Pendaftaran Akaun Awan Google: Gunakan Google Cloud Armor untuk mempertahankan diri dengan mudah terhadap penafian perkhidmatan (DDoS)
Rakan-rakan yang bekerja sebagai stesen bebas, e-dagang rentas sempadan, atau aplikasi luar negara di luar pesisir, "dunia bawah Internet" yang paling ditakuti adalah milik
DDoS (Serangan Denial of Service Tersebar)
。
Serangan DDoS tradisional mungkin hanya mengisi lebar jalur pelayan anda dengan lalu lintas sampah yang besar. Tetapi hari ini, kaedah penggodam telah berkembang: mereka akan memanipulasi ribuan IP ayam pedaging luar negara yang sebenar, menyamar sebagai pengguna biasa, frekuensi tinggi dan gila untuk menyegarkan halaman yang paling mahal di laman web bebas anda (seperti Pencarian produk, halaman penyelesaian keranjang belanja). Ini menakutkan
Serangan CC (serangan lapisan aplikasi Layer 7)
。 Di bawah pengeboman serentak berjuta-juta tahap ini, firewall biasa tidak berguna, dan CPU pelayan belakang akan diisi dalam beberapa saat, menyebabkan kelumpuhan total.
Apa yang lebih menjijikkan ialah penggodam sering memilih untuk memulakan dengan tepat pada saat keemasan promosi "Black Five" atau iklan Facebook anda, dan kemudian meninggalkan alamat dompet Bitcoin untuk memeras anda. Pada masa ini, lumpuh selama satu minit lagi bermaksud bahawa kos iklan yang tidak terkira telah habis.
Dalam ekologi Google Cloud(GCP, Google Cloud), terdapat pintu pertahanan tinggi yang secara fizikal digunakan untuk mengatasi lalu lintas berbahaya ini, yang disebut
Google Cloud Armor
。
Keyakinan utamanya sangat tegar:
Secara langsung bergantung pada rangkaian tepi Global LB Google
。 Ini bermaksud bahawa berjuta-juta lalu lintas serangan penggodam serentak telah disekat dan dibersihkan di ruang komputer tepi Google di seluruh dunia sebelum mereka menyentuh kad rangkaian pelayan anda.
Hari ini kami menolak retorik rasmi dan tidak mengucapkan protokol rangkaian yang membosankan. Bermula dari pertempuran sebenar yang murni, kami akan membawa anda satu set sistem pertahanan Cloud Armor peringkat kilang besar, dan mengimpal satu set perisai badan yang kukuh untuk perniagaan laut anda.
Tahap pertama: pembongkaran mendalam, model dunia "pengurangan dimensi" Cloud Armor
Sebelum anda memulakan konsol, anda mesti membuat model operasi fizikal Cloud Armor yang mendasari dalam fikiran anda, jika tidak, sukar bagi anda untuk memahami mengapa ia dapat membawa bersamaan berjuta-juta tahap yang bahkan menyusahkan pengeluar utama.
Aliran data yang mendasari keseluruhan sistem pertahanan dapat diringkaskan sebagai dua lapisan lingkaran pertahanan:
Pusingan pertama: Pengimbangan Beban Global Google (pintu depan): Apabila pengguna global mengunjungi laman web anda, lalu lintas pertama kali memasuki Balancer Aplikasi Luaran Global Google. Pintu ini secara semula jadi mempunyai keupayaan kawalan banjir tanpa had Layer 3/4 (lapisan rangkaian/lapisan pengangkutan). Serangan penguat SYN Flood dan UDP tradisional dicerna secara langsung oleh rangkaian perkakasan Google yang mendasari di sini, dan anda tidak perlu membayar sesen pun.
Pusingan kedua: Strategi keselamatan Cloud Armor
Sedikit (cakera pembersih teras): Apabila lalu lintas kasar disekat oleh pintu, permintaan jahat lapisan aplikasi L7 (HTTP/HTTPS) yang menyamar seperti pengguna biasa masih akan masuk. Pada masa ini, Cloud Armor yang dipasang pada pengimbang beban secara rasmi membuka matanya. Ia akan mengembalikan permintaan sampah ke 403 di tempat dalam beberapa milisaat mengikut peraturan yang telah anda tulis atau model pembelajaran mesin yang dikembangkan sendiri oleh Google, dan hanya melepaskan lalu lintas pembeli sebenar ke mesin maya atau bekas belakang.
