[我们看到了许多扫描,并尝试破解我们在GCP中的各种外部入侵,其中大部分来自美国以外。整洁的事情是,我们不为美国5个州以外的任何国家/地区提供服务,我想知道如何仅允许来自美国境内IP的入口如何创建防火墙规则,甚至可以在GCP中做到这一点? Google搜索问这个问题没有任何结果,甚至没有人问这个问题。 Netflix和Hulu似乎没有问题,我们也可以这样做吗?
GCP阻止DDoS或黑客攻击等最接近的措施是Cloud Armor。 Google Cloud Armor使用Google的全球基础架构和安全系统,针对基础架构和应用程序分布式拒绝服务(DDoS)攻击提供了大规模防御。 Cloud Armor与Global HTTP(S)LB结合使用,并为后端服务器上运行的应用程序提供了一层保护。如果没有全局HTTP LB,则无法使用它。
为了限制流量并保护HTTPS LB,您可以配置Cloud Armor安全策略,这些策略由允许或禁止来自IP地址或规则中定义的范围的流量的规则组成。您可以使用IP拒绝列表创建Google Cloud Armor security policies,并允许列表限制从互联网未经授权访问HTTP(S)负载均衡器。值得一提的是,在GCP中,firewall rules是在VPC级别中指定的,未与HTTPS负载均衡器结合使用。此外,您可以在Google Cloud Platform上获得有关用于DDoS保护和缓解的GCP Best Practices的更多信息。