据我了解,我的Google云功能可以全球访问。如果我想控制对它们的访问,我需要将授权作为函数本身的一部分来实现。说,我可以使用基于承载令牌的方法。这将保护此功能背后的资源免受未经授权的访问。
但是,由于该功能在全球范围内可用,它仍然可以由坏人进行DDoS编辑。如果攻击没有谷歌的防御强,我的功能/服务可能仍然是响应。这很好。但是,我不想支付我未授权访问该功能的那些功能调用。(因为计费是按功能调用的数量)。 这就是为什么在我负责收费之前了解Google云端功能是否检测到DDoS攻击以及启用应对措施的重要性。
答案 0 :(得分:11)
我已向谷歌云支持发送了一封电子邮件,内容涉及云功能以及是否受到针对DDoS攻击的保护。我收到了工程团队的答复(截至2018年4月4日):
云端功能位于Google前端后面,可以缓解和吸收许多第4层及以下攻击,例如SYN泛洪,IP碎片泛滥,端口耗尽等。
答案 1 :(得分:6)
我最近一直在问自己同样的问题,偶然发现了这些信息。要简要回答您的问题:Google仍然无法自动保护您的GCF免受大规模DDOS攻击,因此:除非Google基础架构因攻击企图而崩溃,否则您必须为攻击造成的所有流量和计算时间付费。< / p>
有一些机制,你应该仔细研究,因为我不确定,它们是否也适用于GCF:
答案 2 :(得分:5)
这是来自我自己的真实生活经验:他们没有。您必须使用自己的规则组合、来源检测等来防止这种情况发生。我最近成为 DDoS 的受害者,不得不关闭服务一段时间以实施我自己的安全墙。
答案 3 :(得分:2)
通过阅读https://cloud.google.com/functions/quotas和https://cloud.google.com/functions/pricing上的文档,似乎没有对HTTP功能进行任何滥用保护。你应该区分导致谷歌服务器无响应的DDoS攻击,以及一些攻击者知道你的HTTP功能的网址滥用并且数百万次调用它的滥用,在后一种情况下只是你付多少钱。
答案 4 :(得分:2)
当前处于测试阶段的Google Cloud Armour可以减轻DDoS攻击
另请参阅与Google内部人员相关的short example和GC安全规则以及相应的reference docs
答案 5 :(得分:0)
我认为有关DDOS保护的问题已得到充分解答。不幸的是,现实是DDOS保护还是不保护,很容易产生大量费用。我在20分钟内累积了约30美元的费用,而且DDOS保护无处可寻。我们仍然剩下“ 我不想为未授权访问该功能的用户进行的功能调用付费。”
因此,让我们谈谈现实的缓解策略。 Google并没有给您硬性限制支出的方法,但是您可以做很多事情。
限制一个函数可以拥有的最大实例数
在编辑函数时,可以指定它可以产生的并发实例的最大数量。将其设置为您的用户不太可能受到攻击的内容,但是如果攻击者这样做,那不会立即破坏资金。然后...
设置预算警报
您可以在云控制台的“结算”部分中创建预算并设置警报。但是这些警报要晚几个小时才能出现,您可能正在睡觉或发生什么事,所以不要太依赖它。
混淆函数名称
仅当您的功能仅是私有访问时,这才有意义。您可以为函数赋予混淆的名称(可能是散列的),攻击者不太可能猜到。如果您的功能不是私有访问的,也许您可以...
设置Compute Engine实例以充当用户与您的云功能之间的中继
计算实例是固定价格的。攻击者可以放慢它们的速度,但不能使它们破坏您的钱包。您可以在计算实例上设置速率限制。用户不会知道您混淆的云函数名称,只有中继会知道,因此除非有人猜出您的函数名称,否则没人能直接攻击您的云函数。
让您的云功能在调用过多时关闭计费
每次调用函数时,都可以让它在Firebase或Cloud Storage对象中增加一个计数器。如果此计数器过高,您的功能可以自动禁用对项目的计费。
Google提供了一个示例,说明云功能如何禁用向项目计费:https://cloud.google.com/billing/docs/how-to/notify#cap_disable_billing_to_stop_usage
在此示例中,它响应来自开票的发布/订阅禁用开票。但是,这些发布/订阅中的价格要落后数小时,因此这似乎是一个差劲的策略。在某个地方设有柜台会更有效。