Configura la Protección adaptable de Google Cloud Armor

En esta página, se incluye información para configurar la protección adaptable. Antes de configurar la protección adaptable, asegúrate de conocer la información de la descripción general de la protección adaptable y los casos de uso de la protección adaptable.

Antes de comenzar

En las siguientes secciones, se explican todas las funciones y permisos de Identity and Access Management (IAM) necesarios para configurar las políticas de seguridad de Cloud Armor. Para los casos de uso de este documento, solo necesitas el permiso compute.securityPolicies.update.

Configura los permisos de IAM para las políticas de seguridad de Cloud Armor

Las siguientes operaciones requieren la función de Identity and Access Management (IAM) Administrador de seguridad de Compute (roles/compute.securityAdmin):

  • Crea, modifica, actualiza y borra una política de seguridad de Cloud Armor
  • Usa los siguientes métodos de la API:
    • SecurityPolicies insert
    • SecurityPolicies delete
    • SecurityPolicies patch
    • SecurityPolicies addRule
    • SecurityPolicies patchRule
    • SecurityPolicies removeRule

Un usuario con la función de administrador de red de Compute (roles/compute.networkAdmin) puede realizar las siguientes operaciones:

  • Establece una política de seguridad de Cloud Armor para un servicio de backend
  • Usa los siguientes métodos de la API:
    • BackendServices setSecurityPolicy
    • BackendServices list (solo gcloud)

Los usuarios con la función de administrador de seguridad (roles/iam.securityAdmin) y la función de administrador de red de Compute (roles/compute.networkAdmin) pueden ver las políticas de seguridad de Cloud Armor con los métodos de la API SecurityPolicies get, list y getRule.

Configura permisos de IAM para funciones personalizadas

En la siguiente tabla, se enumeran los permisos básicos de las funciones de IAM, sus métodos de la API asociados y las funciones que otorgan ese permiso.

Permisos de IAM Métodos de la API Funciones
compute.securityPolicies.create SecurityPolicies insert Administrador de seguridad de Compute (roles/compute.securityAdmin)
compute.securityPolicies.delete SecurityPolicies delete Administrador de seguridad de Compute (roles/compute.securityAdmin)
compute.securityPolicies.get SecurityPolicies get
SecurityPolicies getRule		 Administrador de seguridad (roles/iam.securityAdmin)
compute.securityPolicies.list SecurityPolicies list Administrador de seguridad (roles/iam.securityAdmin)
Ambos de los siguientes:
  • compute.securityPolicies.use
  • compute.backendServices.
    setSecurityPolicy
 BackendServices
setSecurityPolicy		 Administrador de red de Compute (roles/compute.networkAdmin)
compute.securityPolicies.update SecurityPolicies patch
SecurityPolicies addRule
SecurityPolicies patchRule
SecurityPolicies removeRule		 Administrador de seguridad de Compute (roles/compute.securityAdmin)

Habilitar la protección adaptable

Sigue estos pasos para habilitar la protección adaptable en tu política de seguridad. La protección adaptable se aplica a cada política de seguridad de forma individual.

Console

Para activar la protección adaptable en una política de seguridad, haz lo siguiente:

  1. En la Google Cloud consola, ve a la Seguridad de red página.

    Ir a Seguridad de red

  2. En la página Políticas, haz clic en el nombre de una política de seguridad.

  3. Haz clic en Edit.

  4. En Protección adaptable, selecciona Habilitar.

  5. Haz clic en Actualizar.

Para desactivar la protección adaptable en una política de seguridad, haz lo siguiente:

  1. En la Google Cloud consola, ve a la Seguridad de red página.

    Ir a Seguridad de red

  2. En la página Políticas, haz clic en el nombre de una política de seguridad.

  3. Haz clic en Edit.

  4. En Protección adaptable, anula la selección de Habilitar.

  5. Haz clic en Actualizar.

gcloud

A fin de activar la protección adaptable en una política de seguridad, haz lo siguiente:

gcloud compute security-policies update MY-SECURITY-POLICY \
    --enable-layer7-ddos-defense

Para desactivar la protección adaptable en una política de seguridad, haz lo siguiente:

gcloud compute security-policies update MY-SECURITY-POLICY \
    --no-enable-layer7-ddos-defense

Configura modelos detallados

La función de modelos detallados te permite configurar hosts o rutas específicos como las unidades detalladas que analiza la protección adaptable. En los siguientes ejemplos, crearás unidades de tráfico detalladas para cada host, personalizarás una unidad de tráfico detallada y configurarás la protección adaptable para que tome medidas cuando el tráfico supere tus consultas por segundo (QPS) de referencia. Para obtener más información sobre los modelos detallados, consulta la descripción general de la protección adaptable.