Tahap kedua: latihan praktikal-konfigurasi langsung kumpulan strategi teras Cloud Armor
Pastikan laman web atau aplikasi web anda sendiri telah disediakan di GCP
Load Balancer (Load Balancer)
Hujung belakang. Seterusnya, kami pergi ke bahagian depan untuk membina pintu pertahanan tinggi.
Log masuk
Konsol GCP
, Cari di menu navigasi bahagian kiri atas
"Keselamatan Rangkaian"-> "Cloud Armor"
。
Klik pada bahagian atas
"Buat polisi"
, Masukkan medan perang teras.
Langkah 1: Menetapkan garis besar strategi keselamatan
Nama: prod-anti-ddos-policy.
Jenis strategi: Pilih "Dasar keselamatan belakang".
Tindakan lalai: "Dibenarkan" mesti dipilih. Peraturan teknikal arkitek yang tidak diucapkan: Ini bermaksud "pelepasan lalai". Dengan kata lain, melainkan jika lalu lintas memenuhi peraturan senarai hitam yang kami tulis seterusnya, ia akan dianggap sebagai orang yang baik.
Langkah 2: Kimpalan kawat berduri pertama-seni mempertahankan diri dunia, hanya "had semasa" yang tidak putus (Rate Limited)
Kaedah fizikal yang paling berkesan untuk menangani serangan CC berjuta-juta halaman carian berus frekuensi tinggi ayam pedaging adalah
Had kadar
。
Klik "Tambah peraturan" di halaman dasar.
Jenis: Pilih "Had Kadar".
Keadaan yang sepadan: isi benar (ini bermaksud bahawa peraturan had semasa berlaku untuk semua aliran masuk di seluruh dunia).
Tetapan ambang had semasa (fokus): Bilangan permintaan: Masukkan 100. Selang: Pilih 1 minit. Kunci: Pilih "Menurut IP Pelanggan (IP Pelanggan)". Operasi selepas melebihi ambang: pilih "429(Too Many Requests)". Penjelasan popular mengenai logik yang mendasari: Peraturan ini diterjemahkan sebagai: "Mana-mana IP di dunia, jika anda berani mengirim lebih dari 100 permintaan HTTP ke pengimbang beban saya dalam satu minit, saya rasa dia bukan manusia biasa. Permintaan seterusnya Kembali terus ke 429 untuk melaporkan kesalahan dan menguncinya di luar pintu, jangan biarkan permintaannya masuk ke pelayan saya."
Langkah 3: Kimpalan wayar berduri kedua-satu kunci untuk menyekat risiko tinggi
Negara atau segmen IP berniat jahat
Kadang-kadang semasa promosi besar, anda akan mendapati bahawa semua aliran sampah yang melanda tembok itu berasal dari negara tertentu yang tidak ada kaitan dengan perniagaan anda (seperti kumpulan IP produk hitam tertentu).
Klik "Tambah Peraturan" sekali lagi dan pilih "Dasar Keselamatan" mengikut jenisnya.
Operasi: Pilih "Tolak (Deny)", pilih kod status 403.
Mod padanan: Pilih mod lanjutan dan masukkan fungsi lokasi geografi terbina dalam Google dalam ungkapan: Plaintextorgin. region_code = = 'CN' | | origin.region_code = = 'RU' (Catatan: Garis peraturan ini bermaksud bahawa jika pembeli utama anda berada di Eropah dan Amerika, anda boleh memilih untuk menyekat semua permintaan dari kawasan berisiko tinggi yang lain dengan satu klik.)
Keutamaan (Priority): Masukkan 900.
