Wie*_*ema 6 google-cloud-platform serverless google-cloud-run
当我创建一个未经身份验证的(公共)Cloud Run 端点来托管 API 时,我有哪些选项可以保护此端点免受发出数十亿 HTTP 请求的恶意用户的攻击?
只需 10 美元,您就可以发起第 7 层HTTP 洪水攻击,每秒可以发送 25 万个请求。让我们假设您的 Cloud Run 端点扩展并处理所有请求。仅就调用而言,您将支付 360 美元/小时(每百万个请求 0.40 美元)。
请注意,如果攻击未分布在多个 Cloud Run 终端节点上,您可能会遇到并发限制和最大实例限制。我还有哪些其他控件?
据我了解,Cloud Armor和Cloud CDN的常用防御绑定到Global Load Balancer,Cloud Run 不可用,但 Cloud Run on GKE 可用。
对于将 IAM Cloud Run Invoker 角色设置为 allUsers 成员类型的 Cloud Run 服务的未经身份验证的调用,我希望答案与此处提供的答案相同 - /sf/answers/3496770371/
具体来说:
Cloud Functions 位于 Google 前端后面,可减轻和吸收许多第 4 层及以下攻击,例如 SYN 洪水、IP 片段洪水、端口耗尽等。
如果能得到关于 Cloud Armor 支持的明确是/否答案当然会很棒。
[编辑]:我对此进行了很多思考,并得出以下结论:
如果您预计自己可能成为此类攻击的受害者,那么我会监控您的常规负载/峰值,并将您的帐户的扩展能力设置为略高于该负载。随着您的常规流量随着时间的推移而增长,监控将使您能够增加这一点。这似乎是唯一的好办法。是的,一旦您达到帐户限制,您的服务就会中断,但在您成为目标的情况下,这似乎更可取。
我还没有尝试的一个想法是使用 Firebase 身份验证和匿名身份验证的受保护路由。
| 归档时间: |
|
| 查看次数: |
404 次 |
| 最近记录: |