Risultati di Security Command Center

Security Command Center è il database per la sicurezza e i rischi di Google Cloud. Security Command Center include una dashboard dei rischi e un sistema di analisi per rilevare, comprendere e risolvere i rischi per la sicurezza e i dati di Google Cloud in un'organizzazione.

Google Cloud Armor è integrato automaticamente con Security Command Center ed esporta due risultati nella dashboard di Security Command Center: Picco di traffico consentito e Aumento del rapporto di rifiuto. Questa guida descrive i risultati e come interpretarli.

Se non hai ancora attivato Google Cloud Armor in Security Command Center, consulta Configurare Security Command Center. In Security Command Center vengono visualizzati i risultati solo per i progetti in cui Security Command Center è abilitato a livello di organizzazione.

Rilevamento di picchi di traffico consentiti

Il traffico consentito è costituito da richieste HTTP(S) di formato corretto destinate a raggiungere i tuoi servizi di backend dopo l'applicazione di un criterio di sicurezza Google Cloud Armor.

Il rilevamento Picco di traffico consentito ti avvisa di un picco di traffico consentito su base di servizio di backend. Un rilevamento viene generato quando si verifica un aumento improvviso del numero consentito di richieste al secondo (RPS) rispetto al volume normale osservato nella cronologia recente. L'RPS che ha costituito il picco e l'RPS della cronologia recente vengono forniti nell'ambito del rilevamento.

Caso d'uso: potenziali attacchi L7

Gli attacchi DDoS (Distributed Denial of Service) si verificano quando gli utenti malintenzionati inviano grandi volumi di richieste per sovraccaricare un servizio di destinazione. Il traffico di attacchi DDoS di livello 7 tipicamente presenta un picco nel numero di richieste al secondo.

Un rilevamento di picco di traffico consentito identifica il servizio di backend a cui è diretto il picco di RPS e fornisce le caratteristiche del traffico che hanno causato la classificazione di Google Cloud Armor come picco di RPS. Utilizza queste informazioni per determinare quanto segue:

  • Se è in corso un potenziale attacco DDoS di livello 7.
  • Il servizio di destinazione.
  • Le azioni che puoi intraprendere per mitigare il potenziale attacco.

Di seguito è riportato uno screenshot di un risultato di esempio di picco di traffico consentito nella dashboard di Security Command Center.

Rilevamento di picchi di traffico consentiti.
Risultato relativo a un picco di traffico consentito (fai clic per ingrandire).

Google Cloud calcola i valori Long_Term_Allowed_RPS e Short_Term_Allowed_RPS in base alle informazioni storiche di Google Cloud Armor.

Rilevamento di un aumento del rapporto di rifiuto

Il rilevamento Rapporto di rifiuto in aumento ti informa che è in aumento il rapporto tra il traffico bloccato da Google Cloud Armor a causa di una regola configurata dall'utente in un criterio di sicurezza. Sebbene il rifiuto sia previsto e non influisca sul servizio di backend, questo rilevamento ti aiuta ad avvisarti degli aumenti di traffico indesiderato e potenzialmente dannoso che ha come target le tue applicazioni. Il valore RPS del traffico negato e il traffico in entrata totale vengono forniti nell'ambito del risultato.

Caso d'uso: mitigazione degli attacchi L7

Un risultato Aumento del rapporto di rifiuto ti consente di vedere sia l'impatto delle mitigazioni efficaci sia le modifiche significative nel comportamento dei client malintenzionati. Il risultato identifica il backend a cui è stato indirizzato il traffico negato e fornisce le caratteristiche del traffico che hanno causato l'emissione del risultato da parte di Google Cloud Armor. Utilizza queste informazioni per valutare se il traffico negato deve essere studiato in dettaglio per rafforzare ulteriormente le mitigazioni.

Di seguito è riportato uno screenshot di un risultato di esempio Aumento del rapporto di rifiuto nella dashboard di Security Command Center.

Aumento del rapporto di rifiuto.
Risultato relativo all'aumento del rapporto di rifiuto (fai clic per ingrandire).

Google Cloud calcola i valori Long_Term_Denied_RPS e Long_Term_Incoming_RPS in base alle informazioni storiche di Google Cloud Armor.

Protezione adattiva di Google Cloud Armor

Adaptive Protection invia la telemetria a Security Command Center. Per ulteriori informazioni sui risultati di Adaptive Protection, consulta Monitoraggio, avvisi e log nella panoramica di Adaptive Protection.

Quando il traffico torna alla normalità

I risultati di Security Command Center sono notifiche che indicano che un determinato comportamento è stato osservato in un determinato momento. Non viene inviata alcuna notifica quando il comportamento viene eliminato.

Potrebbero essere disponibili aggiornamenti dei risultati esistenti se le caratteristiche del traffico corrente aumentano notevolmente rispetto a quelle esistenti. Se non viene rilevato alcun altro problema, il comportamento è stato chiarito o il volume di traffico non è aumentato (consentito o negato) in modo significativo dopo la generazione del rilevamento iniziale.

Passaggi successivi