Security Command Center è il database di sicurezza e rischi per Google Cloud. Security Command Center include una dashboard dei rischi e un sistema di analisi per visualizzare, comprendere e risolvere i rischi relativi alla sicurezza e ai dati di Google Cloud in un'organizzazione.
Google Cloud Armor si integra automaticamente con Security Command Center ed esporta nella dashboard di Security Command Center due risultati: Picco di traffico consentito e Aumento del rapporto di negazione. Questa guida descrive i risultati e come interpretarli.
Se non hai già abilitato Google Cloud Armor in Security Command Center, consulta Configurazione di Security Command Center. I risultati vengono visualizzati in Security Command Center solo per i progetti per cui è abilitato Security Command Center a livello di organizzazione.
Rilevamento di picchi di traffico consentito
Il traffico consentito è costituito da richieste HTTP(S) di formato corretto destinate a raggiungere i tuoi servizi di backend dopo l'applicazione di un criterio di sicurezza di Google Cloud Armor.
Il risultato Picco di traffico consentito indica un picco di traffico consentito in base al servizio di backend. Un risultato viene generato quando si verifica un aumento improvviso del numero consentito di richieste al secondo (RPS) rispetto al volume normale osservato nella cronologia recente. I RPS che hanno costituito il picco e le RPS della storia recente sono forniti come parte del risultato.
Caso d'uso: potenziali attacchi L7
Gli attacchi DDoS (Distributed Denial-of-Service) si verificano quando gli utenti malintenzionati inviano grandi volumi di richieste per sovraccaricare un servizio di destinazione. Il traffico di attacchi DDoS di livello 7 in genere presenta un picco nel numero di richieste al secondo.
Un risultato Picco di traffico consentito identifica il servizio di backend a cui è indirizzato il picco di RPS e fornisce le caratteristiche del traffico che hanno permesso a Google Cloud Armor di classificarlo come picco di RPS. Utilizza queste informazioni per determinare quanto segue:
- Se è in corso un potenziale attacco DDoS di livello 7.
- Il servizio scelto come target.
- Le azioni che puoi intraprendere per mitigare il potenziale attacco.
Di seguito è riportato uno screenshot di un esempio di Picco di traffico consentito nella dashboard di Security Command Center.
Google Cloud calcola i valori Long_Term_Allowed_RPS e Short_Term_Allowed_RPS in base alle informazioni storiche di Google Cloud Armor.
Aumento del risultato del rapporto di negazione
Il risultato Aumento del rapporto di negazione indica che si è verificato un aumento del rapporto di traffico bloccato da Google Cloud Armor a causa di una regola configurata dall'utente in un criterio di sicurezza. Sebbene il rifiuto sia previsto e non influisca sul servizio di backend, questo risultato ti avvisa dell'aumento del traffico indesiderato e potenzialmente dannoso che ha come target le tue applicazioni. Il numero di parte soggetta a limitazioni del traffico negato e il traffico totale in entrata vengono forniti come parte dei risultati.
Caso d'uso: mitigazione degli attacchi L7
Un risultato in aumento del rapporto di negazione ti consente di vedere sia l'impatto delle mitigazioni riuscite sia i cambiamenti significativi nel comportamento dei client dannosi. Il risultato identifica il backend a cui è stato indirizzato il traffico negato e fornisce le caratteristiche del traffico che hanno provocato l'aumento del risultato da parte di Google Cloud Armor. Utilizza queste informazioni per valutare se il traffico negato deve essere esaminato in dettaglio al fine di rafforzare ulteriormente le misure di mitigazione.
Di seguito è riportato uno screenshot di esempio del risultato Aumento del rapporto di negazione nella dashboard di Security Command Center.
Google Cloud calcola i valori Long_Term_Denied_RPS e Long_Term_Enter_RPS in base alle informazioni storiche di Google Cloud Armor.
Adaptive Protection Google Cloud Armor
Adaptive Protection invia i dati di telemetria a Security Command Center. Per ulteriori informazioni sui risultati di Adaptive Protection, consulta Monitoraggio, avvisi e logging nella panoramica di Adaptive Protection.
Quando il traffico torna alla normalità
I risultati di Security Command Center sono notifiche che indicano che un determinato comportamento è stato osservato in un determinato momento. Non viene inviata alcuna notifica quando il comportamento viene rimosso.
Potrebbero essere apportati aggiornamenti ai risultati esistenti se le caratteristiche attuali del traffico aumentano notevolmente rispetto alle caratteristiche esistenti. Se non è presente alcun risultato di follow-up, il comportamento è stato cancellato o il volume di traffico non è aumentato (consentito o negato) sostanzialmente dopo la generazione del risultato iniziale.