谷歌雲採取了哪些措施來保護IP欺騙實例？

Question

我在google app engine上運行我的服務器，並且我的所有服務（例如MongoDB，Redis，Elasticsearch）都部署在計算引擎上。現在我想從App引擎連接我的計算引擎實例，這就是爲什麼我刪除了我的計算引擎的所有防火牆規則，這些規則是從外部IP連接它們的，現在只有位於我的Google雲計劃內部網絡中的實例可以連接到自己，現在我只是想知道IP欺騙，因爲從我的內部網絡外部沒有人可以連接到我的實例現在可以通過告訴我的防火牆，他們的IP是我的任何實例正在因爲如果這種情況發生，那麼我的整個安全就會被破壞。

現在有一個問題谷歌雲項目的防火牆實施任何措施，以確保我們的IP欺騙案例或我們必須設置的東西，以避免這一點。

如果您對此有任何意見，請賜教。

謝謝

Answer 1

您不太清楚您關心的是哪種欺騙場景。這3浮現在腦海中：

• 外部您內部網絡，即黨欺騙報文。 10.0.0.0/8範圍。這是不可能的，因爲網絡內的數據包只能來自該專用網絡中的虛擬機和VPN。

• 欺騙其他Google/GCE IP範圍的數據包;例如。用於外部地址的那些：這應該被Google的網絡ACL所捕獲。

但我不會建議基於IP地址進行身份驗證。例如，如果您在GCE/GAE實體之間通過外部IP地址進行通信，則容易過於寬泛，也容許其他GCE/GAE客戶。即使您只將單個IP地址列入白名單，隨着時間的推移，您的設置也會變得更加複雜。想象一下，例如，如果員工刪除了GCE實例，但沒有從白名單中刪除IP，在這種情況下，IP將被釋放，並可供其他GCE客戶使用，然後他們可以訪問您的服務。

因此，使用應用程序級別認證機制（如SSL客戶端證書）通常更安全。