当我使未经身份验证的(公共)Cloud Run端点托管API时,我有哪些保护该端点免受恶意用户发出数十亿个HTTP请求的选择?
只需支付10美元,您就可以发起第7层HTTP泛洪攻击,每秒可以发送25万个请求。假设您的Cloud Run端点可以扩大规模并且所有请求都已处理。仅对于调用而言,您将支付每小时360美元(按每百万个请求0.40美元的价格)。
请注意,如果攻击没有分布在多个Cloud Run端点上,则可能会遇到并发限制和最大实例限制。我还有哪些其他控件?
据我了解,Cloud Armor和Cloud CDN的常规防御措施已绑定到Global Load Balancer,该功能不适用于Cloud Run,但适用于GKE上的Cloud Run。
对于未经身份验证的调用与设置为ALLUSERS成员类型的IAM云中运行祈求角色的云中运行的服务,我希望答案是相同这里提供的- https://stackoverflow.com/a/49953862/7911479
特别:
Cloud Functions位于Google前端的后面,可缓解和吸收许多第4层及以下层的攻击,例如SYN泛洪,IP片段泛洪,端口耗尽等。
在Cloud Armor支持上获得明确的Y / N答案当然很不错。
[编辑]:我已经对此进行了很多思考,并得出以下结论:
如果您希望自己可能成为此类攻击的受害者,那么我会监控您的常规负载/峰值,并将您帐户的扩展能力设置为刚好超过该负载。通过监控,您可以随着常规流量随着时间的增长而增加流量。这似乎是唯一的好方法。是的,一旦达到帐户上限,您的服务就会关闭,但是在您作为目标的情况下,这似乎是可取的。
我尚未尝试的一个想法是使用Firebase身份验证和匿名身份验证的受保护路由。
本文收集自互联网,转载请注明来源。
如有侵权,请联系 [email protected] 删除。
我来说两句