Điểm:0

Server

Cách tốt nhất để kích hoạt tính năng bảo vệ DDoS trên nhiều phiên bản tính toán GCP riêng lẻ mà không cần cân bằng tải?

Alexander Guyer

04:22, 18/05/2023

Tôi đã lùng sục qua Tài liệu Google Cloud Armor để biết thông tin về bảo vệ DDoS của phiên bản máy ảo điện toán GCP. Từ những gì tôi đã tìm thấy, Bảo vệ được quản lý của Google Cloud Armor cung cấp khả năng bảo vệ DDoS truyền thống (có thể là lớp 3 và lớp 4) và nó phải được gắn vào bộ cân bằng tải. Ngoài ra, Bảo vệ thích ứng Google Cloud Armor cung cấp khả năng bảo vệ lớp 7 thông qua phát hiện sự bất thường dựa trên máy học trong lưu lượng mạng và nó phải được áp dụng thông qua một Chính sách bảo mật của Google Cloud Armor đến lượt nó phải được gắn vào bộ cân bằng tải.

Tuy nhiên, các bộ cân bằng tải được liên kết với một nhóm phiên bản thay vì một phiên bản VM duy nhất và chúng dành cho các phiên bản tự động thay đổi quy mô (ví dụ: dựa trên một mẫu phiên bản), thay vì cho một phiên bản VM duy nhất. Tôi đang chạy một số ứng dụng máy chủ có trạng thái độc lập (mỗi ứng dụng trong phiên bản VM của riêng chúng) trong đó tính năng tự động thay đổi quy mô không thực sự là một tùy chọn.

Tôi có thể xác định nhóm phiên bản một phiên bản (tức là với các quy tắc tự động thay đổi quy mô được đặt để sinh ra chính xác 1 phiên bản). Tuy nhiên, tôi có nhiều phiên bản VM riêng lẻ mà tôi muốn bật bảo vệ DDoS, vì vậy tôi cần một nhóm phiên bản cho từng phiên bản trong số này và bộ cân bằng tải cho từng nhóm phiên bản. Điều này sẽ rất tốn kém rất nhanh chóng.

Một tùy chọn thiết thực hơn là thiết lập một nhóm phiên bản tự động điều chỉnh tỷ lệ duy nhất được gắn vào bộ cân bằng tải để chỉ phục vụ như một proxy ngược cho tất cả các máy chủ khác, được truy cập nội bộ trong một VPC chung. Proxy ngược đó có thể được gắn vào bộ cân bằng tải và cung cấp khả năng bảo vệ DDoS dưới dạng điểm truy cập duy nhất.

Nhưng đối với tôi, có vẻ lạ khi bắt đầu cân bằng tải để bảo vệ DDoS trên GCP. Rốt cuộc, Lá chắn AWS không yêu cầu bộ cân bằng tải có hiệu lực. Tui bỏ lỡ điều gì vậy?

Chỉnh sửa:

Tôi đang xây dựng nền tảng lưu trữ cho nhiều ứng dụng được nhắm mục tiêu cụ thể. Mỗi máy khách sẽ có phiên bản máy ảo riêng hoặc chia sẻ phiên bản máy ảo với một hoặc hai máy khách khác. Hầu hết các ứng dụng được nhắm mục tiêu là không phải ứng dụng web, mà chỉ là các ứng dụng hỗ trợ TCP/UDP (ví dụ: một số ứng dụng là máy chủ trò chơi). Chúng là các ứng dụng có trạng thái và quan trọng hơn là chúng có xu hướng yêu cầu duy trì đồng thời tất cả các kết nối trong một phiên bản duy nhất, do đó, việc mở rộng ra ngoài một phiên bản đơn lẻ thường không khả thi. Ngoài ra, giá của bộ cân bằng tải GCP thực hiện một mức giá cơ bản lớn cho năm quy tắc chuyển tiếp đầu tiên và do đó, việc đặt mỗi phiên bản phía sau bộ cân bằng tải của chính nó không phải là một tùy chọn. Đối với một số ứng dụng này, các cuộc tấn công DoS là mối quan tâm đặc biệt.

575

0 + 0

máy ảo

cân bằng tải

ddos

google-computing-engine

google-cloud-platform

John Hanley

05:00, 18/05/2023

Tôi hầu như lúc nào cũng sử dụng bộ cân bằng tải trước một phiên bản duy nhất. Có nhiều lý do để bảo vệ một phiên bản bằng cách làm cho nó không thể truy cập công khai. DoS/DDoS là một. WAF là một cái khác. Cả hai kết hợp rất có lợi. Có nhiều kiểu từ chối dịch vụ. Có nhiều kiểu tấn công nên được xem xét trước khi từ chối dịch vụ để kẻ tấn công dễ thực hiện hơn. Chỉnh sửa câu hỏi của bạn và nêu rõ những gì bạn cần bảo vệ.

