1

我想知道云盔甲是如何工作的。当我创建“策略中的空规则”(允许所有流量)时,是否默认启用 DDoS 保护?还是 DDoS 保护只是 HTTP(s) 负载均衡器的一部分?

有我的笔记:

  • HTTP(s) 负载均衡器默认具有基本的 DDoS 保护,例如 SYN 洪水、IP 片段洪水、端口耗尽等...
  • Cloud Armor 仅通过“空策略”规范默认添加额外保护
  • 您可以在 Cloud Armor 中根据 IP 位置等进行额外过滤,以获得更好的保护
  • 在每种情况下,您都需要考虑 GCS 签名 url、WAF、VPC、IAM、内部网络等以获得最佳效果 - 最后还要制作安全的应用程序(第一次查看的验证码保护等)
  • 如果仍然不够,您可以使用合作伙伴解决方案

你能告诉我我哪里错了吗?关于如何在 GCP 中保护你的网络,你最好的建议是什么?谢谢。

4

1 回答 1

0

尽管 HTTP(S) 负载均衡器提供了您提到的一些 DDoS 缓解功能,但 DDoS 包含许多不同的攻击向量,因此没有“阻止所有 DDoS”的功能,而是为某些特定的常见攻击提供保护

当您启用 HTTP(S) 负载平衡或 SSL 代理负载平衡时,Google 基础架构可以缓解和吸收许多第 4 层及以下攻击,例如 SYN 泛洪、IP 片段泛洪、端口耗尽等。

考虑到 DDoS 攻击的多样性,Cloud Armor 旨在补充和扩展这种保护,并适应用户项目的特定需求。

关于设置“空策略”并获得额外保护层的具体方面:即使某些产品支持设置空策略(如 IAM),Cloud Armor API 参考似乎不接受它,所以这不似乎没有增加任何额外的保护。

不知道你从哪里得到的,但 Cloud Armor“添加额外的过滤 [...] 以提供更好的保护”部分似乎很重要:您需要根据需要配置策略以提高安全性。我认为这种混淆可能与Cloud Armor 与 HTTP(S) 负载均衡器紧密结合有关

最后是关于“如何保护您的网络的最佳建议”,听起来确实是基于意见的,可能需要一些具体的细节来改进它。但是,在这种情况下,我认为您可能会受益于关于 DDoS 的 GCP 论文,该论文有点过时(2016 年),但它包含您提到的所有产品,并且根据您的评论,可能是您正在寻找的.

于 2020-06-22T12:33:26.003 回答