【问题标题】:How i can configure Google Cloud Platform with Cloudflare-Only?如何使用 Cloudflare-Only 配置 Google Cloud Platform?
【发布时间】:2018-03-30 18:40:16
【问题描述】:

我最近开始使用 GCP,但有一件事我无法解决。

我有:1 个虚拟机 + 1 个数据库实例 + 1 个 LB。数据库实例仅允许来自 VM IP 的连接。但是 VM IP 允许来自所有 IP 的流量(如果我将防火墙配置为仅允许 CloudFlare 和 LB IP 的网站崩溃并拒绝连接)。

最近我受到攻击,我激活了 Cloudflare ddos​​ 模式,重新启动所有并在大约 6 小时内攻击回来了 Cloudflare 激活。我看到 mysql 连接从 20-30 增加到 254,所有连接都来自 VM 的 IP,所以我认为问题是 VM 的公共可访问性,但我不知道如何解决它...

如果我激活我的防火墙规则以仅允许来自 LB 和 Cloudflare 的流量,则网络会拒绝所有连接..

知道我能做什么吗?

谢谢。

【问题讨论】:

    标签: google-cloud-platform cloud cloudflare ddos


    【解决方案1】:

    不幸的是,我们无法了解您的实例上安装的内容或导致问题的软件。 一般来说,您负责调查漏洞的来源并采取措施缓解漏洞。 我在这里写一些对你有帮助的提示:

    • 确保以合理的方式保持防火墙规则例如出于显而易见的原因,让防火墙规则允许来自所有源 IP 的端口 22 上的所有入口连接并不是一个好习惯。
    • 既然您已经获得了 root 权限,请更改所有密码:在 Cloud SQL 实例中、在 GCE 实例中、甚至在 GCP 项目中。
    • 最好检查谁有权访问您的服务帐户,以防目前不为您或您的公司工作的人仍然可以访问给他们。
    • 如果您使用证书撤销它们生成新证书以安全的方式共享它们并且最低要求所需的用户数
    • 保护 GCE 实例是一项共同的责任,总的来说,OWASP hardening guides 非常好。

    我在这里引用了一些信息from another StackOverflow thread,这可能对您的情况有用:

    一般安全建议适用于 Google Cloud Platform 实例:

    要诊断 GCE 实例的问题,来自实例的serial port output 会很有用。

    • 您可以通过单击实例名称来检查串口输出 然后在“串行端口 1(控制台)”上。请注意,此日志已被擦除 当实例关闭并重新启动时,日志不可见 实例未启动时。

    • Stackdriver monitoring 也有助于提供审计跟踪 诊断问题。

    • 您可以使用 Stackdriver Monitoring Console 设置 alerting policies 匹配给定条件(在该条件下服务被视为不正常),这些条件可以设置为触发电子邮件/短信通知。

    • This quickstart for Google Compute Engine instances 可以在大约 10 分钟内完成,显示了监控实例的便利性。

    Here 是一些提示,您可以检查以确保 GCP 项目的安全。

    【讨论】:

      猜你喜欢
      • 2020-09-02
      • 2016-04-08
      • 2019-05-23
      • 2021-09-12
      • 1970-01-01
      • 1970-01-01
      • 2018-12-15
      • 2020-05-23
      • 1970-01-01
      相关资源
      最近更新 更多