Google cloud platform GCP计算引擎网络出口攻击
我观察到gcp dataproc vm上的出口流量非常高,成本约为1000美元 计算引擎网络从美洲到美洲的互联网出口 我与谷歌的支持人员进行了跟进,他们建议提高安全性。 1.服务帐户密钥 2.为外部网络(http和https)上打开的端口提供密码/证书身份验证 因此,我们创建了新的gcp帐户,并决定不允许任何http和https流量进入我们的dataproc实例。 因此,没有任何端口向公众开放,并使用所有默认设置创建了dataproc群集 但在这些新的gcp虚拟机上,我们看到了同样的出口 我们在同一个地区有一个gs桶 vm或bucket上没有太多数据,但TB中仍然存在网络出口 我们只在美国地区,在南亚地区观察过这些塞纳里奥,到目前为止,我们还没有观察到任何出口 我想这可能是攻击 请让我知道是否有其他人观察到了同样的事情 请帮助避免这样的出口 防火墙规则Google cloud platform GCP计算引擎网络出口攻击,google-cloud-platform,google-cloud-dataproc,Google Cloud Platform,Google Cloud Dataproc,我观察到gcp dataproc vm上的出口流量非常高,成本约为1000美元 计算引擎网络从美洲到美洲的互联网出口 我与谷歌的支持人员进行了跟进,他们建议提高安全性。 1.服务帐户密钥 2.为外部网络(http和https)上打开的端口提供密码/证书身份验证 因此,我们创建了新的gcp帐户,并决定不允许任何http和https流量进入我们的dataproc实例。 因此,没有任何端口向公众开放,并使用所有默认设置创建了dataproc群集 但在这些新的gcp虚拟机上,我们看到了同样的出口 我们在
http和https防火墙规则不适用于Dataproc vm很可能是因为您在防火墙规则中打开了通向Internet的Thread REST API端口(与Thread Web UI相同): 您需要删除授予Dataproc VM Internet访问权限的群集和防火墙规则,请参阅此处的警告:
您确定没有向公众开放的端口吗?你能列出你所有的防火墙规则,包括它们的“入站IP范围”设置和“端口”设置吗?@DennisHuo-我没有明确打开任何公共网络端口。我相信默认的dataproc设置没有任何打开的端口,而不是ssh@22. 我在问题中添加了防火墙规则您是否有支持包来提交包含项目id的支持票证?或者,您可以将项目id和/或项目编号发送到dataproc-feedback@google.com并参考这个问题。您显示的防火墙规则应该是安全的。最好验证精确的GCS存储桶位置设置(
gsutil ls-L-b gs://YOUR_bucket