我如何使用Cloudflare配置Google Cloud Platform？

Question

我最近开始使用GCP，但我有一件事我无法解决。

我有：1个VM + 1个DB实例+ 1个LB.数据库实例仅允许来自VM IP的连接。但是，VM IP允许来自所有ip的流量（如果我将防火墙配置为仅允许CloudFlare和LB IP网站崩溃并拒绝连接）。

最近我受到了攻击，我激活了Cloudflare ddos​​模式，重启全部，并且在6小时内攻击回来，Cloudflare激活。我看到mysql连接从20-30升到254并且所有连接都来自VM的IP，所以我认为问题是VM的公共可访问性但我不知道如何解决它... < / p>

如果我激活防火墙规则以仅允许来自LB和Cloudflare的流量，则网络拒绝所有连接...

知道我能做什么吗？

感谢。

Answer 1

云支持，遗憾的是，我们无法了解您的实例上安装的内容或导致问题的软件。 一般而言，您负责调查漏洞的来源并采取措施来缓解漏洞。 我在这里写一些可以帮助你的提示：

• 确保以明智的方式 保持防火墙规则，例如。出于显而易见的原因，有一个防火墙规则允许端口22上的所有入口连接来自所有源IP，这不是一个好习惯。
• 由于您已经扎根，更改了所有密码：在Cloud SQL实例中，在GCE实例中，甚至在GCP项目中也是如此。
• 检查谁有权访问 服务帐户也是一个好主意，以防万一目前没有为您或您公司工作的人仍然可以访问给他们。
• 如果您使用证书撤销，生成新证书并以安全的方式分享并且最低所需的用户数。
• 保护GCE实例是一项共同的责任，一般来说，OWASP hardening guides非常好。

我在这里引用了一些可能对您有用的信息from another StackOverflow thread：

Google Cloud Platform实例的

常规安全建议：

• 在项目级别设置user permissions。
• 安全地连接到您的实例。
• 确保project firewall不对互联网上的所有人开放。
• 使用强密码和store passwords securely。
• Ensure that all software is up to date。
• Monitor通过监控API密切关注项目使用情况，以识别项目的异常使用情况。

要诊断 GCE实例的问题，实例中的serial port output可能很有用。

• 您可以通过单击实例名称来检查串行端口输出 然后在“串口1（控制台）”上。请注意，此日志已被破坏 实例关闭时＆amp;重新启动，日志不可见 当实例未启动时。

• Stackdriver monitoring也有助于提供审计跟踪 诊断问题。

• 您可以使用Stackdriver Monitoring Console设置alerting policies匹配的给定条件（，服务被视为不健康），可以设置为触发电子邮件/短信通知。

• This quickstart for Google Compute Engine instances可在约10分钟内完成，并显示监控实例的便利性。

Here是您可以检查保持GCP项目安全的一些提示。