GCP Cloud Armor DDoS 设置
GCP Cloud Armor DDoS setup
我想知道 Cloud Armor 是如何工作的。当我创建 "empty rule in policy"(允许所有流量)时,是否默认启用 DDoS 保护?或者 DDoS 保护只是 HTTP(s) 负载均衡器的一部分?
有我的笔记:
- HTTP(s) 负载均衡器默认具有基本的 DDoS 保护,如 SYN 泛洪、IP 片段泛洪、端口耗尽等...
- Cloud Armor 默认添加额外保护只是 "empty policy" 规范
- 您可以在 Cloud Armor 中根据 IP 位置等进行额外过滤以获得更好的保护
- 在每种情况下,您都需要考虑 GCS Signed url、WAF、VPC、IAM、内部网络等以获得最佳结果 - 最后还要制作安全的应用程序(首次查看的验证码保护等)
- 如果还是不够,可以使用合作伙伴的解决方案
你能告诉我我错在哪里吗?关于如何在 GCP 中保护你的网络,你的最佳建议是什么?谢谢。
尽管 HTTP(S) 负载平衡器提供了您提到的一些 DDoS 缓解功能,但 DDoS 包含许多不同的攻击向量,因此没有“阻止所有 DDoS”的功能,但 provide protection on some specific common attacks:
When you enable HTTP(S) Load Balancing or SSL proxy Load Balancing,
Google infrastructure mitigates and absorbs many Layer 4 and below
attacks, such as SYN floods, IP fragment floods, port exhaustion, etc.
考虑到 DDoS 攻击的多样性,Cloud Armor 旨在补充和扩展这种保护,并适应用户项目的特定需求。
关于设置“空策略”并获得额外保护层的具体考虑:即使some products support setting empty policies (like IAM), the Cloud Armor API reference doesn't seem to be accepting it,所以这似乎并没有增加任何额外保护。
不知道你从哪里得到的,但是 Cloud Armor“添加额外的过滤 [...] 以获得更好的保护”部分似乎很重要:你需要配置根据您的需要制定政策,以提高安全性。我认为混淆可能与 Cloud Armor working thightly coupled with the HTTP(S) load balancer.
有关
最后是关于“如何保护您的网络的最佳建议”,sounds really opinion-based and might need some concrete details to improve it. However, in this context, I think you might benefit from a GCP paper on DDoS 有点过时(2016 年),但它包括您提到的所有产品,根据您的评论,可能是你在找什么。
我想知道 Cloud Armor 是如何工作的。当我创建 "empty rule in policy"(允许所有流量)时,是否默认启用 DDoS 保护?或者 DDoS 保护只是 HTTP(s) 负载均衡器的一部分?
有我的笔记:
- HTTP(s) 负载均衡器默认具有基本的 DDoS 保护,如 SYN 泛洪、IP 片段泛洪、端口耗尽等...
- Cloud Armor 默认添加额外保护只是 "empty policy" 规范
- 您可以在 Cloud Armor 中根据 IP 位置等进行额外过滤以获得更好的保护
- 在每种情况下,您都需要考虑 GCS Signed url、WAF、VPC、IAM、内部网络等以获得最佳结果 - 最后还要制作安全的应用程序(首次查看的验证码保护等)
- 如果还是不够,可以使用合作伙伴的解决方案
你能告诉我我错在哪里吗?关于如何在 GCP 中保护你的网络,你的最佳建议是什么?谢谢。
尽管 HTTP(S) 负载平衡器提供了您提到的一些 DDoS 缓解功能,但 DDoS 包含许多不同的攻击向量,因此没有“阻止所有 DDoS”的功能,但 provide protection on some specific common attacks:
When you enable HTTP(S) Load Balancing or SSL proxy Load Balancing, Google infrastructure mitigates and absorbs many Layer 4 and below attacks, such as SYN floods, IP fragment floods, port exhaustion, etc.
考虑到 DDoS 攻击的多样性,Cloud Armor 旨在补充和扩展这种保护,并适应用户项目的特定需求。
关于设置“空策略”并获得额外保护层的具体考虑:即使some products support setting empty policies (like IAM), the Cloud Armor API reference doesn't seem to be accepting it,所以这似乎并没有增加任何额外保护。
不知道你从哪里得到的,但是 Cloud Armor“添加额外的过滤 [...] 以获得更好的保护”部分似乎很重要:你需要配置根据您的需要制定政策,以提高安全性。我认为混淆可能与 Cloud Armor working thightly coupled with the HTTP(S) load balancer.
有关最后是关于“如何保护您的网络的最佳建议”,sounds really opinion-based and might need some concrete details to improve it. However, in this context, I think you might benefit from a GCP paper on DDoS 有点过时(2016 年),但它包括您提到的所有产品,根据您的评论,可能是你在找什么。