Casos de uso do Google Cloud Armor: proteção adaptativa

Este documento apresenta alguns casos de uso comuns da Proteção adaptativa do Google Cloud Armor.

Detecção e proteção contra ataques DDoS L7

O caso de uso mais comum da Proteção adaptativa é detectar e responder a ataques de DDoS L7, como inundações HTTP GET, enchentes HTTP POST ou outras atividades HTTP de alta frequência. Os ataques DDoS L7 geralmente são lentos e aumentam a intensidade ao longo do tempo. Quando os humanos ou mecanismos de detecção de picos automatizados detectam um ataque, é provável que o aplicativo tenha uma alta intensidade e já tenha um impacto negativo forte no aplicativo. É fundamental observar, embora, embora seja possível observar o tráfego de picos agregado, é muito mais difícil diferenciar, em tempo real, solicitações individuais como mal-intencionadas ou não porque são exibidas como solicitações normais e totalmente formada. Da mesma forma, como as fontes de ataque são distribuídas entre as botnets ou outros grupos de clientes mal-intencionados, com tamanho de milhares ou milhões, torna-se cada vez mais difícil diminuir um ataque contínuo, identificando e bloqueando sistematicamente clientes somente com base no IP. No caso de DDoS, o resultado é que o ataque pode fazer com que o serviço de destino fique indisponível para alguns ou todos os usuários comuns.

Ilustração de um ataque DDoS L7 (inundação HTTP GET). Um ataque bem-sucedido pode sobrecarregar o aplicativo desejado e impedir que usuários legítimos acessem o serviço.
Ilustração de um ataque DDoS L7 (HTTP GET flood). Um ataque bem-sucedido pode sobrecarregar o aplicativo desejado e impedir que usuários legítimos acessem o serviço. (clique para ampliar)

Para detectar e responder rapidamente a ataques de DDoS L7, o proprietário da política de segurança ou do projeto pode ativar a proteção de proteção adaptativa a cada política de segurança no projeto. Depois de pelo menos uma hora de treinamento e observando os padrões normais de tráfego, a Proteção adaptativa estará pronta para detectar de forma rápida e precisa um ataque no início do ciclo de vida e sugerir que as regras da WAF bloqueiem o ataque em andamento e continuem normal. usuários não afetados.

A Proteção adaptativa identifica e reduz um ataque DDoS L7, permitindo que usuários legítimos acessem o aplicativo.
A Proteção adaptável identifica e reduz um ataque DDoS L7, permitindo que usuários legítimos acessem o aplicativo. (clique para ampliar)

Notificações de possíveis ataques e a assinatura identificada do tráfego suspeito são enviadas para o Logging, onde a mensagem de registro pode acionar uma política de alertas personalizada, ser analisada e armazenada ou ser enviada para uma informação de segurança downstream. e gerenciamento de eventos (SIEM) ou gerenciamento de registros. Consulte a documentação do Logging para obter mais informações sobre como integrar o SIEM downstream ou o gerenciamento de registros.

Detectar e resposta a uma assinatura de ataque

É fundamental não detectar e alertar sobre possíveis ataques com antecedência, mas também conseguir agir com relação a eles e responder a tempo para reduzir os ataques. Os responsáveis pelas respostas a incidentes de uma empresa precisam passar minutos e horas críticos de investigação, análise frequente de registros e sistemas de monitoramento para coletar informações suficientes para desenvolver uma resposta a um ataque em andamento. Em seguida, antes de implantar a mitigação, esse plano precisa ser validado para garantir que não terá um impacto não intencional ou negativo nas cargas de trabalho de produção.

Um fluxo de trabalho comum para o processo de resposta a incidentes de uma empresa.
Um fluxo de trabalho comum para o processo de resposta a incidentes de uma empresa. (clique para ampliar)

Com a Proteção adaptativa, os responsáveis por incidentes têm tudo o que precisam para analisar rapidamente e responder a um ataque de DDoS L7 contínuo no momento em que recebem o alerta. O alerta da Proteção adaptativa inclui a assinatura do tráfego determinado de participar do possível ataque. O conteúdo da assinatura incluirá metadados sobre o tráfego de entrada, incluindo o conjunto de cabeçalhos de solicitação HTTP maliciosos, regiões geográficas etc. O alerta também inclui uma regra correspondente à assinatura de ataque que pode ser aplicada no Google Cloud Armor para bloquear imediatamente o tráfego malicioso.

O evento de Proteção adaptativa fornece uma pontuação de confiança e uma taxa de valor de referência afetada associada à regra sugerida para ajudar na validação. Cada componente da assinatura também tem medidas para aumentar a probabilidade de ataque e a proporção de ataque. Assim, as respostas a incidentes podem ajustar e ampliar ou ampliar o escopo da resposta.

Como personalizar o modelo e relatar erros de eventos

Os modelos de detecção de ataques da Proteção adaptativa são treinados em um conjunto de dados, produzidos de maneira artificial para mostrar as características do tráfego bom e malicioso. Como resultado, é possível que a Proteção adaptativa identifique um possível ataque de que, após investigação, o candidato ou proprietário do aplicativo determinará que não foi um ataque. A Proteção adaptativa aprende com os padrões de tráfego e tráfego exclusivos de cada aplicativo protegido.

Exemplo de assinatura de um possível ataque.
Exemplo de assinatura de um possível ataque. (clique para ampliar)

É possível denunciar alertas individuais como falsos positivos para ajudar ainda mais a Proteção adaptativa e personalizar os modelos de detecção. Com os relatórios de falsos positivos, os modelos de Proteção adaptativa terão menos chances de alertar sobre o tráfego com características e atributos semelhantes no futuro. Com o tempo, os modelos de detecção da proteção adaptativa serão mais ajustados às características específicas do tráfego em cada política de segurança protegida. As etapas para relatar eventos de falsos positivos foram descritas em Monitoramento, feedback e erros de eventos.

A seguir