Agensi awan Google GCP: Bagaimana Google CloudArmor mempertahankan diri daripada serangan DDoS besar-besaran
Dalam lingkaran keselamatan rangkaian, ada pedang Damocles yang tergantung di atas kepala semua stesen bebas, permainan rentas sempadan dan pengeluar SaaS --
DDoS (Serangan Penolakan Perkhidmatan Teragih)
。
Pada masa kini, penggodam menjadi semakin kurang. Pada masa lalu, penggodam dapat melumpuhkan ruang komputer kecil dengan puluhan lalu lintas Gbps; sekarang, menggunakan botnet untuk memulakan
Serangan banjir HTTP L7 (lapisan aplikasi)
, Ratusan juta permintaan sesaat (RPS) dapat dengan serta-merta membuang kluster pelayan dan pangkalan data anda tanpa sampah. Perkara yang paling menjijikkan ialah anda harus membayar bil setinggi langit untuk lebar jalur dan lalu lintas yang dihasilkan oleh serangan jahat ini.
Hari ini, kita tidak membaca kertas putih pengeluar yang kaku, dan secara langsung membuka tudung untuk membincangkan mengenai "Shield of the Country" teratas Google Cloud --
Google Cloud Armor
。 Lihat bagaimana ia berada di barisan hadapan rangkaian global dan membantu anda membunuh serangan DDoS berskala besar.
1. Casis teras: Mengapa Cloud Armor "tidak dapat menembusi" sama sekali?
Ramai saudara membina bilik komputer mereka sendiri atau membeli perkhidmatan vendor awan kecil. Perkara yang paling ditakuti ialah lebar jalur fizikal penuh. Peretas menggunakan lalu lintas 100G untuk memukul jalan keluar 10G anda, dan tidak kira betapa hebatnya firewall di belakang anda, anda harus berhenti kerana "jalan raya disekat."
Dan Cloud Armor berani mengaku sebagai "perisai badan", keyakinannya berasal dari keganasan Google
Jumlah rangkaian global
。
Tarik medan perang ke "pintu rumah": Cloud Armor tidak digunakan di hadapan Mesin Maya anda (Enjin Komputer), ia dikimpal secara langsung ke Google Edge POP.
Hasil yang luar biasa: Google membawa carian Google global, YouTube dan lalu lintas Gmail setiap hari, dan jumlah lebar jalur rangkaian globalnya tidak dapat dibayangkan. Apabila penggodam melancarkan serangan banjir lapisan rangkaian tahap Tbps (L3/L4) (seperti serangan SYN Flood atau UDP rebound), Cloud Armor bahkan tidak perlu mengganggu stesen sumber anda dan secara langsung membuang lalu lintas sampah ini di simpul tepi di seluruh dunia. Bersihkan dan telan di tempat.
Vernakular burung tua: Penggodam menyangka mereka telah menggunakan ribuan pasukan, tetapi sebenarnya lalu lintas mereka bahkan tidak menyentuh sisi intranet Google, dan mereka ditelan tanpa jejak di pinggir rangkaian awam.
2. Kuasa super teras: Pertahanan Adaptive (Pertahanan Adaptive Pembelajaran Mesin)
Firewall tradisional (WAF) anti-DDoS sangat kaku, bergantung pada operasi dan penyelenggaraan untuk menulis peraturan secara manual. Contohnya: "Satu IP akan disekat lebih daripada 50 permintaan sesaat."
Tetapi sekarang penggodam sangat pintar. Mereka mengawal ratusan ribu IP ayam pedaging isi rumah bersih di seluruh dunia, dan setiap IP hanya menghantar dua permintaan sesaat. Sepenuhnya sah dari satu IP, tetapi apabila beratus-ratus ribu IP digabungkan, ia beratus-ratus
Sepuluh ribu serangan banjir HTTP. Pada masa ini, peraturan tradisional secara langsung menangkap buta.
Untuk menyelesaikan masalah kesakitan ini, Cloud Armor menawarkan ciri pembunuh --
Perlindungan Adaptive (Perlindungan Adaptive)
:
Seperti yang ditunjukkan dalam gambar di atas, proses pertahanannya sangat pintar seperti pasukan khas:
Bina asas: Selagi anda mengaktifkan fungsi ini, model AI Google akan diam-diam memerhatikan seperti apa akses normal aplikasi anda setiap hari (contohnya: URL mana yang biasanya pengguna suka mengakses dan apakah ciri-ciri tajuk permintaan).
Pengesanan perubahan milisaat: Ketika tentera penggodam menyerang, AI akan segera mengetahui bahawa lalu lintas melambung tinggi, dan lalu lintas serangan akan dibedah dengan jelas dalam beberapa saat.
