GCP Google Cloud Agency: كيف يمكن لـ GoogleCloudArmor الدفاع ضد هجمات DDoS الضخمة
في دائرة الأمن السيبراني ، هناك سيف داموقليس معلق فوق جميع المحطات المستقلة والألعاب عبر الحدود ومصنعي SaaS-
DDoS (هجوم رفض الخدمة الموزع)
.
أصبح المتسللون الآن أقل فداءًا. في الماضي ، أصيب المتسللون بعشرات Gbps من حركة المرور وشلوا غرفة كمبيوتر صغيرة ؛ ولكن الآن ، تم إطلاقها باستخدام الروبوتات
هجوم فيضان HTTP L7 (طبقة التطبيق)
، يمكنك غسل مجموعة الخادم وقاعدة البيانات الخاصة بك على الفور بمئات الملايين من الطلبات (RPS) في كل مرة. الشيء الأكثر إثارة للاشمئزاز هو أنه لا يزال عليك دفع فواتير باهظة مقابل عرض النطاق الترددي وحركة المرور الناتجة عن هذه الهجمات الخبيثة.
اليوم ، نحن لا نقرأ الورقة البيضاء الصريحة للمصنعين ، ونفتح الغطاء مباشرة للدردشة حول أفضل "درع حماية وطني" من Google Cloud-
Google Cloud Armor
. انظر كيف تقف في طليعة الشبكة العالمية وتساعدك على قتل هجمات DDoS واسعة النطاق.
1. الهيكل الأساسي: لماذا لا يمكن ارتداء Cloud Armor على الإطلاق ؟
يقوم العديد من الإخوة ببناء غرف الكمبيوتر الخاصة بهم أو شراء خدمات الشركات المصنعة للسحابة الصغيرة ، وأكثر ما يخشاه هو أن النطاق الترددي المادي ممتلئ. يستخدم المتسللون حركة مرور 100G لضرب مخرج 10G الخاص بك. بغض النظر عن مدى قوة جدار الحماية خلفك ، عليك التوقف عن الطعام لأن "الطريق مغلق".
تجرأ Cloud Armor على الادعاء بأنه "درع مضاد للطلاء" ، وتأتي ثقله من رعب Google
حجم الشبكة العالمية
.
اسحب ساحة المعركة إلى "باب المنزل": لا يتم نشر Cloud Armor أمام جهازك الافتراضي (محرك الحوسبة) ، بل يتم لحمها مباشرة على Google Edge POP.
إنتاجية مذهلة: تحمل Google حركة بحث Google و YouTube و Gmail حول العالم كل يوم ، وإجمالي عرض النطاق الترددي لشبكتها العالمية يفوق الخيال. عندما يطلق المتسللون هجومًا فيضانًا على مستوى Tbps (L3/L4) (مثل SYN Flood أو هجوم الارتداد UDP) ، لا يحتاج Cloud Armor حتى إلى إثارة قلق محطة المصدر الخاصة بك ، ووضع هذه القمامة مباشرة على العقد الهامشية في جميع أنحاء العالم. يتم تنظيف حركة المرور على الفور وابتلاعها.
Old Bird العامية: اعتقد المتسللون أنهم استخدموا الآلاف من القوات. في الواقع ، لم يتم لمس حركة المرور الخاصة بهم حتى على شبكة الإنترنت الداخلية من Google ، وتم ابتلاعهم على حافة الشبكة العامة.
2. القوى العظمى الأساسية: حماية التعلم الآلي (الدفاع التكيفي)
جدار الحماية التقليدي (WAF) ضد DDoS جامد للغاية ، ويعتمد على التشغيل والصيانة لكتابة القواعد يدويًا. على سبيل المثال: "يتم سحب IP واحد باللون الأسود بعد أكثر من 50 طلبًا في الثانية."
لكن المتسللين الآن أذكياء للغاية ، فهم يسيطرون على مئات الآلاف من عناوين IP الفروج المنزلية النظيفة في جميع أنحاء العالم ، وكل IP يرسل طلبين فقط في الثانية. من منظور IP واحد ، فهو قانوني تمامًا ، لكن مئات الآلاف من عناوين IP مجتمعة ، أي مئات الآلاف في الثانية
عشرات الآلاف من هجمات الفيضانات HTTP. في هذا الوقت ، تكون القواعد التقليدية عمياء مباشرة.
من أجل حل نقطة الألم هذه ، ضحى Cloud Armor بالقتل-
الحماية التكيفية
:
كما هو موضح في الصورة أعلاه ، فإن عملية الدفاع الخاصة بها ذكية مثل جندي خاص:
إنشاء خط الأساس: طالما قمت بتشغيل هذه الوظيفة ، سيراقب نموذج الذكاء الاصطناعي من Google بصمت شكل الوصول العادي لتطبيقك كل يوم (على سبيل المثال: عناوين URL التي يحب المستخدمون عادةً الوصول إليها وما هي خصائص رأس الطلب).
الكشف عن التغييرات على مستوى المللي ثانية: عندما يهاجم جيش القراصنة ، ستجد منظمة العفو الدولية على الفور أن حركة المرور ترتفع بشكل غير طبيعي ، وتشريح حركة الهجوم بوضوح في غضون ثوانٍ قليلة.
