我将 Google Cloud Platform 负载平衡器作为 CDN 和运行服务的入口点。
据我所知,即使没有自定义 Cloud Armor 规则设置,GCP 负载均衡器也能提供开箱即用的 DDoS 保护。
它是否还包括对正在抓取信息或发送垃圾邮件的“坏机器人”的一些保护?
如果没有,我们有什么办法可以使用 Cloud Armor 设置一些规则来保护 GCP 服务免受此类机器人的攻击?
问问题
472 次
1 回答
1
由于您的问题非常广泛且不是很精确,我将仅指出 Cloud Armor 的一些主要功能和优势,并为您指出一些有用的文档,这些文档将帮助您了解如何使用配置和使用它。
Cloud Armor的主要特点是:
- 受益于 Google 规模的 DDoS 保护和 WAF
- 检测并缓解针对您的 Cloud Load Balancing 工作负载的攻击
- 自适应保护(预览版)基于机器学习的机制,有助于检测和阻止第 7 层 DDoS 攻击
- 降低 OWASP 十大风险并帮助保护本地或云中的工作负载
WAF是一组web application firewall规则,您可以配置这些规则来保护您的资源。规则是用 CEL 语言编写的,因此请查看此文档以帮助您了解它们的工作原理。
帮助您保护您的 Google Cloud 应用程序、网站和服务免受 L7 分布式拒绝服务 (DDoS) 攻击,例如 HTTP 洪水和其他高频第 7 层(应用程序级)恶意活动。自适应保护构建了执行以下操作的机器学习模型:
- 检测异常活动并发出警报
- 生成描述潜在攻击的签名
- 生成自定义 Google Cloud Armor WAF 规则以阻止签名
最后但同样重要的是 -什么是 OWASP?
OWASP 代表开放 Web 应用程序安全项目,这是一个在线社区,在 Web 应用程序安全领域产生文章、方法、文档、工具和技术。
2021 年排名前 10 位的 OWASP 漏洞是:
- 注射
- 身份验证损坏
- 敏感数据暴露
- XML 外部实体 (XXE)
- 访问控制损坏
- 安全配置错误
- 跨站脚本 (XSS)
- 不安全的反序列化
- 使用具有已知漏洞的组件
- 记录和监控不足
将这些结合在一起 Cloud Armor 为您提供了广泛的工具来保护您的基础架构免受您能想到的任何事情的影响 - 前提是您可以理解 WAF 规则并掌握编写它们的技能。
您也可以尝试使用与 Cloud Armor 集成的 Recaptcha Enterprise 来挑战所有自动化请求;
通过与 reCAPTCHA Enterprise 的原生集成,Google Cloud Armor 可以有效管理自动化客户对您的后端的请求。reCAPTCHA Enterprise 使用先进的风险分析技术来区分人类用户和自动化客户端。通过集成,reCAPTCHA Enterprise 会发布一个加密令牌,其中包含 reCAPTCHA Enterprise 评估和与请求相关的风险的相关属性。Google Cloud Armor 无需额外请求/响应 reCAPTCHA Enterprise 服务器即可破译此令牌。根据令牌属性,Google Cloud Armor 允许您允许、阻止或重定向传入请求。
您可以将请求重定向到 reCAPTCHA Enterprise 以评估用户并在必要时提供手动质询,而无需任何额外的 reCAPTCHA Enterprise 实施。当人类用户与机器人或滥用系统共享相同的签名(例如 URL 路径或其他 L7 签名)时,此操作为他们提供了一种方式来证明他们是人类并获得访问权限,而不是被阻止。只有通过评估的用户才能获得豁免 cookie 并访问您的服务。
于 2021-08-04T09:47:11.450 回答