[英]Setting up Cloud Armor for load balancer/static website in Storage Bucket
我最近设置了一个存储桶来为谷歌云平台中的 static 网站提供服务。 几天来成本一直在上涨,所以我调查了造成这种情况的原因。 我查看了日志记录,发现有大量请求发送到负载均衡器,这些请求是由带有 ie 注入攻击的机器人发出的。
GET https://[ip]/nice%20ports%2C/Trinity.txt.bak
GET https://[ip]/nmaplowercheck1672474071
这种情况给我留下了两个问题。
如果是这样,我研究了 Cloud Armor,它有可能通过实施 OWASP(预配置的 WAF 规则)来阻止这些类型的请求。 但我不太确定如何正确设置它。
我希望我的负载均衡器能够阻止这些注入攻击
Cloud Armor 有两种类型的“安全策略”:
边缘安全策略:仅用于阻止 IP 和 Geo 值。 边缘安全策略可以应用于云 CDN 或全局负载均衡器上的存储后端。 您不能使用此策略类型执行任何 L7 规则。 将来,这可能会改变,但现在,您只能执行 IP 和地理执法。
后端安全策略:这可以应用于基于计算的后端或 Inte.net 网络端点组 (NEG)。 在后端安全策略中,您可以应用预配置的 OWASP 规则、速率限制、通用表达语言 (CEL) 规则、IP 规则、地理规则等。
这意味着您将无法通过 Cloud Armor 使用边缘安全策略阻止这些类型的针对存储桶后端的探测请求。
如果您想使用 Cloud Armor 来缓解此类尝试,您需要一个 CEL 规则策略来匹配传入的 URL,并且只能使用后端安全策略来完成。 您可以将 Storage 存储桶作为 Inte.net NEG 附加到您的负载均衡器上,然后起草一个包含如下规则的后端策略:
request.path.lower().urlDecode().contains("nice port")
或者您可以在您的规则中定位后缀匹配。
假设您的存储桶中没有任何 *.txt.bak 文件,您最终会报错。 一般来说,对请求的响应算作出口并收费,但如果您提供无害的错误消息,这不应该增加您的账单。
如果您执行 go Cloud Armor + Inte.net NEG + Storage 路由,因为您想停止对存储资源的探测,则需要将存储桶作为公共资源附加到 Inte.net NEG 中,然后附加 Inte .net NEG 作为 GCLB 上的后端服务,而不是将存储桶附加为 GCLB 上的后端桶选项。 通过 Inte.net NEG 将存储桶附加为后端资源,知道您现在因使用 Inte.net NEG 而产生Inte.net 出口费用,并且您必须公开您的存储桶(或签署允许用户访问私有存储桶的请求)。
将 Google Load Balancer 设置为 GCP 存储桶时,“$[DEFAULT_SERVICE_URL]”指的是什么?
[英]What does "$[DEFAULT_SERVICE_URL]" refer to when setting Google Load Balancer towards a GCP Storage Bucket?
删除作为负载均衡器后端的 Google 存储桶的区分大小写
[英]Remove Case Sensitivity for Google Storage Bucket as Load Balancer Backend
配置Google Load Balancer获取存储桶中的文件,自定义路径
[英]Configure Google Load Balancer to get files in a storage bucket, customized path
在 Google Cloud 上使用预先创建的静态 IP 地址创建负载均衡器
[英]Create a Load Balancer with the pre-created static IP address on Google Cloud
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.