Warning: file_get_contents(/data/phpspider/zhask/data//catemap/9/google-cloud-platform/3.json): failed to open stream: No such file or directory in /data/phpspider/zhask/libs/function.php on line 167

Warning: Invalid argument supplied for foreach() in /data/phpspider/zhask/libs/tag.function.php on line 1116

Notice: Undefined index: in /data/phpspider/zhask/libs/function.php on line 180

Warning: array_chunk() expects parameter 1 to be array, null given in /data/phpspider/zhask/libs/function.php on line 181
Google cloud platform GCP计算引擎网络出口攻击_Google Cloud Platform_Google Cloud Dataproc - Fatal编程技术网

Google cloud platform GCP计算引擎网络出口攻击

Google cloud platform GCP计算引擎网络出口攻击,google-cloud-platform,google-cloud-dataproc,Google Cloud Platform,Google Cloud Dataproc,我观察到gcp dataproc vm上的出口流量非常高,成本约为1000美元 计算引擎网络从美洲到美洲的互联网出口 我与谷歌的支持人员进行了跟进,他们建议提高安全性。 1.服务帐户密钥 2.为外部网络(http和https)上打开的端口提供密码/证书身份验证 因此,我们创建了新的gcp帐户,并决定不允许任何http和https流量进入我们的dataproc实例。 因此,没有任何端口向公众开放,并使用所有默认设置创建了dataproc群集 但在这些新的gcp虚拟机上,我们看到了同样的出口 我们在

我观察到gcp dataproc vm上的出口流量非常高,成本约为1000美元

计算引擎网络从美洲到美洲的互联网出口

我与谷歌的支持人员进行了跟进,他们建议提高安全性。 1.服务帐户密钥 2.为外部网络(http和https)上打开的端口提供密码/证书身份验证

因此,我们创建了新的gcp帐户,并决定不允许任何http和https流量进入我们的dataproc实例。 因此,没有任何端口向公众开放,并使用所有默认设置创建了dataproc群集

但在这些新的gcp虚拟机上,我们看到了同样的出口

我们在同一个地区有一个gs桶

vm或bucket上没有太多数据,但TB中仍然存在网络出口

我们只在美国地区,在南亚地区观察过这些塞纳里奥,到目前为止,我们还没有观察到任何出口

我想这可能是攻击

请让我知道是否有其他人观察到了同样的事情

请帮助避免这样的出口

防火墙规则


http和https防火墙规则不适用于Dataproc vm

很可能是因为您在防火墙规则中打开了通向Internet的Thread REST API端口(与Thread Web UI相同):

您需要删除授予Dataproc VM Internet访问权限的群集和防火墙规则,请参阅此处的警告:

您确定没有向公众开放的端口吗?你能列出你所有的防火墙规则,包括它们的“入站IP范围”设置和“端口”设置吗?@DennisHuo-我没有明确打开任何公共网络端口。我相信默认的dataproc设置没有任何打开的端口,而不是ssh@22. 我在问题中添加了防火墙规则您是否有支持包来提交包含项目id的支持票证?或者,您可以将项目id和/或项目编号发送到dataproc-feedback@google.com并参考这个问题。您显示的防火墙规则应该是安全的。最好验证精确的GCS存储桶位置设置(
gsutil ls-L-b gs://YOUR_bucket
)和dataproc集群的精确位置;请记住,例如,us-east1和us-east2是不同的区域,可能会导致出口成本。我还将检查您的审核日志,查看防火墙规则最近是否被修改。我们在一个单独的电子邮件线程中确认,确实存在一个防火墙规则,该规则向优先级为1000的所有入站IP地址打开“所有”协议/端口,因此,确实确认了可疑的根本原因。现在在该线程中跟进,以确定为什么“allports”防火墙规则似乎没有显示在防火墙列表中,是删除/创建规则的时间、使用不同的项目,还是UI中的错误未能列出所有防火墙规则。