Cas d'utilisation de Google Cloud Armor Adaptive Protection

Ce document présente quelques cas d'utilisation courants de Google Cloud Armor Adaptative Protection.

Détection et protection contre les attaques DDoS de couche 7

Le cas d'utilisation le plus courant de la fonctionnalité Adaptive Protection consiste à détecter et à répondre aux attaques DDoS de couche 7, telles que les inondations par requêtes HTTP GET ou HTTP POST, ou toute autre activité HTTP à haute fréquence. Les attaques DDoS de couche 7 démarrent souvent relativement lentement et montent en puissance au fil du temps. Lorsque les opérateurs humains ou les mécanismes automatisés de détection des pics détectent une attaque, il est probable que son intensité soit déjà élevée et qu'elle ait déjà un fort impact négatif sur l'application. S'il est possible d'observer le pic de trafic de manière agrégée, il est cependant beaucoup plus difficile, mais pourtant d'une importance critique, de différencier en temps réel les requêtes individuelles comme malveillantes ou non, car elles apparaissent comme des requêtes normales et entièrement formées. De même, étant donné que les sources d'attaque sont réparties entre des botnets ou d'autres groupes de clients malveillants, qui peuvent se compter en milliers jusqu'en millions, il devient de plus en plus difficile de lutter contre une attaque continue en identifiant et en bloquant systématiquement les clients malveillants en se basant uniquement sur l'adresse IP. Dans le cas d'une attaque DDoS, le résultat est que celle-ci est parvenue à rendre le service cible indisponible pour un ou plusieurs utilisateurs standards.

Illustration d'une attaque DDoS de couche 7 (inondation par requêtes HTTP GET). Une attaque réussie pourrait submerger l'application ciblée et empêcher les utilisateurs légitimes d'accéder au service.
Illustration d'une attaque DDoS de couche 7 (inondation par requêtes HTTP GET). Une attaque réussie pourrait submerger l'application ciblée et empêcher les utilisateurs légitimes d'accéder au service. (Cliquez sur l'image pour l'agrandir)

Pour détecter rapidement les attaques DDoS de couche 7 et y répondre, le propriétaire du projet ou des stratégies de sécurité peut activer Adaptive Protection au niveau de chacune des stratégies de sécurité au sein de son projet. Après au moins une heure d'entraînement et d'observation des schémas de trafic normaux, la fonctionnalité Adaptive Protection est prête à détecter rapidement et avec précision une attaque, dès les premières phases de son cycle de vie, et à proposer des règles WAF pour bloquer l'attaque en cours, tout en préservant les utilisateurs standards.

Adaptive Protection identifie et atténue les attaques DDoS de couche 7, tout en permettant aux utilisateurs légitimes d'accéder à l'application.
Adaptive Protection identifie et atténue les attaques DDoS de couche 7, tout en permettant aux utilisateurs légitimes d'accéder à l'application. (Cliquez sur l'image pour l'agrandir)

Les notifications d'attaques potentielles et la signature identifiée du trafic suspect sont envoyées à Logging, où le message de journal peut déclencher une règle d'alerte personnalisée, être analysée et stockée, ou envoyée en aval à une solution de gestion des journaux ou une solution de gestion des informations et des événements de sécurité (SIEM, Security Information and Event Management). Consultez la documentation de Logging pour en savoir plus sur l'intégration d'une solution SIEM ou de gestion des journaux en aval.

Détection des signatures d'attaque et réponse

Il est essentiel de détecter au plus tôt les attaques potentielles et d'émettre les alertes correspondantes, mais également d'agir suite à ces alertes et d'apporter rapidement une réponse afin de limiter les attaques. Le personnel d'une entreprise en charge de la gestion des incidents doit consacrer quelques minutes, voire quelques heures qui vont s'avérer critiques, à étudier et à analyser régulièrement les journaux et les systèmes de surveillance afin de rassembler suffisamment d'informations pour développer une réponse à une attaque continue. Ensuite, avant de déployer la mesure d'atténuation, ce plan doit être validé afin d'assurer qu'il n'aura pas d'impact imprévu ou négatif sur les charges de travail de production.

Workflow commun pour le processus de gestion des incidents d'une entreprise.
Workflow commun pour le processus de gestion des incidents d'une entreprise. (Cliquez sur l'image pour l'agrandir)

Grâce à la fonctionnalité Adaptive Protection, les personnes en charge de la gestion des incidents disposent de toutes les informations dont elles ont besoin pour analyser rapidement les attaques DDoS de couche 7 en cours, et y répondre rapidement dès qu'elles reçoivent l'alerte. L'alerte Adaptive Protection inclut la signature du trafic qui a été défini comme faisant partie de l'attaque potentielle. Le contenu de la signature inclut des métadonnées sur le trafic entrant, y compris l'ensemble d'en-têtes des requêtes HTTP malveillantes, les zones géographiques sources, etc. L'alerte inclut également une règle correspondant à la signature d'attaque pouvant être appliquée. dans Google Cloud Armor afin de bloquer immédiatement le trafic malveillant.

L'événement Adaptive Protection fournit un score de confiance et une prévision de taux d'impact associé à la règle suggérée, pour faciliter la validation. Chaque composant de la signature dispose également de mesures de probabilité et de proportion d'attaque, afin de permettre aux intervenants d'ajuster la réponse et d'affiner ou d'élargir sa portée.

Personnaliser le modèle et signaler les erreurs d'événements

Les modèles de détection d'attaque de la fonctionnalité Adaptive Protection sont entraînés sur un ensemble de données, créé de manière artificielle pour exposer les caractéristiques du trafic légitime et du trafic malveillant. Par conséquent, il est possible qu'Adaptive Protection identifie une attaque potentielle qui, après examen supplémentaire par le personnel en charge de la gestion des incidents ou le propriétaire de l'application, va finalement être considérée comme une fausse alerte. Adaptive Protection peut apprendre à partir du contexte unique et des modèles de trafic de chaque application protégée.

Exemple de signature d'une attaque potentielle.
Exemple de signature d'une attaque potentielle. (Cliquez sur l'image pour l'agrandir)

Vous pouvez signaler des alertes individuelles comme étant un faux positif pour faciliter l'entraînement d'Adaptive Protection Avancée et la personnalisation des modèles de détection. Grâce au signalement des faux positifs, Adaptive Protection sera à l'avenir moins susceptible de générer des alertes sur du trafic présentant des caractéristiques et des attributs similaires. Au fil du temps, les modèles de détection d'Adaptive Protection seront mieux adaptés aux caractéristiques spécifiques du trafic dans chaque stratégie de sécurité protégée. La procédure à suivre pour signaler des faux positifs a été décrite dans la section Surveiller, envoyer des commentaires et signaler les erreurs d'événements.

Étape suivante