GCP Создать правило брандмауэра, чтобы запретить все за пределами США?

Question

Мы видим много сканов и попыток взломать наши различные внешние входы в GCP, и большинство из них происходит из-за пределов США. Приятно то, что мы не обслуживаем никого, кроме, может быть, 5 штатов США, и я бы хотел знать, как разрешить вход только с IP-адресов, расположенных на территории США. Как я могу создать правило брандмауэра, которое делает это в GCP, это вообще возможно? Поиски в Google, задающие этот вопрос, ничего не дают, даже никто не задает этот вопрос. У Netflix и Hulu, похоже, нет проблем с этим, можем ли мы сделать это тоже?

Answer 1

GCP должен предотвращать атаки типа DDoS или взлома Cloud Armor . Google Cloud Armor обеспечивает масштабную защиту от атак DDoS (DDoS) с использованием инфраструктуры и приложений, используя глобальную инфраструктуру и системы безопасности Google. Cloud Armor работает в сочетании с Global HTTP (S) LB и обеспечивает уровень защиты для ваших приложений, работающих на внутренних серверах. Вы не можете использовать его без Global HTTP LB.

Чтобы ограничить трафик c и защитить HTTPS LB, вы можете настроить политики безопасности Cloud Armor, которые состоят из правил, разрешающих или запрещающих трафик c от IP адреса или диапазоны, определенные в правиле. Вы можете создать политики безопасности Google Cloud Armor со списками запрещенных IP-адресов и разрешить списки, ограничивающие несанкционированный доступ к HTTP (S) Load Balancer из inte rnet. Стоит отметить, что в GCP правила брандмауэра указаны для уровня VP C, не связанного с HTTPS Балансировщик нагрузки. Кроме того, вы можете получить немного больше информации о GCP Best Practices для защиты от DDoS-атак и снижения рисков на Google Cloud Platform.