gpt4 book ai didi

google-app-engine - 谷歌云采取什么措施来保护实例免受 IP 欺骗?

转载 作者:行者123 更新时间:2023-12-05 04:11:45 25 4
gpt4 key购买 nike

我在 google app engine 上运行我的服务器,我的所有服务(例如 MongoDB、Redis、Elasticsearch)都部署在计算引擎上。现在我只想从 App Engine 连接我的计算引擎实例,这就是为什么我删除了我的计算引擎的所有防火墙规则,这些规则是从外部 ip 连接它们的,现在只有我的谷歌云项目内部网络中的实例可以连接到自己,现在我只是想知道 IP 欺骗,因为我的内部网络外部没有人可以连接到我的实例,现在他们可以通过告诉我的防火墙他们的 ip 是任何 ip 来伪造他们的 ip我的实例正在发生,因为如果发生这种情况,那么我的整个安全性将被破坏。

现在有一个问题,谷歌云项目的防火墙是否实现了任何措施来保护我们的实例免受 IP 欺骗,或者我们必须设置一些东西来避免这种情况。

如果你们中的任何人对此有任何想法,请赐教。

谢谢

最佳答案

您不太清楚您担心哪种欺骗情况。想到这两个:

  • 您的内部网络的外部方欺骗数据包,即。 10.0.0.0/8 范围。这是不可能的,因为您网络中的数据包只能来自该专用网络中的 VM 和 VPN。

  • 来自其他 Google/GCE IP 范围的欺骗数据包;例如。用于外部地址的那些:这应该被 Google 的网络 ACL 捕获。

不过,我不建议基于 IP 地址进行身份验证。例如,如果您在 GCE/GAE 实体之间通过外部 IP 地址进行通信,很容易过于宽泛,也允许其他 GCE/GAE 客户。即使您只将单个 IP 地址列入白名单,也存在随着时间的推移您的设置变得更加复杂的风险。想象一下,例如,如果一名员工删除了一个 GCE 实例,但没有从白名单中删除 IP。在这种情况下,IP 将被释放并可供其他 GCE 客户使用,他们随后可以访问您的服务。

因此,使用 SSL 客户端证书等应用程序级别的身份验证机制通常更安全。

关于google-app-engine - 谷歌云采取什么措施来保护实例免受 IP 欺骗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/41990078/

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com