Google Cloud Armor 自动调节式保护用例

本文档介绍 Google Cloud Armor 自动调节式保护的一些常见用例。

L7 DDoS 攻击检测和保护

自动调节式保护的最常见用例是检测和响应 L7 DDoS 攻击,例如 HTTP GET 洪水、HTTP POST 洪水或其他高频 HTTP 活动。L7 DDoS 攻击通常开始相对缓慢,随着时间的推移强度不断提高。等到人工或自动峰值检测机制检测到攻击时,强度可能已很高,并且已对应用产生严重的负面影响。至关重要的是,虽然可以整体观察激增流量,但更难实时区分个别请求是否是恶意的,因为看起来是正常且格式完整的请求。同样,由于攻击来源分布在僵尸网络或其他恶意客户端组(其规模从数千个到数百万个),因此通过系统化识别和阻止仅基于 IP 的错误客户端来缓解正在发生的攻击越来越难。发生 DDoS 攻击时,造成的结果是攻击成功地使某些或所有普通用户无法使用目标服务。

L7 DDoS 攻击(HTTP GET 洪水)图示。成功的攻击可能会使目标应用不堪重负,并阻止合法用户访问服务。
L7 DDoS 攻击(HTTP GET 洪水)图示。成功的攻击可能会使目标应用不堪重负,并阻止合法用户访问服务。(点击即可放大)

如需快速检测和响应 L7 DDoS 攻击,项目或安全政策所有者可以在其项目中根据安全政策启用自动调节式保护功能。在训练和观察正常流量模式至少一小时后,自动调节式保护将能够在其生命周期早期快速、准确地检测到攻击,并建议 WAF 规则阻止正在发生的攻击,同时使正常用户不受影响。

自动调节式保护识别并缓解 L7 DDoS 攻击,允许合法用户访问应用。
自动调节式保护识别并缓解 L7 DDoS 攻击,允许合法用户访问应用。(点击可放大)

系统会将潜在攻击的通知和识别出的可疑流量的签名发送到 Logging,其中日志消息可以触发自定义提醒政策,进行分析和存储,或者发送到下游安全信息和事件管理 (SIEM) 或日志管理解决方案。如需详细了解如何集成下游 SIEM 或日志管理功能,请参阅 Logging 文档

攻击特征检测和响应

您必须尽早检测到潜在的攻击并发出提醒,同时能够针对该提醒采取措施并及时响应,以缓解攻击。企业突发事件响应人员必须花费大量时间调查、频繁分析日志和监控系统以收集足够的信息,从而针对正在发生的攻击制定响应方案。接下来,在部署缓解方案之前,必须先验证该方案,以确保其不会对生产工作负载造成意外或负面影响。

用于企业突发事件响应流程的常见工作流。
用于企业突发事件响应流程的常见工作流。(点击可放大)

借助自动调节式保护,突发事件响应人员在收到提醒时已有快速分析和响应正在发生的 L7 DDoS 攻击所需的一切信息。自动调节式保护提醒包括确定参与潜在攻击的流量的特征。特征的内容将包含有关传入流量的元数据,包括一组恶意 HTTP 请求标头、来源地理位置等。提醒还包括与攻击特征匹配的规则,该规则可应用于 Google Cloud Armor,从而立即阻止恶意流量。

自动调节式保护事件可提供置信度分数和与建议的规则相关联的预计受影响基准率,以帮助验证。特征的每个组件还会针对是攻击的可能性和比例进行衡量,使突发事件响应人员能够微调或缩小或扩大响应范围。

自定义模型和报告事件错误

自动调节式保护攻击检测模型基于数据集训练并人为生成,从而呈现良好和恶意流量的特征。因此,自动调节式保护可能会识别潜在攻击,进一步调查后,突发事件响应人员或应用所有者将确定该潜在攻击不是攻击。自动调节式保护能够通过每个受保护应用的唯一上下文和流量模式获知信息。

潜在攻击的特征示例。
潜在攻击的特征示例。(点击可放大)

您可以将个别提醒报告为假正例,以进一步帮助自动调节式保护训练和自定义检测模型。借助假正例报告,自动调节式保护模型将来不太可能对具有类似特征和特性的流量发出提醒。随着时间的推移,自动调节式保护检测模型更适合每个受保护的安全政策中的流量的特定特征。报告、反馈和报告事件错误中介绍了报告假正例事件的步骤。

后续步骤