Cách bảo vệ Website khỏi các cuộc tấn công DDoS với sức mạnh của mạng lưới Google Cloud và an ninh mạng

Google Cloud liên tục đổi mới và đầu tư đáng kể vào khả năng ngăn chặn các cuộc tấn công mạng như tấn công từ chối dịch vụ phân tán nhằm đánh sập các trang web, ứng dụng và dịch vụ. Đây là một phần thiết yếu trong việc bảo vệ khách hàng của Google. 

Dịch vụ Project Shield của Google , sử dụng mạng lưới Cloud của Google và cơ sở hạ tầng Global Front End của Google để giúp bảo vệ chống lại các cuộc tấn công, bao gồm cả việc ngăn chặn một trong những cuộc tấn công từ chối dịch vụ phân tán (DDoS) lớn nhất thế giới cho đến nay, sử dụng các thành phần của dịch vụ Cloud Armor , Cloud CDN và Load Balancing của Google . Nó kết hợp chúng thành một nền tảng phòng thủ mạnh mẽ có thể giúp giữ cho các trang web quan trọng của công chúng trực tuyến trước các cuộc tấn công liên tục.

Trong khi Project Shield được thiết kế cho những khách hàng có nguy cơ cao bị tấn công DDoS , chẳng hạn như phương tiện truyền thông, cơ sở hạ tầng bầu cử và bỏ phiếu, và các tổ chức nhân quyền, thì khách hàng doanh nghiệp cũng có thể khai thác sức mạnh của mạng lưới Google Cloud và bảo mật mạng. Google Cloud có thể giúp bạn bảo vệ khối lượng công việc ở bất kỳ đâu trên web, giống như Project Shield, bằng cách sử dụng cùng một nền tảng phòng thủ để giúp bảo vệ ứng dụng, trang web hoặc API của bạn. Sau đây là cách thực hiện.

Phủ nhận sự phủ nhận

DDoS là một mối đe dọa nghiêm trọng và có thể hạ gục dịch vụ của bạn — không cần quyền truy cập hoặc thỏa hiệp đặc biệt nào. Các cuộc tấn công này có thể đến từ bất kỳ đâu trên thế giới và rất khó theo dõi. Chúng thường sử dụng botnet được tạo thành từ các máy bị xâm phạm. Các cuộc tấn công trông giống như lưu lượng mạng thông thường, ngoại trừ việc chúng cực kỳ nhanh, với hàng trăm triệu yêu cầu độc hại mỗi giây .

Để bảo vệ các dịch vụ của bạn một cách hiệu quả, điều cốt yếu là phải phân biệt được lưu lượng truy cập hợp lệ với lưu lượng tấn công. Tuy nhiên, dù xuất phát từ nguồn nào, mỗi yêu cầu đều cần được xử lý. Google mong muốn bạn tập trung vào việc mang lại giá trị cho người dùng thay vì loay hoay đối phó với sự leo thang của các yêu cầu độc hại. Để đạt được điều này, các giải pháp phòng thủ cần có khả năng mở rộng quy mô vượt trội, thậm chí lớn hơn tổng lưu lượng truy cập thông thường của bạn.

Làm thế nào để bắt đầu

Các phương pháp phòng thủ truyền thống đã dần trở nên không hiệu quả theo thời gian. Tường lửa thường gặp khó khăn trong việc chặn các yêu cầu tấn công khi chúng xuất phát từ những nguồn có vẻ hợp lệ. Tự mình lọc lưu lượng truy cập đòi hỏi khoản đầu tư lớn vào cơ sở hạ tầng, gây tốn kém và tiêu tốn nguồn lực quý giá mà đáng lẽ có thể được sử dụng hiệu quả hơn.

Chỉ trong vài phút, bạn có thể tăng cường bảo vệ cho trang web của mình bằng các dịch vụ bảo mật mạng của Google Cloud. Các công cụ của Google có khả năng giảm thiểu hiệu quả các cuộc tấn công nhờ áp dụng những biện pháp phòng thủ dựa trên máy học (ML) tiên tiến nhất. Đồng thời, việc lưu trữ nội dung vào bộ nhớ đệm (caching) giúp nội dung tiếp cận người dùng nhanh hơn, giảm tải đáng kể cho máy chủ gốc của bạn. Dù nội dung của bạn có thể đặt ở bất cứ đâu, các biện pháp bảo vệ này sẽ bao gồm việc triển khai Load Balancer, Content Delivery Network (CDN), Cloud Armor, và có thể cả Adaptive Protection của Google Cloud.

