云中的 DDOS 运行

DDOS in Cloud Run

我目前 运行 云上的两个容器 运行 用于我的 Web 应用程序(React 和 Nodejs)。我一直在研究如何防止我的应用程序受到 DDOS 攻击。有什么建议吗?

  1. 大多数 GCP 服务位于 Google 前端,它可以减轻和吸收许多第 4 层及以下的攻击,例如 SYN 泛洪、IP 碎片泛洪、端口耗尽等。我相信它是Cloud 运行 也是如此,但没有信息可以证实这一点。您可以启用 HTTP(S) 负载平衡或 SSL 代理负载平衡,因为它提供了这种机制。

  2. 关于流量增加导致的支付,最好的解决方法是设置API rate-limiting and Resource Quotas

  3. Google Cloud Armor

  4. 如果可能,您应该将内部流量与外部世界隔离。

对于Cloud 运行,您应该使用全球外部 HTTP(S) 负载平衡器(经典),它提供自动 multi-tier、multi-layer DoS 保护,进一步降低 “任何 DoS 影响” 的风险。此外,您可以使用 Cloud Armor 通过创建安全策略来控制对 Google Cloud Platform 资源的访问,并且 Cloud Armor 提供第 3 层和第 4 层 DoS 攻击保护第 7 层 DoS 攻击保护(自适应保护)更多功能(Managed Protection Plus) .

*详细地说,全球外部 HTTP(S) 负载均衡器(经典) 基于 Google 前端 (GFE) 提供 自动 multi-tier、multi-layer DoS 保护,进一步降低 任何 DoS 影响 的风险。

其实Google并没有明确提到哪一层DoS攻击全球外部HTTP(S)负载均衡器(经典)可以保护免受。 Google 只说 “任何 DoS 影响”。我猜 “任何 DoS 影响” 可能是第 3、4 和 7 层 DoS 攻击。

我提到了:

Choosing a load balancer

feedbackGoogle Infrastructure Security Design Overview

DDoS protection and mitigation on GCP

Google Cloud Armor