グーグル・クラウドアカウント登録: グーグル・クラウド・モデルを利用して、百万レベルの配布拒否サービス (DDoS) を簡単に防御する
外海で独立した駅、国境を越えた電気商、あるいは海に出たAppの友人は、最も怖い「ネット黒社会」は属していない
DDoS(分散型サービス拒否攻撃)
。
従来のDDoS攻撃は、大量のスパムトラフィックでサーバの帯域幅を乱暴に詰め込むだけかもしれない。しかし、今日では、ハッカーの手段はすでに進化している。彼らは何千もの海外の本物の肉鶏IPを操作し、正常なユーザーに偽装する高周波、狂ったように、あなたの独立した駅で最も計算力のあるページ (商品検索、ショッピングカート決済ページなど) を更新します。これは恐ろしいことです
CC攻撃 (Layer 7アプリケーション層攻撃)
。このような百万級の同時の分散爆撃の下で、普通のファイアウォールの形は似ていて、バックエンドのサーバーのCPUは数秒以内に瞬間的にいっぱいになります。
さらに吐き気がするのは、ハッカーは多くの場合、あなたの「黒五」の大促進やFacebook広告の爆発的な金の時刻に正確に手を打って、ビットコインの財布の住所を残してあなたを脅迫する。この時、1分以上麻痺すると、無数の広告費が無駄に焼かれることを意味する。
Google Cloud(GCP、Googleクラウド) の生態には、これらの悪意のあるトラフィックを物理的に超過させるための高い防御ゲートがある
グーグル・クラウドアーマー
。
その核心的な底気は非常に硬いです。
Googleグローバル負荷分散 (Global LB) のエッジネットワークに直接依存しています
。これは、何百万人ものハッカー攻撃のトラフィックが、あなたのサーバーのネットワークカードに触れる前に、グーグルが世界中に広がっているエッジルームでブロックされ、きれいに洗浄されていることを意味します。
今日、私たちは公式な説教の決まり文句を拒否し、退屈なインターネット契約を背負っていない。純粋な実戦から出発して、ハンドルはあなたに大工場レベルのCloudひとりきりの防御システムを持って、あなたの海に出る業務に金湯の防弾チョッキを溶接します。
第一段階: 深さ分解、Cloudひとみrの「次元ダウン打撃」世界モデル
コンソールを手に入れる前に、頭の中でCloud 648 rの基礎となる物理的な運行モデルを構築しなければならない。そうでなければ、なぜ大手工場まで頭が痛い百万級の合併を担えるのか理解できない。
防御システム全体の基礎となるデータフローは、2層の防御圏にまとめることができる
第一回: googleグローバル負荷分散 (フロントエンド): グローバルユーザーがあなたのサイトにアクセスしたときトラフィックが最初に入ったのはグーグルのグローバル外部アプリケーション負荷分散器です。この玄関は当然、Layer 3/4 (ネットワーク層/トランスポート層) の無上限洪水防止能力を備えている。伝統的なSYN Flood、UDP拡大攻撃は、ここで直接グーグルの基盤となるハードウェアネットワークによって直接消化され、お金を払う必要はない。
第2ラウンド: Cloudひとかたまりセキュリティ対策
略 (コア洗浄盤): 乱暴なトラフィックがドアに遮られた後、正常なユーザーのように偽装されたL7アプリケーション層 (HTTP/HTTPS) の悪意のある要求は依然として中に入っている。この時点で、ロードバランサにマウントされたCloudひとまずが正式に天眼を開きます。あなたが書いたルールやグーグルの自己研究の機械学習モデルに基づいて、数ミリ秒以内にゴミ要求をその場で403に戻して拒否します本当の購入者のトラフィックだけをバックエンドの仮想マシンまたはコンテナに入れます。
第二段階: 実戦演習 ― 手でCloudひとみrコア戦略群を配置する
独立したステーションまたはWebアプリケーションがGCPに設置されていることを確認してください
外部アプリケーション負荷分散装置
バックエンド。次に、最先端に高防大門を建設します。
ログイン
GCPコンソール
、左上隅のナビゲーションメニューから探す
「ネットワークセキュリティ」-> 「Cloudソルバー」
。
上部をクリックしてください
「ポリシーの作成」
コア戦場に入ります。
ステップ1: セキュリティポリシーの概要を確立する
名前: 名前prod-anti-ddos-policy。
ポリシータイプ: 「バックエンドセキュリティポリシー」を選択します。
