我有Google Cloud Platform负载均衡器作为CDN和我运行的服务的入口点。
据我所知,GCP负载均衡器提供开箱即用的DDoS保护,即使没有自定义云装甲规则设置。
它是否还包括一些针对"坏bots"的保护?哪些是抓取信息或发送垃圾邮件?
如果没有,我们是否可以设置一些使用云盔甲的规则来保护GCP服务免受这些机器人的攻击?
既然你的问题很宽泛,又不是很精确,我就指出一些主要特点& &;Cloud Armor的优点,并指出一些有用的文档,将帮助您了解如何使用配置和使用它。
云甲的主要特点是:
- 从谷歌规模的DDoS保护和WAF中受益
- 检测并减轻针对云负载平衡工作负载的攻击
- 自适应保护(预览)基于ml的机制,帮助检测和阻止第7层DDoS攻击
- 减轻OWASP十大风险并帮助保护本地或云中的工作负载
WAF是一组web application firewall规则,您可以配置这些规则来保护您的资源。规则是用CEL语言编写的,所以看看这个文档可以帮助你理解它们是如何工作的。
自适应保护
帮助您保护您的Google Cloud应用程序,网站和服务免受L7分布式拒绝服务(DDoS)攻击,如HTTP洪水和其他高频第7层(应用程序级)恶意活动。自适应保护构建机器学习模型,执行以下操作:
- 检测异常活动并发出警报
- 生成描述潜在攻击的签名
- 生成自定义Google Cloud Armor WAF规则来阻止签名
最后但并非最不重要的-什么是OWASP
OWASP代表开放Web应用程序安全项目,这是一个在线社区,提供Web应用程序安全领域的文章、方法、文档、工具和技术。
2021年十大OWASP漏洞:
注射
- 破认证
- 敏感数据暴露
XML外部实体(XXE)- 访问控制失效
- 安全配置错误
- 跨站点脚本(XSS)
- 不安全的反序列化
- 使用已知漏洞的组件
- 记录和监控不足
将这些结合在一起云盔甲为您提供了广泛的工具,以保护您的基础设施免受任何您能想到的—只要您能够理解WAF规则并掌握编写它们的技能。
您也可以尝试使用与Cloud Armor集成的Recaptcha Enterprise来挑战所有自动请求;
Google Cloud Armor通过与reCAPTCHA Enterprise的本地集成,为自动客户端对后端的请求提供有效的管理。reCAPTCHA企业使用先进的风险分析技术来区分人类用户和自动客户端。通过集成,reCAPTCHA Enterprise发出一个加密令牌,其中包含与请求相关的风险的reCAPTCHA Enterprise评估和相关属性。Google Cloud Armor无需对reCAPTCHA企业服务器进行额外的请求/响应即可破译此令牌。基于令牌属性,Google Cloud Armor允许您允许,阻止或重定向传入请求。
这里有一个重定向到reCAPTCHA的例子:
您可以将请求重定向到reCAPTCHA企业来评估用户并在必要时提供手动挑战,而无需任何额外的reCAPTCHA企业实现。当人类用户与机器人或滥用系统共享相同的签名(如URL路径或其他L7签名)时,此操作为他们提供了一种证明他们是人类并获得访问权限的方法,而不是被阻止。只有通过评估的用户才能获得豁免cookie并访问您的服务。