Có hai phương pháp để thiết lập các biện pháp phòng thủ này cho tổ chức của bạn. Bạn có thể làm theo hướng dẫn chi tiết của Google thông qua giao diện Google Cloud Console, hoặc lựa chọn chạy tập lệnh Terraform đã được cung cấp (với một vài điều chỉnh cần thiết).

 

 

Sau đây là hướng dẫn từng bước về cách bạn có thể bảo vệ dịch vụ của mình bằng giao diện bảng điều khiển Google Cloud:

• Bắt đầu với một dự án Google Cloud.
  • Nếu nội dung của bạn đã được lưu trữ trên Google Cloud, bạn có thể sử dụng lại cùng một dự án.
• Bạn sẽ cần bật API cho:
  • Cloud Load Balancer
  • Cloud CDN
  • Cloud Armor
• Tạo một proxy đơn giản để tìm nội dung của bạn, được gọi là nhóm điểm cuối mạng . Bạn có một số trường để điền.
  • Đặt tên cho nó.
  • Bạn có thể chọn trỏ đến tên miền đủ điều kiện hoặc địa chỉ IP trong mục ‘Điểm cuối mạng mới’.
  • Sử dụng IP và cổng của trang web tại đây (thay vì ví dụ bên dưới là 8.8.8.8). Bước này cho bộ cân bằng tải biết nơi lấy nội dung khi có yêu cầu.
  • Nhấp vào Tạo.
• Tiếp theo chúng ta sẽ tạo một Load Balancer mới ( Global Front End ) bằng cách sử dụng các lựa chọn sau (tất cả đều là tùy chọn mặc định, do đó bạn có thể nhấp vào Next bốn lần):
  • Application load balancer
  • Public facing (external)
  • Best for global workloads
  • Global external Application Load Balancer
• Đặt tên cho bộ cân bằng tải.
• Xác định hướng đi của luồng giao thông.
  • Đặt tên cho giao diện và chọn Tạo địa chỉ IP (không tốn kém hơn Ephemeral và cho phép bạn hướng lưu lượng truy cập đến giao diện đó một cách nhất quán)
  • Sử dụng IP đó để thiết lập Frontend Load Balancer của bạn, trông sẽ tương tự như slide (2). 
• Tiếp theo thêm dịch vụ Backend
  • Nhấp vào Tạo dịch vụ phụ trợ .
  • Đặt tên cho nó.
  • Chọn loại backend: Nhóm điểm cuối mạng Internet. Container này chứa thông tin mà Load Balancer sử dụng để kết nối đến một vị trí nào đó trên internet.
  • Trong mục ‘New Backend’, hãy nhấp để xem danh sách các nhóm điểm cuối mạng và nhóm Google đã tạo ở trên sẽ hiển thị. Chọn nhóm đó.
  • Hãy đảm bảo rằng tùy chọn Enable Cloud CDN đã được chọn (nên chọn) vì chúng ta sẽ cần đến tùy chọn này sau.
  • Mặc định chế độ bộ nhớ đệm là tốt. Bộ nhớ đệm nội dung tĩnh có nghĩa là Cloud CDN sẽ lưu trữ nội dung tĩnh (như Hình ảnh và PDF) nếu không có tiêu đề cache-control rõ ràng nào được cung cấp và nếu không sẽ tôn trọng tiêu đề cache-control.
  • Bạn có thể giữ nguyên cài đặt Bảo mật ở mặc định và quay lại để sửa đổi các quy tắc Cloud Armor sau trong Giao diện người dùng đó.
  • Đối với chính sách bảo mật biên Cloud Armor, bạn có thể thêm các quy tắc có hiệu lực trước khi lưu lượng truy cập đến Cloud CDN trong trường hợp bạn cần bảo vệ hệ thống phụ trợ của mình khỏi các nguồn cụ thể (chẳng hạn như kẻ tấn công đã biết, khu vực địa lý cụ thể và khối lượng lớn). Bạn cũng có thể thêm các quy tắc này sau trong Giao diện người dùng Cloud Armor.
  • Nhấp vào Tạo để hoàn tất việc thêm dịch vụ phụ trợ vào bộ cân bằng tải.
• Nhấp vào Tạo ở cuối trang để thiết lập Bộ cân bằng tải mới của bạn.
• Lặp lại các bước từ 4 đến 7 cho HTTPS, sử dụng cùng một IP tĩnh với bộ cân bằng tải HTTP của bạn.
  • Chọn chứng chỉ do Google quản lý hoặc tải lên chứng chỉ của riêng bạn. Nếu bạn sử dụng chứng chỉ do Google quản lý, hãy làm theo hướng dẫn để tạo bản ghi CNAME để cung cấp chứng chỉ.
  • Bạn có thể sử dụng chính sách bảo mật thứ hai hoặc chọn chính sách bảo mật mà bạn đã tạo cho bộ cân bằng tải HTTP để đơn giản hóa cấu hình phòng thủ.
• Bây giờ đã được cấu hình, bạn có thể trỏ lưu lượng truy cập của mình đến bộ cân bằng tải mới. Hãy nhớ thay đổi cài đặt DNS cho tên miền của bạn để trỏ đến IP tĩnh mới mà bạn đã tạo ở trên.
• [Tùy chọn] Nếu bạn muốn bảo vệ dựa trên ML cho hệ thống phụ trợ của mình, bạn có thể thực hiện chỉ bằng vài cú nhấp chuột:
  • Đăng ký dịch vụ Paygo Cloud Armor (hoặc đăng ký để được giảm giá theo năm với dịch vụ Annual).
  • Truy cập chính sách Cloud Armor của bạn .
  • Nhấp vào chính sách của bạn.
  • Nhấp vào Chỉnh sửa.
  • Trong mục Bảo vệ thích ứng, hãy nhấp vào hộp Bật .
  • Nhấp vào Cập nhật .
  • Nhấp vào Thêm quy tắc .
  • Chọn Chế độ nâng cao và nhập evaluateAdaptiveProtectionAutoDeploy()
  • Nhập 0 để ưu tiên (hoặc bất kỳ số thấp nào khác để sử dụng quy tắc ở mức ưu tiên cao.)
  • Nhấp vào Thêm .
  • Giờ đây, Google Cloud có thể thích ứng với các kiểu tấn công và xử lý trò mèo vờn chuột thay bạn bằng cách sử dụng những thông tin Google tìm hiểu về các kiểu tấn công và lưu lượng truy cập thông thường.

