Security Command Center est la base de données liée à la sécurité et aux risques pour Google Cloud. Security Command Center comprend un tableau de bord des risques et un système d'analyse qui permet de repérer, comprendre et éliminer les menaces pesant sur les données et la sécurité Google Cloud au sein d'une organisation.
Google Cloud Armor est automatiquement intégré à Security Command Center et exporte deux résultats dans le tableau de bord Security Command Center : Allowed traffic spike (Augmenter le trafic autorisé) et Increasing deny ratio (Augmenter le taux de refus). Ce guide décrit les résultats et explique comment les interpréter.
Si Google Cloud Armor n'est pas déjà activé dans Security Command Center, consultez la page Configurer Security Command Center. Les résultats ne s'affichent dans Security Command Center que pour les projets dont le Security Command Center est activé au niveau de l'organisation.
Résultat indiquant un pic de trafic autorisé
Le trafic autorisé se traduit par des requêtes HTTP(S) correctement formées destinées à atteindre vos services de backend après l'application d'une stratégie de sécurité Google Cloud Armor.
La recherche de pic de trafic autorisé vous avertit d'un pic de trafic autorisé par backend de service. Un résultat est généré en cas d'augmentation soudaine du nombre autorisé de requêtes par seconde (RPS) par rapport au volume normal observé dans l'historique récent. Les RPS qui constituaient le pic et les RPS de l'historique récent sont fournies dans le cadre du résultat.
Cas d'utilisation : attaques L7 potentielles
Les attaques par déni de service distribué (DDoS) se produisent lorsque des pirates informatiques envoient de gros volumes de requêtes pour surcharger un service cible. Le trafic associé à une attaque DDoS de couche 7 présente généralement un pic du nombre de requêtes par seconde.
Un résultat de pics de trafic autorisé identifie le service de backend vers lequel le pic RPS est dirigé, et fournit les caractéristiques de trafic qui ont conduit Google Cloud Armor à le classer en tant que pic de RPS. Utilisez ces informations pour déterminer:
- Si une attaque DDoS potentielle de couche 7 est en cours.
- Le Service ciblé.
- Les actions que vous pouvez entreprendre pour limiter les attaques potentielles
Voici une capture d'écran d'un exemple de résultat indiquant un pic de trafic autorisé sur le tableau de bord Security Command Center.
Google Cloud calcule les valeurs Long_Term_Allowed_RPS et Short_Term_Allowed_RPS en fonction des informations historiques de Google Cloud Armor.
Résultat indiquant une augmentation du taux de refus
Le résultat de la hausse du taux de refus vous avertit d'une augmentation du ratio de trafic que Google Cloud Armor bloque en raison d'une règle configurée par l'utilisateur dans une stratégie de sécurité. Bien que le refus soit attendu et qu'il n'affecte pas le service de backend, ce résultat permet de vous alerter en cas d'augmentation du trafic indésirable et potentiellement malveillant ciblant vos applications. Les RPS du trafic refusé et le trafic total entrant sont fournies dans le cadre des résultats.
Cas d'utilisation : atténuer les attaques L7
Un résultat d'augmentation du taux de refus vous permet de visualiser l'impact de l'efficacité des mesures d'atténuation des risques et les changements significatifs de comportement des clients malveillants. Le résultat identifie le backend vers lequel le trafic refusé a été dirigé et fournit les caractéristiques du trafic qui ont amené Google Cloud Armor à générer ce résultat. Utilisez ces informations pour évaluer si le trafic refusé doit être examiné en détail pour renforcer davantage vos mesures d'atténuation.
Voici une capture d'écran d'un exemple de résultat indiquant une augmentation du taux de refus sur le tableau de bord Security Command Center.
Google Cloud calcule les valeurs Long_Term_Denied_RPS et Long_Term_Inbound_RPS en fonction des informations historiques de Google Cloud Armor.
Google Cloud Armor Adaptive Protection
Adaptive Protection envoie des données télémétriques à Security Command Center. Pour en savoir plus sur les résultats d'Adaptive Protection, consultez la section Surveillance, alertes et journalisation dans la présentation d'Adaptive Protection.
Une fois le trafic revenu à la normale
Les résultats générés par Security Command Center sont des notifications indiquant qu'un comportement particulier a été observé à un moment donné. Aucune notification n'est envoyée lorsque ce comportement disparaît.
Les résultats existants peuvent être mis à jour si les caractéristiques du trafic actuel augmentent considérablement par rapport aux caractéristiques existantes. L'absence de résultat de suivi signifie que le comportement a disparu ou bien que le volume de trafic (autorisé ou refusé) n'a pas augmenté de manière substantielle après la génération du résultat initial.
Étape suivante
- Résoudre les problèmes
- Utiliser la documentation de référence sur le langage des règles personnalisées