Secara automatik menghasilkan peraturan "pengurangan dimensi": AI secara automatik akan menghasilkan peraturan CEL (bahasa ekspresi umum) yang kompleks, seperti: "Selagi permintaan itu mengandungi cap jari penyemak imbas JA3/JA4 tertentu, dan jalan akses mengandungi yang tertentu Ciri-ciri akan dipintas." Ini akan melancarkan peraturan ini secara langsung untuk operasi dan penyelenggaraan. Anda hanya perlu mengesahkan dengan satu klik (atau bahkan dapat dilengkapi dengan aplikasi automatik). Node global akan berlaku secara serentak dalam satu minit, memotong penggodam dengan tepat, dan pengguna sebenarnya tidak akan terpengaruh sama sekali.
3. Pertahanan pertempuran sebenar: Bagaimana Cloud Armor dapat dikonfigurasi untuk "mempertahankan musuh di luar negara"?
Dalam persekitaran pengeluaran yang sebenarnya, pembukaan buta tidak mencukupi. Veteran biasanya menggunakan Cloud Armor mengikut
Tiga barisan pertahanan
Untuk mengkonfigurasi:
Garis pertahanan pertama: lapisan rangkaian dan pemintas geografi (IP & Geo Blocking)
Geopfence: Sekiranya perniagaan SaaS luar negara anda hanya di Eropah dan Amerika Syarikat, tambahkan peraturan keutamaan tertinggi ke Cloud Armor: Kecuali untuk negara-negara Eropah dan Amerika tertentu, semua lalu lintas di wilayah lain ditolak (Deny). Dengan kata lain, penggodam dari kawasan bukan perniagaan bahkan tidak berpeluang berjabat tangan.
Memaksa dan memikat Threat Intel: Mengikat pangkalan data rasmi Google Threat Intelligence (Google Threat Intelligence), secara langsung menyekat eksport rangkaian tanpa nama Tor yang diketahui di dunia, perayap berbahaya dan IP ejen yang tercemar dengan satu klik.
Garis pertahanan kedua: Rate Limited
Jangan hanya melakukan "larangan" yang tumpul, belajar menggunakannya
Had semasa
。
Dalam peraturan Cloud Armor, anda boleh menetapkan: untuk halaman sensitif tertentu (seperti
/Log masuk
Atau
/Register
), IP pelanggan tunggal membenarkan 20 permintaan dalam 1 minit. Setelah melebihi, jangan langsung mengembalikan 403, tetapi masukkan permintaan susulan
"Rate Limit Exceeded Action"
, Memaksa mereka mengisi kod pengesahan reCAPTCHA, atau secara langsung
Ubah arah ke laman web "beratur" statik. Ini boleh memakan sumber ayam pedaging penggodam.
Garis pertahanan ketiga: peraturan WAF pra-konfigurasi (kerentanan anti-aplikasi)
DDoS sering disertai dengan pengesanan kerentanan lapisan aplikasi. Cloud Armor mempunyai set lengkap terbina dalam
Peraturan Pra-Konfigurasi OWASP Top 10
(Menyokong standard CRS 4.22 terkini), merangkumi suntikan SQL (SQLi), skrip rentas laman web (XSS) dan pelbagai pelaksanaan kod jauh (RCE).
Tetapkan peraturan ini ke "Mod Pratonton" dan jalankan selama beberapa hari. Setelah mengesahkan bahawa tidak ada pembunuhan orang biasa, potong dengan tegas menjadi "Mod Penolakan", dan faktor keselamatan laman web langsung penuh.
4. "Akaun wang menyelamatkan nyawa" veteran operasi dan penyelenggaraan
Akhirnya, anda mesti mengira akaun dengan pihak pengurusan atau arkitek:
Adakah Cloud Armor mahal?
Cloud Armor biasa ditagih mengikut bilangan peraturan dan permintaan. Tetapi jika anda menghadapi perniagaan luar negara berskala besar (seperti permainan, e-dagang) yang benar-benar berorientasi kepada orang ramai dan sangat mudah disasarkan, sangat disarankan untuk melanggan
Cloud Armor Enterprise (Perlindungan hosting peringkat perusahaan)
。
Walaupun ia mempunyai pakej yuran bulanan tetap, ia mengandungi "Perlindungan DDoS Bill" yang penting:
Sekiranya laman web anda mengalami serangan DDoS berskala besar Tbps yang gila, Cloud Armor akan membantu anda melakukan serangan itu, dan jenis caj lalu lintas dan permintaan yang sangat menakutkan yang dihasilkan oleh nod tepi global., Google akan mengecualikan/memberi pampasan kepada anda sepenuhnya.
Ini sama dengan membeli "insurans komersial yang tidak boleh ditolak" untuk aset teknikal anda. Rutin penggodam yang ingin memaksa anda untuk berkompromi dengan memaksimumkan bil anda telah menjadi lelucon dalam menghadapi serangan pengurangan dimensi Google.
Ringkasan
Untuk menangani serangan DDoS, tidak pernah bergantung pada konfigurasi pelayan ejaan, tetapi pada ejaan
Yang mempunyai casis besar dan perisai pintar
。
Pakai carian Google sendiri dan "perisai badan bertaraf dunia" YouTube di luar Load Balancing (LB) anda. Biarkan Cloud Armor menyekat angin dan hujan dan niat jahat di pinggir dunia, dan perniagaan belakang dapat berbaring dan menjana wang dengan selamat.
