谷歌已经发布了其新发布的Cloud Armor系统的更多细节,该系统可缓解分布式拒绝服务(DDoS)攻击。该服务是Google 最近宣布的约20项安全增强功能之一,旨在说服企业客户放心地将关键任务业务应用程序移至Google Cloud Platform。
Cloud Armor使用与Google保护Gmail,搜索和YouTube等服务相同的基础架构和技术。
Cloud Armor为使用Google的云服务的企业提供了一种设置和执行特定流量管理规则的方法,以防止DDoS攻击流量破坏面向Internet的应用程序和工作负载。
Google云网络产品经理Prajakta Joshi在3月26日的博客中表示,Google的全球HTTP(S)负载平衡服务器是第一个支持Cloud Armor的Google云服务。
当前使用平衡服务在单个或多个Google云区域中分布其计算资源的组织现在获得了针对基础结构层DDoS攻击的内置防御。
Joshi说,除了配置适当的负载平衡功能外,管理员无需进行任何其他配置设置即可启用DDoS缓解功能。
就像HTTP(S)负载平衡一样,Cloud Armor也在Google的网络边缘工作,以阻止源头附近的攻击。其核心是安全策略框架,该框架为管理员提供了一种配置特定策略以管理流量的方法。
这些策略可以由一个或多个规则组成,这些规则指定Cloud Armor服务应在流量中查找的参数以及流量与特定参数匹配时应采取的措施。该安全框架还包括一个所谓的优先级值,管理员可以使用该优先级值来指定执行规则的顺序。
管理员可以将Cloud Armor设置为允许,阻止,预览和记录流量。据乔希说,他们可以使用它来部署黑名单,以阻止来自指定IP地址和地址范围的流量,或将来自批准来源的流量列入白名单。
Joshi说,该功能可用于管理IPv4流量和IPv6流量。管理员可以使用Google的Stackdriver云监控系统从一个控制台查看所有被阻止和允许的流量。
Cloud Armor允许管理员根据特定要求创建并实施自定义规则来管理流量。Joshi的博客说:“攻击者通常使用多种众所周知的和自定义的恶意模式来尝试关闭您的服务。”
他写道:“使用自定义规则,您可以配置特定的攻击模式以在流量中查找,然后大规模阻止该流量。” Cloud Armor还带有用于处理两种最常见的应用程序感知攻击的预配置规则,即跨站点脚本攻击和SQL注入攻击。
组织可以使用第三方的反DDoS服务来扩展Cloud Armor的功能。Google目前与多家供应商合作,为云客户提供安全服务。在DDoS缓解方面,该公司的合作伙伴包括Imperva和CloudFlare。
据该公司称,Cloud Armor恰逢DDoS攻击比十年前成倍增长。Google多年来收集的指标表明,DDoS攻击量已经增加,并且现在以每秒位数,每秒数据包和每秒查询的速度增长。