Hồi đáp

Alexander Guyer

17:10, 19/05/2023

@JohnHanley Cảm ơn; Tôi đã thêm một bản chỉnh sửa với một số chi tiết về dự án. Hãy cho tôi biết nếu biết thêm thông tin sẽ hữu ích.

Hồi đáp

John Hanley

21:18, 19/05/2023

Dựa trên chỉnh sửa của bạn, cả Bộ cân bằng tải HTTP(S) và Cloud Armor đều không được áp dụng. Những dịch vụ này dành cho các ứng dụng Lớp 7. Để bảo vệ ứng dụng TCP/UDP (Lớp 3/4), bạn phải biết mình đang bảo vệ cái gì. DDoS là một phân loại của các cuộc tấn công. Mỗi loại tấn công có một loại phòng thủ - một số chồng lên nhau. Nói chung, bạn sẽ cần triển khai một giải pháp dựa trên phần mềm trong phiên bản hoặc triển khai proxy để chống lại cuộc tấn công hoặc cả hai. Bảo vệ DDoS toàn diện khỏi cả AWS và Google yêu cầu các dịch vụ trả phí.

Hồi đáp

Alexander Guyer

19:13, 20/05/2023

@JohnHanley Cảm ơn, điều đó trả lời câu hỏi của tôi. Nếu bạn chuyển đổi nhận xét của mình thành một câu hỏi, tôi sẽ chấp nhận và UV nó.

Hồi đáp

Điểm:0

Server

Arden Smith

03:28, 23/05/2023

Google Cloud Platform cung cấp một số tính năng để chống lại các cuộc tấn công DDoS. Bạn có thể sử dụng những điều này cùng với các phương pháp hay nhất được đề cập bên dưới và các biện pháp khác phù hợp với yêu cầu của bạn để triển khai GCP của bạn có khả năng phục hồi trước các cuộc tấn công DDoS.

Giảm bề mặt tấn công cho việc triển khai GCE của bạn

â Cung cấp phần riêng biệt và an toàn của Google Cloud với Mạng ảo Google Cloud.â

â Cô lập và bảo mật quá trình triển khai của bạn bằng cách sử dụng mạng con và mạng, quy tắc tường lửa, thẻ cũng như Quản lý danh tính và truy cập (IAM).

â Mở quyền truy cập vào các cổng và giao thức mà bạn cần bằng cách sử dụng các quy tắc tường lửa và/hoặc chuyển tiếp pârotocol.â

â GCP cung cấp tính năng bảo vệ chống giả mạo cho mạng riêng (địa chỉ IP) theo mặc định.

• GCP tự động cung cấp sự cách ly giữa các mạng ảo.

Cô lập lưu lượng truy cập nội bộ của bạn với thế giới bên ngoài

â Triển khai các phiên bản không có IP công cộng trừ khi cần thiết.

â Bạn có thể thiết lập cổng NAT hoặc pháo đài SSH để giới hạn số lượng phiên bản tiếp xúc với internet.

Triển khai các giải pháp bảo vệ DDoS của bên thứ ba

â Để đáp ứng nhu cầu bảo vệ cụ thể của bạn trước cuộc tấn công DDoS phòng ngừa/giảm thiểu, hãy xem xét việc mua các giải pháp bảo vệ DDoS chuyên biệt của bên thứ ba để bảo vệ chống lại các cuộc tấn công như vậy.

â Bạn cũng có thể triển khai các giải pháp DDoS có sẵn qua Gâoogle Cloud Launcher.

Tôi để lại cho bạn tài liệu tham khảo Các phương pháp hay nhất để bảo vệ và giảm thiểu DDoS trên Google Cloud Platform

0 + 0

Phan Văn Trường

Câu hỏi này là trong các ngôn ngữ khác:

EN: Best way to enable DDoS protection on many individual GCP compute instances without load balancing?

TH: วิธีที่ดีที่สุดในการเปิดใช้งานการป้องกัน DDoS บนอินสแตนซ์การประมวลผล GCP แต่ละรายการโดยไม่ต้องโหลดบาลานซ์

RO: Cel mai bun mod de a activa protecția DDoS pe multe instanțe de calcul GCP individuale fără echilibrarea încărcăturii?

RU: Лучший способ включить защиту от DDoS на многих отдельных вычислительных экземплярах GCP без балансировки нагрузки?

VI: Cách tốt nhất để kích hoạt tính năng bảo vệ DDoS trên nhiều phiên bản tính toán GCP riêng lẻ mà không cần cân bằng tải?

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.