我想知道Cloud Armor是如何工作的。当我在策略中创建"空规则"(允许所有交易(时,是否默认启用 DDoS 保护?还是 DDoS 防护只是 HTTP(s( 负载均衡器的一部分?
有我的笔记:
- 默认情况下,HTTP(s( 负载均衡器具有基本的 DDoS 保护,例如 SYN 泛洪、IP 片段泛洪、端口耗尽等......
- Cloud Armor 默认仅通过"空策略"规范添加额外保护
- 您可以根据Cloud Armor中的IP位置等进行额外的过滤,以获得更好的保护
- 在每种情况下,您都需要考虑GCS签名的URL,WAF,VPC,IAM,内部网络等以获得最佳结果 - 还要在最后制作安全的应用程序(首次查看的验证码保护等(
- 如果仍然不够,您可以使用合作伙伴解决方案
您能否告诉我我错在哪里,以及如何在 GCP 中保护您的网络的最佳建议是什么?谢谢。
尽管 HTTP(S( 负载均衡器提供了您提到的一些 DDoS 缓解功能,但 DDoS 包含许多不同的攻击媒介,因此没有"阻止所有 DDoS"的功能,而是针对一些特定的常见攻击提供保护:
启用 HTTP(S( 负载平衡或 SSL 代理负载平衡时, Google 基础设施缓解并吸收了许多第 4 层及以下层 攻击,例如 SYN 泛洪、IP 片段泛滥、端口耗尽等。
考虑到DDoS攻击的多样性,Cloud Armor旨在补充和扩展这种保护,并适应用户项目的特定需求。
关于设置"空策略"并获得额外保护层的具体方面:尽管某些产品支持设置空策略(如IAM(,但Cloud Armor API参考似乎不接受它,因此这似乎没有添加任何额外的保护。
不知道你从哪里得到的,但Cloud Armor">添加额外的过滤[...]以获得更好的保护"部分似乎是正确的:您需要根据需要配置策略以提高安全性。我认为这种混淆可能与Cloud Armor与HTTP(S(负载均衡器结合使用有关。
最后是"关于如何保护您的网络的最佳建议",听起来确实是基于意见的,可能需要一些具体的细节来改进它。但是,在这种情况下,我认为您可能会从一篇关于DDoS的GCP论文中受益,该论文有点过时(2016年(,但它包括您提到的所有产品,并且根据您的评论,可能是您正在寻找的。