Security Command Center adalah database keamanan dan risiko untuk Google Cloud. Security Command Center mencakup dasbor risiko dan sistem analisis untuk menampilkan, memahami, serta memperbaiki risiko keamanan dan data Google Cloud di seluruh organisasi.
Google Cloud Armor terintegrasi secara otomatis dengan Security Command Center dan mengekspor dua temuan ke dasbor Security Command Center: Lonjakan traffic yang diizinkan dan Peningkatan rasio penolakan. Panduan ini menjelaskan temuan dan cara menafsirkannya.
Jika Anda belum mengaktifkan Google Cloud Armor di Security Command Center, lihat Mengonfigurasi Security Command Center. Anda hanya melihat temuan di Security Command Center untuk project yang mengaktifkan Security Command Center di level organisasi.
Penemuan lonjakan traffic yang diizinkan
Traffic yang diizinkan terdiri dari permintaan HTTP(S) yang terbentuk dengan baik yang ditujukan untuk menjangkau layanan backend Anda setelah kebijakan keamanan Google Cloud Armor diterapkan.
Temuan Lonjakan traffic yang diizinkan akan memberi tahu Anda tentang lonjakan traffic yang diizinkan berdasarkan layanan backend. Temuan dihasilkan saat ada peningkatan jumlah permintaan per detik (RPS) yang diizinkan secara tiba-tiba dibandingkan dengan volume normal yang diamati dalam histori terbaru. RPS yang membentuk lonjakan dan RPS dari histori terbaru diberikan sebagai bagian dari temuan.
Kasus penggunaan: Potensi serangan L7
Serangan Distributed Denial of Service (DDoS) terjadi saat penyerang mengirim permintaan dalam jumlah besar untuk membebani layanan target. Traffic serangan DDoS Lapisan 7 biasanya menunjukkan lonjakan jumlah permintaan per detik.
Temuan Puncak traffic yang diizinkan mengidentifikasi layanan backend yang menjadi tujuan puncak RPS dan memberikan karakteristik traffic yang menyebabkan Google Cloud Armor mengklasifikasikannya sebagai puncak RPS. Gunakan informasi ini untuk menentukan hal berikut:
- Apakah potensi serangan DDoS lapisan 7 sedang berlangsung.
- Layanan yang ditargetkan.
- Tindakan yang dapat Anda lakukan untuk memitigasi potensi serangan.
Berikut adalah screenshot contoh temuan Lonjakan traffic yang diizinkan di dasbor Security Command Center.
Google Cloud menghitung nilai Long_Term_Allowed_RPS dan Short_Term_Allowed_RPS berdasarkan informasi historis Google Cloud Armor.
Menemukan peningkatan rasio penolakan
Temuan Rasio tolak meningkat memberi tahu Anda bahwa ada peningkatan rasio traffic yang diblokir Google Cloud Armor karena aturan yang dikonfigurasi pengguna dalam kebijakan keamanan. Meskipun penolakan ini sudah diperkirakan dan tidak memengaruhi layanan backend, temuan ini membantu memberi tahu Anda tentang peningkatan traffic yang tidak diinginkan dan berpotensi berbahaya yang menargetkan aplikasi Anda. RPS traffic yang ditolak dan total traffic masuk diberikan sebagai bagian dari temuan.
Kasus penggunaan: Mitigasi serangan L7
Dengan temuan Rasio penolakan meningkat, Anda dapat melihat dampak dari mitigasi yang berhasil dan perubahan signifikan pada perilaku klien berbahaya. Temuan ini mengidentifikasi backend tempat traffic yang ditolak diarahkan dan memberikan karakteristik traffic yang menyebabkan Google Cloud Armor melaporkan temuan tersebut. Gunakan informasi ini untuk mengevaluasi apakah traffic yang ditolak harus dipelajari secara mendetail untuk lebih memperkuat mitigasi Anda.
Berikut adalah screenshot contoh temuan Rasio penolakan meningkat di dasbor Security Command Center.
Google Cloud menghitung nilai Long_Term_Denied_RPS dan Long_Term_Incoming_RPS berdasarkan informasi historis Google Cloud Armor.
Google Cloud Armor Adaptive Protection
Perlindungan Adaptif mengirimkan telemetri ke Security Command Center. Untuk informasi selengkapnya tentang temuan Perlindungan Adaptif, lihat Pemantauan, pemberitahuan, dan logging dalam ringkasan Perlindungan Adaptif.
Setelah traffic kembali normal
Temuan Security Command Center adalah notifikasi bahwa perilaku tertentu diamati pada titik waktu tertentu. Tidak ada notifikasi yang dikirim saat perilaku dihapus.
Mungkin ada pembaruan pada temuan yang ada jika karakteristik traffic saat ini meningkat secara substansial dibandingkan dengan karakteristik yang ada. Jika tidak ada temuan lanjutan, berarti perilaku tersebut dihapus atau volume traffic tidak meningkat (izinkan atau tolak) secara substansial setelah temuan awal dibuat.