Orang dalam operasi dan penyelenggaraan pengeluar utama: Peraturan Cloud Armor adalah bahawa semakin kecil jumlahnya, semakin tinggi keutamaannya. Peraturan lalai adalah 2147483647 (pelaksanaan terakhir). Kami menetapkan keutamaan senarai hitam tertentu kepada 900 dan had semasa kepada 1000. Dengan cara ini, lalu lintas di kawasan berisiko tinggi akan menguap secara fizikal oleh rangkaian pemintas No. 900 sebelum memasuki inventori had semasa.
Langkah 4: Aktifkan peraturan Dachang Moat-White WAF (pertahanan terhadap suntikan SQL dan XSS)
Banyak penggodam akan cuba mengesan kerentanan di laman web anda dengan skrip automatik semasa melakukan DDoS pada anda. Cloud Armor mengintegrasikan penanda aras industri
Set Peraturan OWASP Top 10 WAF yang telah ditentukan
。
Klik Peraturan Tambah dan panggil terus kod rahsia yang dikemas oleh Google dalam ungkapan yang sepadan: PlaintextevaluatePreconfiguredExpr('sqli-v33-stable ') | | evaluatePreconfigured Experts ('xss-v33-stable')
Operasi: Pilih "Deny (403)".
Keutamaan: Tetapkan ke 800. Dengan baris kod ini, semua serangan skrip silang laman web (XSS) dan pengesanan suntikan SQL akan dipintas seketika di simpul tepi, dan anda bahkan tidak perlu menulis satu baris kod perlindungan.
Langkah 5: Gabungan-pasang strategi ke pengimbang beban anda
Setelah semua peraturan diselesaikan, klik Seterusnya. Di
"Aplikasi untuk target"
Di tab, klik Tambah Sasaran,
Pilih perkhidmatan belakang penyamaan beban HTTP luaran (S) dengan tepat yang anda buka pintu untuk menjemput pelanggan
。
Klik untuk mencipta. Lebih kurang 1 ~ Dalam 2 minit, satu set peraturan pertahanan tinggi yang lengkap akan diselaraskan dengan cepat ke semua nod PoP tepi Google di seluruh dunia.
Tahap ketiga: latihan di tempat sebenar-ujian "daging memukul dinding"
Untuk mengesahkan sama ada pertahanan itu benar-benar dilahirkan
Berkesan, kita tidak perlu mengupah penggodam, kita boleh menggunakan alat ujian tekanan secara tempatan (seperti
Ab
Atau
hai
) Untuk mensimulasikan serangan frekuensi tinggi.
Di terminal komputer tempatan anda, lancarkan gelombang caj penyumberan luar yang sengit pada nama domain laman web bebas anda (simulasi 200 permintaan dihantar secara berterusan dalam 1 saat):
Bash
Hey-n 200 -c 10 https://www.yourshop.com/
Masa untuk menyaksikan keajaiban
Apabila alat selesai, anda akan dapati bahawa dalam laporan hasil yang dikembalikan, 100 permintaan pertama dikembalikan dengan kemas
200 OK
(Ini bermaksud bahawa anda mendapat laman web sebagai pengguna biasa); dan
100 permintaan terakhir, semuanya, 100% dikembalikan 429 Too Many Requests atau 403 Forbidden
。
Pada masa ini, anda dapat melihat petunjuk pemantauan CPU pelayan stesen bebas belakang anda, yang stabil seperti gunung, tanpa keluk turun naik yang berlebihan. Kerana 100 permintaan sampah terakhir yang cukup untuk menjatuhkan pelayan anda telah ditembak mati tanpa ampun oleh Cloud Armor di pantai di pintu masuk Google.
Tahap keempat: sejarah seni bina pertahanan tinggi komersial
Setelah rancangan ini dikonfigurasi, penggodam biasa dan pencuri kecil akan mundur apabila mereka melihat anda menggantung Cloud Armor. Walau bagaimanapun, dalam persekitaran lalu lintas besar transnasional yang sebenar, arkitek operasi dan penyelenggaraan biasanya harus menyelesaikan dua lubang realistik berikut:
1. Secara tidak sengaja mencederakan paip air besar-berhati-hati untuk memperlakukan "gerbang pembayaran" dan "perayap terkenal" sebagai penggodam
Setelah mengaktifkan had semasa IP pelanggan global, anda akan segera menerima banyak kesalahan ghaib: Contohnya, panggilan balik pembayaran PayPal dan Stripe kadang-kadang gagal, atau perayap enjin carian rasmi Google tiba-tiba berhenti merangkak halaman produk anda.
