我们看到了很多扫描,并尝试破解我们在GCP中的各种外部入侵,其中大部分来自美国以外。整洁的事情是,我们不为美国5个州以外的任何国家/地区提供服务,我想了解如何仅允许来自美国境内IP的入侵如何创建防火墙规则,甚至可以在GCP中做到这一点? Google搜索问这个问题没有任何结果,甚至没有人问这个问题。 Netflix和Hulu似乎没有问题,我们也可以这样做吗?
答案 0 :(得分:2)
GCP阻止DDoS之类的攻击或使其免受黑客攻击的最接近的方法是Cloud Armor。 Google Cloud Armor使用Google的全球基础架构和安全系统,针对基础架构和应用程序分布式拒绝服务(DDoS)攻击提供了大规模防御。 Cloud Armor与Global HTTP(S)LB结合使用,并为后端服务器上运行的应用程序提供了一层保护。没有全局HTTP LB,您将无法使用它。
要限制流量并保护HTTPS LB,您可以配置由规则组成的Cloud Armor安全策略,这些规则允许或禁止来自IP地址或规则中定义的范围的流量。您可以使用IP拒绝列表创建Google Cloud Armor security policies,并允许列表限制从互联网未经授权访问HTTP(S)负载均衡器。值得一提的是,在GCP中,firewall rules是在VPC级别中指定的,未与HTTPS负载均衡器结合使用。此外,您可以在Google Cloud Platform上获得有关GCP Best Practices的DDoS保护和缓解的更多信息。