Security Command Center adalah database keamanan dan risiko untuk Google Cloud. Security Command Center mencakup dasbor risiko dan sistem analisis untuk menampilkan, memahami, dan memulihkan risiko data dan keamanan Google Cloud di seluruh organisasi.
Google Cloud Armor terintegrasi secara otomatis dengan Security Command Center dan mengekspor dua temuan ke dasbor Security Command Center: Lonjakan traffic yang diizinkan dan Meningkatkan rasio penolakan. Panduan ini menjelaskan temuan dan cara menafsirkannya.
Jika Anda belum mengaktifkan Google Cloud Armor di Security Command Center, lihat Mengonfigurasi Security Command Center. Anda akan melihat temuan di Security Command Center hanya untuk project yang mengaktifkan Security Command Center di tingkat organisasi.
Temuan lonjakan traffic yang diizinkan
Traffic yang diizinkan terdiri atas permintaan HTTP(S) yang diformat dengan baik dan ditujukan untuk menjangkau layanan backend Anda setelah kebijakan keamanan Google Cloud Armor diterapkan.
Temuan Lonjakan traffic yang diizinkan memberi tahu Anda tentang lonjakan traffic yang diizinkan berdasarkan layanan per backend. Temuan dihasilkan saat ada peningkatan tiba-tiba dalam jumlah permintaan per detik (RPS) yang diizinkan dibandingkan dengan volume normal yang diamati dalam histori terbaru. RPS yang merupakan lonjakan dan RPS sejarah baru-baru ini dicantumkan sebagai bagian dari temuan.
Kasus penggunaan: Potensi serangan L7
Serangan Distributed Denial of Service (DDoS) terjadi saat penyerang mengirim permintaan dalam jumlah besar untuk membebani layanan target. Lalu lintas serangan DDoS Lapisan 7 biasanya menunjukkan lonjakan jumlah permintaan per detik.
Temuan Lonjakan traffic yang diizinkan mengidentifikasi layanan backend tempat lonjakan RPS diarahkan dan memberikan karakteristik traffic yang menyebabkan Google Cloud Armor mengklasifikasikannya sebagai lonjakan RPS. Gunakan informasi ini untuk menentukan hal berikut:
- Apakah potensi serangan DDoS lapisan 7 sedang berlangsung.
- Layanan yang ditargetkan.
- Tindakan yang dapat Anda ambil untuk memitigasi potensi serangan.
Berikut adalah screenshot contoh temuan Lonjakan traffic yang diizinkan di dasbor Security Command Center.
Google Cloud menghitung nilai Long_Term_Allowed_RPS dan Short_Term_Allowed_RPS berdasarkan informasi historis Google Cloud Armor.
Meningkatkan temuan rasio penolakan
Temuan Meningkatkan rasio penolakan memberi tahu Anda bahwa ada peningkatan rasio traffic yang diblokir Google Cloud Armor karena aturan yang dikonfigurasi pengguna dalam kebijakan keamanan. Meskipun penolakan sudah diperkirakan dan tidak memengaruhi layanan backend, temuan ini membantu memberi tahu Anda tentang peningkatan traffic yang tidak diinginkan dan berpotensi berbahaya yang menargetkan aplikasi Anda. RPS dari traffic yang ditolak dan total traffic masuk disediakan sebagai bagian dari temuan.
Kasus penggunaan: Memitigasi serangan L7
Temuan Peningkatan rasio penolakan memungkinkan Anda melihat dampak mitigasi yang berhasil dan perubahan signifikan pada perilaku klien yang berbahaya. Temuan ini mengidentifikasi backend yang menjadi tujuan traffic yang ditolak dan memberikan karakteristik traffic yang menyebabkan Google Cloud Armor memunculkan temuan tersebut. Gunakan informasi ini untuk mengevaluasi apakah traffic yang ditolak harus dipelajari secara mendetail untuk lebih memperkuat mitigasi Anda.
Berikut adalah screenshot contoh temuan Meningkatkan rasio penolakan di dasbor Security Command Center.
Google Cloud menghitung nilai Long_Term_Denied_RPS dan Long_Term_Incoming_RPS berdasarkan informasi historis Google Cloud Armor.
Perlindungan Adaptif Google Cloud Armor
Perlindungan Adaptif mengirimkan telemetri ke Security Command Center. Untuk mengetahui informasi selengkapnya tentang temuan Perlindungan Adaptif, lihat Pemantauan, pemberitahuan, dan logging di ringkasan Perlindungan Adaptif.
Setelah traffic kembali normal
Temuan Security Command Center adalah notifikasi bahwa perilaku tertentu diamati pada waktu tertentu. Tidak ada notifikasi yang dikirim saat perilaku tersebut dihapus.
Mungkin akan ada pembaruan untuk temuan yang ada jika karakteristik traffic saat ini meningkat secara substansial dibandingkan dengan karakteristik yang ada. Jika tidak ada temuan tindak lanjut, berarti perilaku tersebut dihapus atau volume traffic tidak meningkat (izinkan atau tolak) secara substansial setelah temuan awal dihasilkan.