Questo documento presenta alcuni casi d'uso comuni per Google Cloud Armor Adaptive Protection.
Rilevamento e protezione dagli attacchi DDoS di livello 7
Il caso d'uso più comune di Adaptive Protection è il rilevamento e la risposta agli attacchi DDoS di livello 7 come inondazioni di richieste HTTP GET, inondazioni di richieste HTTP POST o altre attività HTTP ad alta frequenza. Gli attacchi DDoS L7 iniziano spesso in modo relativamente lento e aumentano di intensità nel tempo. Quando gli esseri umani o i meccanismi di rilevamento automatico degli picchi rilevano un attacco, è probabile che sia di intensità elevata e che abbia già un forte impatto negativo sull'applicazione. È molto importante sottolineare che, sebbene sia possibile osservare il picco di traffico in forma aggregata, è molto più difficile distinguere, in tempo reale, le singole richieste come dannose o meno perché sembrano richieste normali e completamente formate. Analogamente, poiché le sorgenti di attacchi sono distribuite tra botnet o altri gruppi di client dannosi di dimensioni che vanno da migliaia a milioni, diventa sempre più difficile mitigare un attacco in corso identificando e bloccando sistematicamente i client malintenzionati solo in base all'IP. Nel caso di un attacco DDoS, l'obiettivo è rendere il servizio preso di mira non disponibile per alcuni o per tutti gli utenti abituali.
Per rilevare e rispondere rapidamente agli attacchi DDoS di livello 7, il proprietario del progetto o della policy di sicurezza può attivare la protezione Adaptive Protection su base di ogni singola policy di sicurezza nel progetto. Dopo almeno un'ora di addestramento e osservazione dei normali schemi di traffico, la Protezione adattiva sarà pronta a rilevare rapidamente e con precisione un attacco all'inizio del suo ciclo di vita e a suggerire regole WAF per bloccare l'attacco in corso senza influire sugli utenti normali.
Le notifiche di potenziali attacchi e la firma identificata del traffico sospetto vengono inviate a Logging, dove il messaggio del log può attivare un criterio di avviso personalizzato, essere analizzato e archiviato oppure inviato a una soluzione SIEM (Security Information and Event Management) o di gestione dei log a valle. Per ulteriori informazioni su come integrare la gestione dei log o SIEM a valle, consulta la documentazione relativa alla registrazione.
Rilevamento e risposta alle firme di attacco
È fondamentale non solo rilevare e avvisare in anticipo i potenziali attacchi, ma anche essere in grado di intervenire in base all'avviso e rispondere in tempo per mitigare gli attacchi. Gli addetti alla risposta agli incidenti di un'azienda devono dedicare minuti e ore critici all'indagine, analizzando di frequente i log e monitorando i sistemi per raccogliere informazioni sufficienti per sviluppare una risposta a un attacco in corso. Successivamente, prima di eseguire il deployment della mitigazione, il piano deve essere convalidato per assicurarsi che non abbia un impatto indesiderato o negativo sui carichi di lavoro di produzione.
Con Adaptive Protection, gli addetti alla risposta agli incidenti hanno tutto ciò di cui hanno bisogno per analizzare e rispondere rapidamente a un attacco DDoS di livello 7 in corso nel momento in cui ricevono l'avviso. L'avviso Adaptive Protection include la firma del traffico ritenuto coinvolto nel potenziale attacco. I contenuti della firma includeranno metadati sul traffico in entrata, tra cui l'insieme di intestazioni di richieste HTTP dannose, le aree geografiche di origine e così via. L'avviso include anche una regola che corrisponde alla firma dell'attacco che può essere applicata in Google Cloud Armor per bloccare immediatamente il traffico dannoso.
L'evento Adaptive Protection fornisce un punteggio di attendibilità e una frequenza di base prevista con impatto associata alla regola suggerita per facilitare la convalida. Ogni componente della firma contiene anche misure per la probabilità di attacco e la proporzione di attacchi per consentire agli addetti alla gestione degli incidenti di perfezionare e restringere o ampliare l'ambito della risposta.
Personalizzazione del modello e generazione di report sugli errori relativi agli eventi
I modelli di rilevamento degli attacchi di Adaptive Protection vengono addestrati su un set di dati prodotto artificialmente per mostrare le caratteristiche sia del traffico valido sia di quello dannoso. Di conseguenza, è possibile che la Protezione adattiva identifichi un potenziale attacco che, a seguito di ulteriori accertamenti, verrà stabilito dal responsabile della risposta agli incidenti o dal proprietario dell'applicazione non essere un attacco. La Protezione adattiva è in grado di apprendere dal contesto e dai pattern di traffico unici di ogni applicazione protetta.
Puoi segnalare singoli avvisi come falsi positivi per aiutare ulteriormente Adaptive Protection ad addestrare e personalizzare i modelli di rilevamento. Con i report di tipo falso positivo, in futuro i modelli di Protezione adattiva avranno meno probabilità di inviare avvisi sul traffico con caratteristiche e attributi simili. Nel tempo, i modelli di rilevamento di Adaptive Protection saranno più in sintonia con le caratteristiche specifiche del traffico in ogni criterio di sicurezza protetto. I passaggi per segnalare eventi falsi positivi sono descritti in Monitoraggio, feedback e generazione di report sugli errori relativi agli eventi.