GCP 创建防火墙规则以拒绝美国以外的所有人？答案

【问题标题】：GCP Create Firewall Rule to Deny All Outside the U.S.?GCP 创建防火墙规则以拒绝美国以外的所有人？
【发布时间】：2020-04-06 19:52:02
【问题描述】：

我们在 GCP 中看到了很多扫描并试图破解我们的各种外部入口，其中大部分来自美国以外的地方。巧妙的是，我们不为美国 5 个州以外的任何人提供服务，我希望知道如何只允许来自位于美国境内的 IP 进入。如何创建在 GCP 中执行此操作的防火墙规则，这甚至是可能的吗？谷歌搜索问这个问题没有任何结果，甚至没有人问这个问题。 Netflix 和 Hulu 这样做似乎没有问题，我们也可以这样做吗？

【问题讨论】：

根据您的架构，您可能需要使用地理定位服务并在系统内部实现该服务。像 WordPress 这样的软件有插件。其他框架也是如此。 Google Cloud Armor 提供基于地理位置的访问控制，可与 Google 负载平衡器配合使用。 cloud.google.com/armor

标签： google-cloud-platform firewall

【解决方案1】：

GCP 用来防止 DDoS 等攻击或黑客攻击的最接近的方法是 Cloud Armor。 Google Cloud Armor 使用 Google 的全球基础架构和安全系统，针对基础架构和应用程序分布式拒绝服务 (DDoS) 攻击提供大规模防御。 Cloud Armor 与 Global HTTP(S) LB 结合使用，为您在后端服务器上运行的应用程序提供一层保护。如果没有全局 HTTP LB，您将无法使用它。

要限制流量并保护 HTTPS 负载均衡，您可以配置 Cloud Armor 安全策略，这些策略由允许或禁止来自规则中定义的 IP 地址或范围的流量的规则组成。您可以使用 IP 拒绝列表和允许列表创建 Google Cloud Armor security policies，以限制未经授权从 Internet 访问 HTTP(S) 负载均衡器。值得一提的是，在 GCP 中，firewall rules 是在 VPC 级别指定的，没有与 HTTPS 负载均衡器耦合。此外，您可以在 Google Cloud Platform 上获得有关 GCP Best Practices 用于 DDoS 保护和缓解的更多信息。

【讨论】：

我们没有看到任何 DDoS 尝试，这些都是 Kubernetes 托管的应用程序，它们都在入口后面，不确定 Cloud Armor 是否适用于这些应用程序。我们看到的是寻找 php 漏洞的尝试（我们这里没有运行任何 php 应用程序）并扫描 php 文件。我们还看到很多尝试对我们的外部 sftp 服务器上的 pw 进行暴力攻击，各种合作伙伴需要访问这些服务器。我希望通过fail2ban 解决这些问题。能够对美国以外的任何人隐藏所有外部内容会很好，因为这是一个仅与美国服务相关的网站。
我了解到您正在寻找一种入侵检测和/或入侵预防技术来检测和/或防止对网络的入侵。GCP 不提供 IDS 解决方案作为产品。您可以将自己的 IDS 系统用作应用程序，我们认为在 GCP 中使用它不会有问题。您可以在线搜索相关的IDS工具或服务N-IDS。
但是，Google Cloud Armor 安全策略仅适用于外部 HTTP(S) 负载平衡器后面的后端服务，也适用于 GKE ingress with Global HTTP(S)LB。您还可以查看 Google Cloud Platform[2] 上的 GCP Best Practices，这不是直接的 IDS 功能，但包含有关 GCP 安全性的有用信息。