Tối ưu hóa lớp lưu trữ đệm của bạn

Cloud CDN mang lại khả năng lưu trữ đệm (caching) mạnh mẽ, giúp giảm tải đáng kể cho hệ thống phụ trợ của bạn. Bằng cách cho phép lưu lượng truy cập được phân giải trực tiếp tại các điểm biên của mạng lưới Google (Google Edge), Cloud CDN không chỉ giảm áp lực cho máy chủ mà còn mang lại độ trễ thấp hơn đáng kể cho người dùng cuối. Điều này đặc biệt hiệu quả trong việc chống lại các cuộc tấn công từ chối dịch vụ phân tán (DDoS) cả quy mô lớn lẫn quy mô nhỏ. Việc kích hoạt tính năng này trên bộ cân bằng tải của bạn là vô cùng đơn giản.

Các tiêu đề kiểm soát bộ nhớ đệm (cache control headers) do hệ thống phụ trợ của bạn cung cấp sẽ hướng dẫn cách Google Cache lưu trữ nội dung. Mặc dù vậy, Google vẫn có thể tự động lưu trữ đệm các tài nguyên tĩnh như hình ảnh ngay cả khi không có tiêu đề cụ thể. Việc sử dụng Thời gian tồn tại (TTL – Time-To-Live) ngắn cho bộ nhớ đệm có thể mang lại lợi ích lớn trong việc giảm thiểu tình trạng tràn ngập yêu cầu, đồng thời vẫn đảm bảo nội dung luôn được cập nhật. Thậm chí, việc cài đặt TTL chỉ “một giây” cũng có thể giúp tránh được tình trạng quá tải nghiêm trọng ở phía máy chủ phụ trợ.

Bắt đầu ngay hôm nay

Để thử nghiệm ngay hôm nay , hãy chọn một backend có lợi cho khả năng truy cập và độ tin cậy cao hơn, và cung cấp cho nó một số Load Balancer và CDN, sau đó xem niềm vui tăng lên. Bảo vệ như một dịch vụ, ít đau đầu hơn và có nhiều thời gian hơn để tập trung vào niềm vui.

Đọc thêm về các chủ đề chính tại:

• Tổng quan về nhóm điểm cuối mạng Internet | Cân bằng tải | Google Cloud
• Thiết lập Bộ cân bằng tải ứng dụng bên ngoài toàn cầu với phần phụ trợ bên ngoài