloud

Guna mengaktifkan Perlindungan Adaptif untuk kebijakan keamanan:

gcloud compute security-policies update MY-SECURITY-POLICY \
    --enable-layer7-ddos-defense

Guna menonaktifkan Perlindungan Adaptif untuk kebijakan keamanan:

gcloud compute security-policies update MY-SECURITY-POLICY \
    --no-enable-layer7-ddos-defense

Mengonfigurasi model terperinci

Fitur model terperinci memungkinkan Anda mengonfigurasi host atau jalur tertentu sebagai unit terperinci yang dianalisis oleh Perlindungan Adaptif. Dalam contoh berikut, Anda membuat unit traffic terperinci untuk setiap host, menyesuaikan unit traffic terperinci, dan mengonfigurasi Adaptive Protection untuk mengambil tindakan saat traffic melebihi kueri per detik (QPS) dasar Anda. Untuk mengetahui informasi selengkapnya tentang model terperinci, lihat Ringkasan Perlindungan Adaptif.

Mengonfigurasi unit traffic terperinci

Contoh di bagian ini menggunakan perintah add-layer7-ddos-defense-threshold-config dengan beberapa atau semua tanda berikut:

Tanda Deskripsi
--threshold-config-name Nama konfigurasi nilai minimum.
--traffic-granularity-configs Opsi konfigurasi untuk mengaktifkan Perlindungan Adaptif agar berfungsi pada perincian layanan yang ditentukan.
--auto-deploy-impacted-baseline-threshold Nilai minimum di perkiraan dampak Perlindungan Adaptif terhadap traffic dasar dari aturan mitigasi yang disarankan untuk serangan yang terdeteksi. Pertahanan otomatis diterapkan hanya jika batas tidak terlampaui.
--auto-deploy-expiration-sec Durasi tindakan, jika ada, yang dilakukan oleh deployment otomatis.
--detection-load-threshold Batas deteksi berdasarkan beban layanan backend.
--detection-absolute-qps Batas deteksi berdasarkan QPS absolut.
--detection-relative-to-baseline-qps Batas deteksi berdasarkan QPS relatif terhadap rata-rata traffic dasar.

Dalam contoh pertama, Anda mengonfigurasi Adaptive Protection untuk mendeteksi serangan pada dan menyarankan mitigasi independen untuk setiap host di belakang layanan backend Anda, tanpa mengganti nilai minimum default.

gcloud

  1. Buat kebijakan keamanan dengan nama POLICY_NAME, atau gunakan kebijakan keamanan yang ada.
  2. Jika Perlindungan Adaptif belum diaktifkan, gunakan perintah berikut untuk mengaktifkan Perlindungan Adaptif untuk kebijakan Anda: 
    gcloud compute security-policies update POLICY_NAME 
    
--enable-layer7-ddos-defense
  3. Terapkan kebijakan keamanan ke layanan backend dengan beberapa host.
  4. Gunakan perintah add-layer7-ddos-defense-threshold-config berikut dengan flag --traffic-granularity-configs untuk mengonfigurasi unit traffic terperinci: 
    gcloud compute security-policies add-layer7-ddos-defense-threshold-config POLICY_NAME 
    
--threshold-config-name=per-host-config 
    
--traffic-granularity-configs=type=HTTP_HEADER_HOST;enableEachUniqueValue=true

Dalam contoh kedua, Anda mengonfigurasi berbagai nilai minimum deployment otomatis dan deteksi untuk beberapa atau semua unit traffic terperinci yang Anda konfigurasi dalam contoh pertama.

gcloud

  1. Jika deployment otomatis Perlindungan Adaptif belum diaktifkan, buat aturan placeholder.
  2. Perintah berikut menyesuaikan nilai minimum deployment otomatis untuk unit traffic terperinci dengan HTTP_HEADER_HOST sebesar HOST dan HTTP_PATH sebesar PATH. Gunakan perintah ini untuk setiap unit traffic terperinci yang ingin Anda sesuaikan, dengan mengganti variabel sesuai kebutuhan untuk setiap host dan jalur URL: 
    gcloud compute security-policies add-layer7-ddos-defense-threshold-config POLICY_NAME 
    
--threshold-config-name=my-host-config 
    
--auto-deploy-impacted-baseline-threshold=0.01 
    
--auto-deploy-expiration-sec=3600 
    
--traffic-granularity-configs=type=HTTP_HEADER_HOST;value=HOST,type=HTTP_PATH;value=PATH

Mendeteksi saat volume serangan melebihi QPS rata-rata dasar

Dalam contoh berikut, Anda mengonfigurasi Perlindungan Adaptif untuk mendeteksi serangan hanya jika volume serangan melebihi QPS rata-rata dasar Anda lebih dari 50%, dan hanya jika beban layanan backend lebih dari 90% dari kapasitasnya.

gcloud

  1. Buat kebijakan keamanan dengan nama POLICY_NAME, atau gunakan kebijakan keamanan yang ada.

  2. Jika Perlindungan Adaptif belum diaktifkan, gunakan perintah berikut untuk mengaktifkan Perlindungan Adaptif untuk kebijakan Anda:

    gcloud compute security-policies update POLICY_NAME \
  --enable-layer7-ddos-defense

  3. Terapkan kebijakan keamanan ke layanan backend.

  4. Gunakan perintah berikut untuk mengonfigurasi Adaptive Protection dengan nilai minimum deteksi yang disesuaikan:

    gcloud compute security-policies add-layer7-ddos-defense-threshold-config POLICY_NAME \
   --threshold-config-name=my-customized-thresholds \
   --detection-load-threshold=0.9 \
   --detection-relative-to-baseline-qps=1.5

Langkah berikutnya