iT邦幫忙

0

請教有人會架設GCP的LB防禦嗎

目前GCP卡在LB防禦不會設定請問有人 有收費幫人設定的服務嗎

echochio iT邦研究生 4 級 ‧ 2019-10-06 11:58:38 檢舉
LB防禦 ?
那 是做 啥防禦 ?

1 個回答

4
raytracy
iT邦大神 1 級 ‧ 2019-10-06 02:38:59

迷之音.....

LB 的用途不是防禦, 如果以為在主機前面掛個 LB, 就可以達到防禦效果的話, 還有很多種方法可以穿透 LB 進去打掛你, 或偷盜資料....
看更多先前的回應...收起先前的回應...
s0009kimo iT邦新手 5 級 ‧ 2019-10-06 13:50:52 檢舉

了解了大大... 因為主要用途在防禦DDOS類行的防禦 不知道需要怎麼設定

黃彥儒 iT邦高手 1 級 ‧ 2019-10-06 14:14:32 檢舉

他應該是說GCP的L3·4防禦吧,那個上去會自己啟用

s0009kimo iT邦新手 5 級 ‧ 2019-10-06 19:19:02 檢舉

是的 大大 我是指防禦 L3.4應用層

raytracy iT邦大神 1 級 ‧ 2019-10-06 23:49:39 檢舉

請先參考此篇:
抵禦外部攻擊 GCP Cloud Armor 防禦新選擇

然後, LB 本身並不提供任何防禦力, GCP 的 DDoS 防禦來自 GCA (Cloud Armor, 另外買), 只是 GCA 他要求後端只能接 LB, 所以你必須將 GCE 套個 LB 才能開啟 GCA

其次, 這個防禦不是自動的!!

你自己要有能力, 去解析攻擊來自何處? 然後在 GCA 裡面設定黑名單將他拒絕掉. 如果你沒去設定, 他還是一樣打進來....如果半夜有人來打, 對方剛好沒有被列入黑名單, 然後你正在睡覺的話, 那就一直打到你醒來為止...

再來, 防禦不是只有擋 IP 這樣一種手法, 你還可以根據不同的酬載 (Payload) 內容, 來變更防禦的方式. 但是, 這個需要你: 1. 懂得依據 Payload 內容解析對方的手法是甚麼? 2. 自己會寫防禦規則

所以, GCP 的 DDoS 防禦工具 GCA, 是給資安專家用的一個開發工具, 等於是幫資安專家架一個空白的平台, 讓他們可以把自己的防禦知識, 用程式方式寫在上面, 開發出自己的防禦功能.

如果:

  1. 你自己不是資安專家
  2. 你沒有資安專家幫你寫

買了 GCA 等於是一片空白, 甚麼防禦都沒有. 不但白白被打, 還要付頻寬費給 Google....

市面上防 DDoS 最簡便 (簡便=簡單/方便/便宜) 的方案是 CloudFlare, 而且機制是全自動的, 如果遇到複雜 Payload 自己不會解, 你只要付錢給 CloudFlare, 它們會有專家幫你寫, 建議非專業人士直接用這個會比較快....

s0009kimo iT邦新手 5 級 ‧ 2019-10-07 00:59:16 檢舉

感謝大師解說 真的是上了一很寶貴的一課

RSJSS!!!

LB的設計初衷只是保證可用性
而非安全Issue

我要發表回答

立即登入回答