iT邦幫忙

2019 iT 邦幫忙鐵人賽

DAY 19
1
自我挑戰組

谷哥 Google Cloud Platform 勇者的試煉系列 第 19

抵禦外部攻擊 GCP Cloud Armor 防禦新選擇

遇到分佈式阻斷服務(DDoS)和L7應用層的恐攻時..除了少有保護意識真的很耐打的公司組織之外..都是造成巨大的損失,現在雲端是目前的趨勢外,它所帶來的好處及多但也伴隨而來安全性的隱憂...我指的安全非雲端本質上不夠安全,而是架構設計元件服務上的加值,目前雖然 Cloud Armor 還屬於 Preview 狀態..我們就拿來一探究竟..(其實是上面寫最重要的一句話...Preview期間沒有SLA,也不用花錢,"免費",這時候不玩還等甚麼呢?)/images/emoticon/emoticon31.gif

以下是官方對 Cloud Armor 服務的描述說明:
Cloud Armor 可以和 Cloud HTTP(S) Load Balancing 搭配使用,提供 IPv4 和 IPv6 白名單/黑名單、抵擋像是 Cross-site scripting (XSS) 和 SQL injection 這類針對應用服務的攻擊、並針對所在的地理位置進行存取的控制。並且可以透過 Cloud Armor 客製化防禦措施,結合 Layer 3 到 Layer 7 的參數來抵擋多重(兩種或以上)的攻擊組合。Cloud Armor 會針對每個 request 和對應的 行為做記錄並向 Stackdriver 發送信息,所以您能查看那些被阻止或是被允許的網路流量。

Cloud Armor 架構示意圖如下:

  • 可以同一類型規則分別套用不同類型LB
  • 個別規則套用各自需求類型LB(標準一般都是)
  • 可以跨地區Region性的LB納入到同一Policy套用規則
    https://ithelp.ithome.com.tw/upload/images/20181019/2002548108oMwoHWe7.png

接下來就來試試這新玩意,主角隱藏在網路類別中,直接選到 Cloud Armor
https://ithelp.ithome.com.tw/upload/images/20181019/20025481SzwNs7fjrz.png

中文說明滿老梗...就是安全政策
https://ithelp.ithome.com.tw/upload/images/20181019/20025481FebOZHOH44.png

自訂名稱不用教吧!接下來因為搭配等等的測試故我直接設定對整個連線都是Deny,訊息就選擇403禁止看起來比較嚇人
https://ithelp.ithome.com.tw/upload/images/20181019/20025481gbmeqtvVRX.png

接下來設定例外允許
https://ithelp.ithome.com.tw/upload/images/20181019/200254815kokwZJ0if.png

我都喜歡拿我目前對外連線的IP來做文章
https://ithelp.ithome.com.tw/upload/images/20181019/20025481T4ENfOxNL6.png

立馬設定自己對外IP允許優先當然是一馬當先喽!右方的摘要還真的是隨設即時更新狀態,好了就新增規則
補充啟用預覽就可以透過 Stackdriver 記錄預覽這條Policy效果..當然就勾選喽!
https://ithelp.ithome.com.tw/upload/images/20181019/200254817oLe5huvAJ.png

非啟用CDN的負載平衡服務才支援(Bata期間)
https://ithelp.ithome.com.tw/upload/images/20181019/20025481LpKaHGFHMr.png

從後端服務來看只有偵測到一組負載平衡服務
https://ithelp.ithome.com.tw/upload/images/20181019/20025481nxau84WSsX.png

但實際我有三組負載平衡立馬來驗證一下是否真的是啟用CDN的條件無法選取到
https://ithelp.ithome.com.tw/upload/images/20181019/20025481WQatlYAXLc.png

還真的是有....對啦!這有拿來做網站CDN加速測試用(堤外話檢視一下)
https://ithelp.ithome.com.tw/upload/images/20181019/20025481AfQKsTROyd.png

設定僅有一組沒勾選CDN的負載平衡服務,設定無誤就按下完成
https://ithelp.ithome.com.tw/upload/images/20181019/20025481GgeM7zPbbV.png

直接套用建立此 Cloud Armor 服務吧!
https://ithelp.ithome.com.tw/upload/images/20181019/20025481A10E3hGPbL.png

檢視目前套用安全政策的LB的IP
https://ithelp.ithome.com.tw/upload/images/20181019/20025481wSPpPcutyp.png

直接來連線均正常顯示網頁
https://ithelp.ithome.com.tw/upload/images/20181019/20025481syav7qhdXS.png

來透過非此允許之Public IP試試
https://ithelp.ithome.com.tw/upload/images/20181019/20025481IASsvYaTVr.png

的確是403被禁止
https://ithelp.ithome.com.tw/upload/images/20181019/20025481e5kp7Hc4N8.png

回頭來看一下剛剛套用的後端服務
https://ithelp.ithome.com.tw/upload/images/20181019/20025481NdTcxb3XuD.png

如果還要再新增受此套用的後端LB服務隨時可以添加或刪減(把CDN拿掉後果然就偵測到另一組)
https://ithelp.ithome.com.tw/upload/images/20181019/20025481ArAFJIgaU5.png

有了,所以可以同個規則對多項LB統一套用讓管理更容易
https://ithelp.ithome.com.tw/upload/images/20181019/20025481OZuPXebtcB.png

看起來官網上此服務的文件功能支援真的不多,也沒有DDoS或是L7應用層功能上的防護設定(應該是默認的功能無法人工調整,最後只能從Stackdriver的紀錄中才能看出端倪了,補充此服務有支援對Kubernetes Engine綁定保護

目前看起來能做的不多,嘗鮮來玩玩,今天就先到這了!!大家81


上一篇
GCP 懶人市集自建輕鬆寫意.....
下一篇
GCP 網站憑證安全嗎!有黃袍加身保護你
系列文
谷哥 Google Cloud Platform 勇者的試煉30

尚未有邦友留言

立即登入留言