Igo*_*nko 21 security google-cloud-platform google-cloud-functions
据我了解,我的Google云功能可以全球访问.如果我想控制对它们的访问,我需要将授权作为函数本身的一部分来实现.说,我可以使用基于承载令牌的方法.这将保护此功能背后的资源免受未经授权的访问.
但是,由于该功能在全球范围内可用,它仍然可以由坏人进行DDoS编辑.如果攻击不如谷歌的防御强,我的功能/服务可能仍然是响应.这很好.但是,我不想支付我未授权访问该功能的一方所做的功能调用.(因为计费是每个函数调用的数量).这就是为什么在我负责收费之前了解Google云端功能是否检测到DDoS攻击以及启用反措施对我来说非常重要.
Edd*_*Edd 13
我已向谷歌云支持发送了一封电子邮件,内容涉及云功能以及是否受到针对DDoS攻击的保护.我收到了工程团队的答复(截至2018年4月4日):
云功能位于Google前端后面,可以缓解和吸收许多第4层及以下攻击,例如SYN泛洪,IP碎片泛滥,端口耗尽等.
这是来自我自己的真实生活经验:他们没有。您必须使用自己的规则组合、来源检测等来防止这种情况发生。我最近成为 DDoS 的受害者,不得不关闭服务一段时间以实施我自己的安全墙。
我最近一直在问自己同样的问题,偶然发现了这些信息.要简要回答您的问题:Google仍然无法自动保护您的GCF免受大规模DDOS攻击,因此:除非Google基础架构因攻击尝试而崩溃,否则您将需要为攻击造成的所有流量和计算时间付费.
有一些机制,你应该仔细看看,因为我不确定,它们是否也适用于GCF:
我认为有关DDOS保护的问题已得到充分解答。不幸的是,现实是DDOS保护还是不保护,很容易产生大量费用。我在20分钟内累积了约30美元的费用,而且DDOS保护无处可寻。我们还剩下“ 我不想为我未授权访问该功能的用户进行的那些功能调用付费 ”。
因此,让我们谈谈现实的缓解策略。Google并没有给您硬性限制支出的方法,但是您可以做很多事情。
限制一个函数可以拥有的最大实例数
编辑功能时,可以指定它可以产生的并发实例的最大数量。将其设置为您的用户不太可能受到攻击的内容,但是如果攻击者这样做,那不会立即破坏资金。然后...
设置预算提醒
您可以在云控制台的“结算”部分中创建预算并设置警报。但是这些警报要迟到几个小时,您可能正在睡觉或因此而不必太依赖它。
混淆函数名称
仅当您的功能只能私下访问时,这才有意义。您可以为函数赋予混淆的名称(可能是散列的),攻击者不太可能猜到。如果您的功能没有被私人访问,也许您可以...
设置Compute Engine实例以充当用户与您的云功能之间的中继
计算实例是固定价格的。攻击者可以放慢它们的速度,但不能使它们破坏您的钱包。您可以在计算实例上设置速率限制。用户不会知道您混淆的云函数名称,只有中继会知道,因此除非有人猜出您的函数名称,否则任何人都无法直接攻击您的云函数。
如果您的云功能调用过多,请关闭计费功能
每次调用函数时,都可以让它在Firebase或Cloud Storage对象中增加一个计数器。如果此计数器过高,您的功能可以自动禁用对项目的计费。
Google提供了一个示例,说明云功能如何禁用对项目的计费:https : //cloud.google.com/billing/docs/how-to/notify#cap_disable_billing_to_stop_usage
在该示例中,它响应来自计费的发布/订阅禁用计费。但是,这些发布/订阅中的价格要落后数小时,因此这似乎是一个差劲的策略。在某个地方设有柜台会更有效。
| 归档时间: |
|
| 查看次数: |
3586 次 |
| 最近记录: |