Security Command Center는 Google Cloud의 보안 및 위험 데이터베이스입니다. Security Command Center에는 조직 전체의 Google Cloud 보안 및 데이터 위험을 표면화하고, 파악하여, 해결하기 위한 위험 대시보드와 분석 시스템이 포함되어 있습니다.
Google Cloud Armor는 Security Command Center와 자동으로 통합되며 두 가지 발견 항목을 Security Command Center 대시보드(허용 트래픽 급증 및 거부율 증가)로 내보냅니다. 이 가이드에서는 결과와 결과를 해석하는 방법에 대해 설명합니다.
Security Command Center에서 Google Cloud Armor를 아직 사용 설정하지 않은 경우 Security Command Center 구성을 참조하세요. Security Command Center에서 조직 수준에서 Security Command Center가 사용 설정된 프로젝트의 발견 항목을 확인할 수 있습니다.
허용 트래픽 급증 결과
허용 트래픽은 Google Cloud Armor 보안 정책이 시행된 후 백엔드 서비스에 도달할 올바른 형식의 HTTP(S) 요청으로 구성됩니다.
허용 트래픽 급증 발견 항목을 통해 백엔드별 기준으로 허용된 트래픽이 급증했음을 알립니다. 결과는 최근 기록에서 관찰된 정상 볼륨과 비교하여 허용된 초당 요청 수(RPS)가 갑자기 증가하면 생성됩니다. 최근 기록의 급증 및 RPS를 구성하는 RPS는 결과의 일부로 제공됩니다.
사용 사례: 잠재적인 L7 공격
DDoS 공격은 공격자가 대상 서비스에 요청을 대량으로 보내 과부하가 발생할 때 발생합니다. 일반적으로 레이어 7 DDoS 공격 트래픽이 발생할 경우 초당 요청 수가 급증합니다.
허용 트래픽 급증 발견 항목은 RPS 급증이 연결되는 백엔드 서비스를 식별하고 Google Cloud Armor에서 RPS 급증으로 분류한 트래픽 특성을 제공합니다. 이 정보를 사용하여 다음 사항을 확인합니다.
- 잠재적인 레이어 7 DDoS 공격이 진행 중인지 여부
- 타겟팅 중인 서비스
- 잠재적인 공격을 완화하기 위해 취할 수 있는 조치
다음은 허용 트래픽 급증 발견 항목에 대한 Security Command Center 대시보드의 샘플 스크린샷입니다.
Google Cloud는 Google Cloud Armor 이전 정보를 기반으로 Long_Term_Allowed_RPS 및 Short_Term_Allowed_RPS 값을 계산합니다.
거부율 결과 증가
거부율 증가 발견 항목은 보안 정책의 사용자 구성 규칙으로 인해 Google Cloud Armor가 차단하는 트래픽의 비율이 증가했음을 알립니다. 거부가 예상되고 백엔드 서비스에는 영향을 미치지 않지만 이 결과를 사용하면 애플리케이션을 대상으로 하는 원치 않는 잠재적인 악성 트래픽의 증가를 알릴 수 있습니다. 거부된 트래픽의 RPS와 총 수신 트래픽은 결과의 일부로 제공됩니다.
사용 사례: L7 공격 완화
거부율 증가 발견 항목을 사용하면 성공적인 완화의 영향과 악의적인 클라이언트 동작의 큰 변화를 모두 볼 수 있습니다. 이 결과는 거부된 트래픽이 이동한 백엔드를 식별하고 Google Cloud Armor가 어떤 특성을 지닌 트래픽을 결과로 도출하는지를 알려줍니다. 이 정보를 토대로 보다 강력한 완화 조치를 위해 거부된 트래픽을 자세히 조사해야 하는지 여부를 판단할 수 있습니다.
다음은 거부율 증가 발견 항목에 대한 Security Command Center 대시보드의 샘플 스크린샷입니다.
Google Cloud는 Google Cloud Armor 이전 정보를 기반으로 Long_Term_Denied_RPS 및 Long_Term_Incoming_RPS 값을 계산합니다.
Google Cloud Armor Adaptive Protection
Adaptive Protection은 Security Command Center로 원격 분석을 전송합니다. Adaptive Protection 발견 항목에 대한 자세한 내용은 Adaptive Protection 개요의 모니터링, 알림, 로깅을 참조하세요.
트래픽이 정상으로 돌아간 후
Security Command Center 결과는 특정 시점에 특정 동작이 관찰되었다는 알림입니다. 동작이 사라지면 알림이 전송되지 않습니다.
현재 트래픽 특성이 기존 특성과 비교 시 크게 증가하면 기존 결과에 대한 업데이트가 있을 수 있습니다. 후속 결과가 없는 경우 초기 결과가 생성된 후에 동작이 사라지거나 트래픽 양이 크게 증가(허용 또는 거부)하지 않은 것입니다.