Pembongkaran sebab: Kerana gerbang pembayaran dan perayap Google juga sering menghantar permintaan ke laman web anda. Di mata Cloud Armor, ciri-ciri "paip air besar" ini sangat mirip dengan ayam pedaging penggodam, dan mudah untuk mencetuskan sekatan semasa 429 dan menyebabkan status pesanan tidak dapat diselaraskan.
Pingat Emas Pengecualian Standard Arkitek: Di bahagian atas peraturan Cloud Armor (keutamaan ditetapkan ke 100 tertinggi), buat peraturan senarai putih. Gunakan ungkapan terbina dalam Google evaluatePreconfiguredExpress ('sourceip-search-engines') untuk melepaskan perayap rasmi seperti Google dan Bing dengan satu klik. Segmen rangkaian IP yang diumumkan secara rasmi oleh Stripe atau PayPal ditulis ke dalam senarai putih ini, dan mereka diberi hak istimewa tertinggi untuk "melihat pegawai dan tidak berlutut".
2. Penggodam canggih untuk memintas lubang besar-melindungi "IP stesen sumber belakang" anda
Ini adalah pelajaran darah dan air mata yang dibeli oleh pasukan luar negara yang tidak terhitung jumlahnya setelah membayar berjuta-juta yuran iklan. Bahagian depan anda dilengkapi dengan pengimbangan beban yang tidak terkalahkan
Dan Cloud Armor, tetapi jika mesin maya belakang anda (Compute Engine) secara tidak sengaja mengikat a
IP rangkaian awam luaran
, Dan tidak mematikan kemasukan rangkaian awam global 80/443.
Pukulan pengurangan dimensi berlaku: penggodam berpengalaman sama sekali tidak menyentuh nama domain anda. Mereka akan menggunakan alat pengimbasan IP global untuk mengesan secara langsung IP rangkaian awam sebenar pelayan belakang anda. Kemudian memintas pintu depan Google dan terus menghancurkan berjuta-juta lalu lintas ke IP sebenar pelayan anda. Cloud Armor anda tidak mempunyai peluang untuk menembak, dan hujung belakang akan lumpuh secara langsung.
Spesifikasi keselamatan tegar: Stesen sumber belakang mesti ditutup sepenuhnya. Keluarkan semua IP rangkaian awam rangkaian luaran mesin maya belakang dan biarkan ia berjalan di rangkaian dalaman semata-mata. Dalam peraturan firewall VPC, konfigurasinya adalah "hanya permintaan masuk dari segmen proksi depan pengimbang beban Google (seperti 130.211.0.0/22 dan 35.191.0.0/16) dibenarkan". Mengubah bahagian belakang menjadi monolitik sepenuhnya, memaksa semua lalu lintas di dunia untuk melewati penapis Cloud Armor dengan betul.
Ringkasan
Dengan menggunakan Google Cloud Armor untuk mempertahankan serangan berjuta-juta DDoS, inti pati industri terletak pada enam belas perkataan:
Pembersihan tepi, terutamanya had semasa, ciri tepat, stesen sumber disekat
。
Anda benar-benar menyingkirkan keadaan pasif yang perlu menghabiskan harga setinggi langit untuk membeli IP pertahanan tinggi pembersihan pihak ketiga, atau mengubah firewall pelayan secara fizikal. Hosting secara langsung tugas penting pertahanan tinggi dan pertempuran banjir ke had pertahanan fizikal rangkaian tulang belakang global Google. Tidak kira bagaimana penggodam bergolak di depan, stesen bebas dan perniagaan luar negara anda akan stabil seperti gunung di belakang, dan mereka akan menjadi sutera.