إنشاء قاعدة "ضربة خفض الأبعاد" تلقائيًا: ستنشئ منظمة العفو الدولية تلقائيًا صفًا معقدًا من قواعد CEL (لغة التعبير العامة) ، مثل: "طالما أن الطلب يحتوي على بصمة متصفح JA3/JA4 محددة ، ومسار الوصول يحتوي على ميزة معينة ، يتم اعتراضها جميعًا". سوف ينثر هذه القاعدة مباشرة إلى التشغيل والصيانة. تحتاج فقط إلى تأكيد بنقرة واحدة (حتى يمكن استخدامها كتطبيق تلقائي). ستدخل العقدة العالمية حيز التنفيذ في غضون دقيقة واحدة ، وسيتم قطع المتسللين بدقة ، ولن يتأثر المستخدمون الحقيقيون على الإطلاق.
3. الدفاع القتالي الفعلي: كيف يمكن تكوين Cloud Armor "للدفاع عن العدو خارج البلاد" ؟
في بيئة الإنتاج الفعلية ، لا يكفي الافتتاح الأعمى ، وعادة ما تتبع الطيور القديمة Cloud Armor
ثلاثة خطوط دفاع
لتكوين:
خط الدفاع الأول: طبقة الشبكة مع اعتراض الموقع الجغرافي (IP & Geo Blocking)
السياج الجغرافي: إذا كانت أعمال SaaS الخاصة بك هي أوروبا والولايات المتحدة فقط ، فأضف بشكل حاسم قاعدة ذات أولوية قصوى إلى Cloud Armor: باستثناء بلدان معينة في أوروبا والولايات المتحدة ، سيتم رفض حركة المرور في مناطق أخرى (Deny). باختصار ، دع المتسللين مباشرة من المناطق غير التجارية ليس لديهم حتى فرصة للمصافحة.
التخويف وإغراء Threat Intel: ربط قاعدة بيانات Google Threat Intelligence الرسمية (Google Threat Intelligence) لمنع منافذ Tor المجهولة المعروفة عالميًا ، والزواحف الخبيثة ، وعناوين IP الوكيل الملوثة بنقرة واحدة.
خط الدفاع الثاني: الحد الدقيق (الحد الأقصى)
لا تفعل فقط "حظر" صارم ، ولكن تعلم كيفية استخدامه
الحد من التدفق
.
في قاعدة Cloud Armor ، يمكنك تعيين: لصفحات حساسة محددة (على سبيل المثال)
/Login
أو
/Register
، IP عميل واحد يسمح من خلال 20 طلبا في 1 دقيقة. بمجرد تجاوزه ، لا تعود مباشرة إلى 403 ، ولكن إلقاء طلب المتابعة
”Rate Limit Exceeded Action“
، إجبارهم على ملء رمز التحقق من reCAPTCHA ، أو مباشرة
إعادة التوجيه إلى صفحة ويب ثابتة "قائمة الانتظار". هذا يمكن أن يستهلك بشكل كبير موارد الفروج للقراصنة.
خط الدفاع الثالث: قواعد WAF التي تم تكوينها مسبقًا (منع ثغرات التطبيق)
غالبًا ما يصاحب DDoS اكتشاف نقاط الضعف في طبقة التطبيق. هناك مجموعة كاملة مدمجة في Cloud Armor
OWASP Top 10 قواعد التكوين المسبق
(يدعم أحدث معيار CRS 4.22) ، والذي يغطي حقن SQL (SQLi) ، والبرمجة النصية عبر المحطات (XSS) وتنفيذ التعليمات البرمجية عن بُعد (RCE).
تم تعيين هذه القواعد على أنها "وضع المعاينة" لعدة أيام ، وبعد التأكد من عدم قتل الناس عن طريق الخطأ ، تم تقطيعها بشكل حاسم إلى "وضع الرفض" ، وتم ملء عامل الأمان في الموقع مباشرة.
4. "حساب المال المنقذ للحياة" للطيور القديمة
أخيرًا ، يجب عليك حساب حساب مع الإدارة أو المهندس المعماري:
هل Cloud Armor باهظ الثمن ؟
يتم احتساب Cloud Armor العادي حسب عدد القواعد والطلبات. ولكن إذا كنت تواجه أعمالًا واسعة النطاق (مثل الألعاب والتجارة الإلكترونية) تواجه الجمهور حقًا ويمكن استهدافها بسهولة ، فمن المستحسن بشدة الاشتراك
Cloud Armor Enterprise (حماية الاستضافة على مستوى المؤسسة)
.
على الرغم من أنه يحتوي على حزمة رسوم شهرية ثابتة ، إلا أنه يحتوي على "DDoS Bill Protection":
إذا واجه موقع الويب الخاص بك هجومًا واسع النطاق على مستوى Tbps على مستوى DDoS ، فإن Cloud Armor ستساعدك على تحمل الهجوم ، أثناء هجوم Cloud Armor ، فإن مئات من رسوم التدفق المرعبة للغاية على مستوى T ورسوم الطلب التي تنتجها العقد الهامشية العالمية ، ستتنازل Google/تعوضك بالكامل.
هذا يعادل شراء "تأمين تجاري غير قابل للخصم" لأصول التكنولوجيا الخاصة بك. الروتين الذي يريد المتسللون إجبارك على تقديم تنازلات عن طريق تفجير فاتورتك أصبح مزحة تمامًا في مواجهة ضربة خفض الأبعاد من Google.
ملخص
للتعامل مع هجمات DDoS ، لم يعتمد أبدًا على تكوين الخادم ، ولكن عن طريق القتال
من لديه هيكل كبير ودرع ذكي
.
ارتدي "الدروع الواقية للبدن من الطراز العالمي" من Google لحماية Search و YouTube خارج توازن التحميل (LB). دع Cloud Armor يحجب الرياح والأمطار والخبيثة على حافة العالم ، حتى تتمكن الأعمال الخلفية من الاستلقاء بأمان وكسب المال.