Cel mai bun mod de a activa protecția DDoS pe multe instanțe de calcul GCP individuale fără echilibrarea încărcăturii?

Am străbătut prin Documente Google Cloud Armor pentru informații despre protecția DDoS a unei instanțe de VM de calcul GCP. Din cate am gasit, Protecție gestionată Google Cloud Armor oferă protecție DDoS tradițională (poate nivelul 3 și stratul 4) și trebuie atașat la un echilibrator de încărcare. În plus, Google Cloud Armor Adaptive Protection oferă protecție de nivel 7 prin detectarea anomaliilor bazată pe învățare automată în traficul de rețea și trebuie aplicată printr-un Politica de securitate Google Cloud Armor care la rândul său trebuie atașat la un echilibrator de sarcină.

Dar echilibranții de încărcare sunt asociați mai degrabă cu un grup de instanțe decât cu o singură instanță VM și sunt destinate autoscaling-urilor (de exemplu, pe baza unui șablon de instanță), mai degrabă decât pentru o singură instanță VM. Rulez mai multe aplicații server independente cu stare (fiecare în propria instanță VM) în care scalarea automată nu este cu adevărat o opțiune.

eu ar putea definiți un grup de instanțe cu o singură instanță (adică cu regulile de autoscaling setate pentru a genera exact 1 instanță). Cu toate acestea, am mai multe instanțe individuale de VM pe care vreau protecție DDoS, așa că aș avea nevoie de un grup de instanțe pentru fiecare dintre acestea și de un echilibrator de încărcare pentru fiecare grup de instanțe. Acest lucru ar deveni foarte scump foarte repede.

O opțiune mai practică ar fi configurarea unui singur grup de instanțe auto-scalat atașat la un echilibrator de încărcare pentru a servi pur și simplu ca un proxy invers pentru toate celelalte servere, care sunt accesate intern într-un VPC comun. Acest proxy invers ar putea fi atașat la un echilibrator de încărcare și a oferit protecție DDoS ca punct unic de intrare.

Dar mi se pare ciudat că echilibrarea încărcării este necesară pentru protecția DDoS pe GCP pentru început. La urma urmelor, AWS shield nu necesită un echilibrator de încărcare pentru a intra în vigoare. Am pierdut ceva?

Editați | ×:

Construiesc o platformă de găzduire pentru diverse aplicații specifice. Fiecare client fie va avea propria instanță VM, fie va partaja o instanță VM cu unul sau doi alți clienți. Cele mai multe dintre aplicațiile vizate sunt nu aplicații web, ci mai degrabă doar aplicații compatibile TCP/UDP (unele dintre ele sunt servere de jocuri, de exemplu). Sunt aplicații cu state și, mai important, tind să necesite susținerea tuturor conexiunilor într-o singură instanță simultan, astfel încât scalarea dincolo de o singură instanță nu este, în general, viabilă. În plus, tarifarea GCP pentru echilibrarea încărcăturii implementează un preț de bază mare pentru primele cinci reguli de redirecționare, astfel încât să aveți fiecare instanță în spatele propriului echilibrator de încărcare nu este o opțiune prea mare. Pentru unele dintre aceste aplicații, atacurile DoS sunt deosebit de îngrijorătoare.

Google Cloud Platform oferă o serie de funcții pentru a se apăra împotriva atacurilor DDoS. Puteți să le utilizați împreună cu cele mai bune practici menționate mai jos și cu alte măsuri adaptate cerințelor dvs. pentru a face implementarea dvs. GCP rezistentă la atacurile DDoS.

Reduceți suprafața de atac pentru implementarea dvs. GCE

â Asigurați-vă propria parte izolată și sigură din Google Cloud Google Cloud Virtual Network.â

â Izolați și asigurați-vă implementarea utilizând subrețele și rețele, reguli de firewall, etichete și Identity and Access Management (IAM).

â Acces deschis la porturile și protocoalele de care aveți nevoie folosind regulile firewall și/sau redirecționarea pârotocolului.â

â GCP oferă în mod implicit protecție anti-spoofing pentru rețeaua privată (adrese IP).

â GCP asigură automat izolarea între rețelele virtuale.

Izolați-vă traficul intern de lumea externă

â Implementați instanțe fără IP-uri publice, dacă nu este necesar.

â Puteți configura un gateway NAT sau un bastion SSH pentru a limita numărul de instanțe care sunt expuse internetului.

Implementați soluții de protecție DDoS terțe

â Pentru a satisface nevoile dvs. specifice de protecție pentru atacurile DDoS prevenire/atenuare, luați în considerare achiziționarea de soluții specializate de protecție DDoS de la terți pentru a vă proteja împotriva unor astfel de atacuri.

â De asemenea, puteți implementa soluții DDoS disponibile prin Gâoogle Cloud Launcher.

Ti-am lasat referinta Cele mai bune practici pentru protecția și atenuarea DDoS pe Google Cloud Platform