デフォルトアクション: 「許可」を選択する必要があります。設計者の技術潜在ルール: これは「デフォルトのリリース」を表します。つまり、私たちが次に書いたブラックリストのルールにトラフィックがぶつかっていない限り、すべていい人が解放されたと見なされます。
ステップ2: 最初の金網 ― 天下武功を溶接死させ、唯一の「限流」は破らない
百万級肉鶏の高周波ブラシ検索ページのCC攻撃に対処する最も効果的な物理的手段は
レート制限
。
ポリシーページで「ルールを追加」をクリックします。
タイプ: 「レート制限」を選択します。
マッチ条件: trueを入力します。
制限しきい値設定 (ポイント): リクエスト数: 100を入力します。区間: 1分を選択します。キー: 「クライアントIPに基づいて」を選択します。しきい値を超えた後の操作: 「429」を選択します。基礎的な論理的通俗的な説明: このルールは「天下のどのIPも、1分以内に私のロードバランサに100回以上のHTTP要求を送信する勇気があれば私は彼が普通の人間ではないと思って、次の要求は直接429エラーに戻って、彼をドアの外に閉じ込めて、彼の要求を私のサーバーに入れない。」と言いました
ステップ3: 第二の鉄線網を溶接します。
国または悪意のあるIPセグメント
大促期には、狂った壁にぶつかったごみの流量はすべて、あなたの業務と無関係な特定の国 (例えば、ある特定の黒産IPクラスタ) から来ていることがわかります。
もう一度「ルールを追加」をクリックし、タイプは「セキュリティポリシー」を選択します。
操作: 「拒否 (Deny) 」を選択し、ステータスコードは403を選択します。
マッチングモード: 詳細モードを選択し、googleに内蔵されている地理的位置関数を式に入力しますこのルールは、もしあなたのコア購入者が欧米にいるなら、他のリスクの高い地域からのすべての要求を物理的に遮断することができることを表しています。) を参照してください
優先度 (Priority): 900と入力します。
大工場運送の内幕:Cloudひとみrのルールは数字が小さいほど優先度が高い。デフォルトルールは2147483647 (最後に実行) です。特定のブラックリストの優先度を900、制限を1000と設定します。このように、ハイリスク地区の流量は制限流盤に入る前に、900番ブロック網に直接物理的な人間が蒸発する。
ステップ4: 大工場の堀を活性化する -- 白売春WAFルール (SQL注入とXSSを防御する)
多くのハッカーはあなたをDDoSすると同時に、自動スクリプトであなたのサイトの脆弱性を探知しようとしています。Cloud wallr内部には業界のベンチマークレベルが統合されています
OWASP Top 10事前定義WAFルールセット
。
「ルールを追加」をクリックして、マッチ式でgoogleカプセル化された暗号を直接呼び出します。plaintextevalue a preconfiguredexpr ('sqli-v33-stable ') | 07atepreconfiguredexpr ('xss-v33-stable')
操作: 「Deny (403) 」を選択します。
優先度: 800に設定します。この行のコードがあれば、すべてのクロスサイトスクリプティング攻撃 (XSS) とSQL注入プローブは、エッジノードで瞬時に傍受され、保護コードを書く必要はありません。
ステップ5:合体 -- ポリシーをロードバランサにマウントします
ルールがすべて完成したら、「次へ」をクリックします。において
「ターゲットを適用」
タブで、「ターゲットの追加」をクリックします
あなたがドアを開けて接客している外部HTTP(S) ロードバランサのバックエンドサービスを正確に選択します
。
作成をクリックします。約1 ~ 2分で、すべての高防御ルールがグーグルの世界のすべてのエッジPoPノードに稲妻のように同期する。
第三段階: 実際の現場演習 -- 「肉体が壁にぶつかった」テスト
防御が本当かどうかを検証するために
効果的です。ハッカーを雇う必要はありません。地元でストレステストツールを使うことができます (例:
エービー
または
Hey
) を使って高周波攻撃をシミュレートします。
あなたのローカルコンピュータ端末で、あなたの独立したサイトドメイン名に対して激しい発注突撃を開始します (1秒以内に200件の要求を連続して送信することをシミュレートします)
バッシュ