Configura unidades de tráfico detalladas

En los ejemplos de esta sección, se usa el add-layer7-ddos-defense-threshold-config comando con algunas o todas las siguientes marcas:

Marcar Descripción
--threshold-config-name El nombre de la configuración del umbral.
--traffic-granularity-configs Opciones de configuración para habilitar la protección adaptable para que funcione en la granularidad de servicio especificada.
--auto-deploy-impacted-baseline-threshold Umbral del impacto estimado de la protección adaptable en el tráfico de referencia de la regla de mitigación sugerida para un ataque detectado. Las defensas automáticas solo se aplican si no se supera el umbral.
--auto-deploy-expiration-sec La duración de las acciones, si las hay, que realiza la implementación automática.
--detection-load-threshold Umbral de detección basado en la carga del servicio de backend.
--detection-absolute-qps Umbral de detección basado en QPS absolutas.
--detection-relative-to-baseline-qps Umbral de detección basado en QPS en relación con el promedio del tráfico de referencia.

En el primer ejemplo, configurarás la protección adaptable para detectar ataques y sugerir mitigaciones independientes para cada host detrás de tu servicio de backend, sin anular ningún umbral predeterminado.

gcloud

  1. Crea una política de seguridad con el nombre POLICY_NAME o usa una política de seguridad existente.
  2. Si la protección adaptable aún no está habilitada, usa el siguiente comando para habilitarla en tu política: 
    gcloud compute security-policies update POLICY_NAME 
    
--enable-layer7-ddos-defense
  3. Aplica la política de seguridad a un servicio de backend con varios hosts.
  4. Usa el siguiente comando add-layer7-ddos-defense-threshold-config con la marca --traffic-granularity-configs para configurar una unidad de tráfico detallada: 
    gcloud compute security-policies add-layer7-ddos-defense-threshold-config POLICY_NAME 
    
--threshold-config-name=per-host-config 
    
--traffic-granularity-configs=type=HTTP_HEADER_HOST;enableEachUniqueValue=true

En el segundo ejemplo, configurarás diferentes umbrales de implementación automática y detección para algunas o todas las unidades de tráfico detalladas que configuraste en el primer ejemplo.

gcloud

  1. Si la implementación automática de la protección adaptable aún no está habilitada, crea una regla de marcador de posición.
  2. El siguiente comando personaliza el umbral de implementación automática para una unidad de tráfico detallada con un HTTP_HEADER_HOST de HOST y un HTTP_PATH de PATH. Usa este comando para cada unidad de tráfico detallada que quieras personalizar y reemplaza las variables según sea necesario para cada host y ruta de URL: 
    gcloud compute security-policies add-layer7-ddos-defense-threshold-config POLICY_NAME 
    
--threshold-config-name=my-host-config 
    
--auto-deploy-impacted-baseline-threshold=0.01 
    
--auto-deploy-expiration-sec=3600 
    
--traffic-granularity-configs=type=HTTP_HEADER_HOST;value=HOST,type=HTTP_PATH;value=PATH

Detecta cuándo el volumen de ataque supera el promedio de QPS de referencia

En el siguiente ejemplo, configurarás la protección adaptable para detectar un ataque solo cuando el volumen de ataque supere el promedio de QPS de referencia en más del 50% y solo cuando la carga del servicio de backend sea más del 90% de su capacidad.

gcloud

  1. Crea una política de seguridad con el nombre POLICY_NAME o usa una política de seguridad existente.

  2. Si la protección adaptable aún no está habilitada, usa el siguiente comando para habilitarla en tu política:

    gcloud compute security-policies update POLICY_NAME \
  --enable-layer7-ddos-defense

  3. Aplica la política de seguridad a un servicio de backend.

  4. Usa el siguiente comando para configurar la protección adaptable con umbrales de detección personalizados:

    gcloud compute security-policies add-layer7-ddos-defense-threshold-config POLICY_NAME \
   --threshold-config-name=my-customized-thresholds \
   --detection-load-threshold=0.9 \
   --detection-relative-to-baseline-qps=1.5

¿Qué sigue?