Google cloud platform GCP计算引擎网络出口攻击

我观察到gcp dataproc vm上的出口流量非常高，成本约为1000美元

计算引擎网络从美洲到美洲的互联网出口

我与谷歌的支持人员进行了跟进，他们建议提高安全性。 1.服务帐户密钥 2.为外部网络（http和https）上打开的端口提供密码/证书身份验证

因此，我们创建了新的gcp帐户，并决定不允许任何http和https流量进入我们的dataproc实例。 因此，没有任何端口向公众开放，并使用所有默认设置创建了dataproc群集

但在这些新的gcp虚拟机上，我们看到了同样的出口

我们在同一个地区有一个gs桶

vm或bucket上没有太多数据，但TB中仍然存在网络出口

我们只在美国地区，在南亚地区观察过这些塞纳里奥，到目前为止，我们还没有观察到任何出口

我想这可能是攻击

请让我知道是否有其他人观察到了同样的事情

请帮助避免这样的出口

防火墙规则

---

http和https防火墙规则不适用于Dataproc vm

很可能是因为您在防火墙规则中打开了通向Internet的Thread REST API端口（与Thread Web UI相同）：

您需要删除授予Dataproc VM Internet访问权限的群集和防火墙规则，请参阅此处的警告：

---

您确定没有向公众开放的端口吗？你能列出你所有的防火墙规则，包括它们的“入站IP范围”设置和“端口”设置吗？@DennisHuo-我没有明确打开任何公共网络端口。我相信默认的dataproc设置没有任何打开的端口，而不是ssh@22. 我在问题中添加了防火墙规则您是否有支持包来提交包含项目id的支持票证？或者，您可以将项目id和/或项目编号发送到dataproc-feedback@google.com并参考这个问题。您显示的防火墙规则应该是安全的。最好验证精确的GCS存储桶位置设置（

gsutil ls-L-b gs://YOUR_bucket

）和dataproc集群的精确位置；请记住，例如，us-east1和us-east2是不同的区域，可能会导致出口成本。我还将检查您的审核日志，查看防火墙规则最近是否被修改。我们在一个单独的电子邮件线程中确认，确实存在一个防火墙规则，该规则向优先级为1000的所有入站IP地址打开“所有”协议/端口，因此，确实确认了可疑的根本原因。现在在该线程中跟进，以确定为什么“allports”防火墙规则似乎没有显示在防火墙列表中，是删除/创建规则的时间、使用不同的项目，还是UI中的错误未能列出所有防火墙规则。