Hai-n200-c10 https://www.yourshop.com /
奇跡を目撃する時
道具が走ると、戻ってきた結果レポートに、最初の100件の要求がきちんと戻ってきたことがわかります
200 OK
(あなたが正常なユーザーとしてwebページを手に入れたことを表します) そして
後の100件の要求は、すべての色で、100% が429 Too Many Requestsまたは403 forbibufに返された
。
この時、バックエンドの独立したステーションサーバのCPU監視指標を見てみましょう。泰山のように安定していて、余分な波動曲線もありません。あなたのサーバーを台無しにするのに十分な後100個のゴミ要求が、グーグルのエッジゲートウェイでは、Cloudひとまずが容赦なくビーチで殺された。
第四段階: 商業級高防構造のピット血涙歴
この案は配置が終わって、普通のハッカーと泥棒はあなたがCloudひとみrを掛けているのを見て、基本的に困難を知って退却します。しかし、真の多国籍大流量環境では、運送設計者は通常、次の二つの現実的な大きな穴を順調に解決しなければならない
1.大きな水道管を誤って傷つけた ―― 「支払いゲートウェイ」と「有名な爬虫類」をハッカーにすることを警戒する
世界的なクライアントのIP制限をオンにすると、すぐに、PayPal、Stripeの支払いコールバックが時々失敗しgoogle公式の検索エンジン爬虫類が突然あなたの商品ページをつかむことができなくなった。
原因の解体: 支払いゲートウェイとグーグル爬虫類もあなたのサイトに請求しているからです。Cloud Armorの目には、これらの「大きな水道管」の特徴はハッカーの肉鶏と非常に似ており、429限流ミスを起こしやすく、注文状態が同期できない。
設計者の基準で金メダルを免除する: Cloud凍るルールの一番上 (優先度が最も高い100) に、ホワイトリストのルールを作成する。Googleに内蔵された式なくなりを利用して、Google、Bingなどの公式コンプライアンス爬虫類をワンクリックでリリースします。ストライペやPayPalが公式に発表したIPネットワークセグメントを、このホワイトリストに死死させ、「官吏がひざまずいていない」という最高の特権を与えた。
2.高度なハッカーの究極の大きな穴を迂回する -- あなたの「バックエンドソースIP」を保護する
これは無数の海外チームが何百万もの広告費を払って買ってきた血涙の教訓である。あなたのフロントには無敵のロードバランスがついています
とCloud background rですが、バックエンド仮想マシン (Compute Engine) が誤ってバインドされている場合は
エクストラネットパブリックIP
、80/443のグローバルパブリックネットワークをオフにしていません。
次元を下げる打撃が発生した: ベテランのハッカーはあなたのドメイン名に触れない。彼らはグローバルIPスキャンツールを利用して、あなたのバックエンドサーバの実際のパブリックネットワークIPを直接検出します。グーグルのフロントドアを迂回して、百万級のトラフィックをあなたのサーバーの本当のIPに直接台無しにします。あなたのCloud Armorは撃つ機会もなく、バックエンドはその場で麻痺します。
ハードコア安全規範: バックエンドのソースステーションは完全に閉鎖しなければならない。バックエンド仮想マシンのすべてのエクストラネットパブリックIPを削除し、イントラネットのみで動作させます。VPCファイアウォールのルールでは、「google負荷分散器の最前線エージェントセグメント (例えば130.2 11.0.0/22と35.191.0.0/16) からのインバウンド要求のみ許可する」ように構成されている。後方を完全に鉄板にして、天下のすべての流量を規則的にCloudソルゲートからふるいをかけなければならない。
まとめ
Google Cloudひとみrを利用して百万級のDDoS攻撃を防御して、核心の工業級の精髄は16文字にあります。
エッジ洗浄、制限流が主で、特徴が正確で、ソースステーションが閉鎖されている
。
あなたは過去に天価で第三者を買って高防IPを洗浄したり、肉体でサーバファイアウォールを変えたりする受動的な殴られた状態から完全に抜け出した。高防と洪水防止の重任を直接googleグローバルバックボーンの物理防御上限に委託する。前はハッカーがどんなに荒れても、あなたの独立駅と海に出る業務は後ろで泰山のように安定しています。