Security Command Center 是 Google Cloud的安全性和風險資料庫。Security Command Center 包含風險資訊主頁和分析系統,可顯示、瞭解及修正機構中的安全性與資料風險。Google Cloud
Google Cloud Armor 會自動與 Security Command Center 整合,並將「允許的流量尖峰」和「拒絕率增加」這兩項發現項目匯出至 Security Command Center 資訊主頁。本指南將說明調查結果和解讀方式。
如果尚未在 Security Command Center 中啟用 Cloud Armor,請參閱「設定 Security Command Center」。只有在機構層級啟用 Security Command Center 的專案,您才會在 Security Command Center 中看到發現項目。
允許的流量尖峰偵測結果
允許的流量包含格式正確的 HTTP(S) 要求,這些要求在 Cloud Armor 安全性政策強制執行後,會傳送至後端服務。
「允許的流量尖峰」發現項目會通知您每個後端服務允許的流量尖峰。如果每秒允許的要求數 (RPS) 突然增加,且與近期觀察到的正常量相比有顯著差異,系統就會產生發現項目。調查結果會提供造成尖峰的 RPS,以及近期記錄的 RPS。
用途:潛在的第 7 層攻擊
分散式阻斷服務 (DDoS) 攻擊是指攻擊者傳送大量要求,導致目標服務超載。第 7 層 DDoS 攻擊流量通常會導致每秒要求數急遽增加。
「允許的流量尖峰」調查結果會找出 RPS 尖峰流量導向的後端服務,並提供導致 Cloud Armor 將其分類為 RPS 尖峰的流量特徵。請根據這項資訊判斷下列事項:
- 是否可能正在遭受第 7 層 DDoS 攻擊。
- 目標服務。
- 您可以採取哪些行動來防範潛在攻擊。
下圖是 Security Command Center 資訊主頁上「允許的流量暴增」發現項目的範例螢幕截圖。
Google Cloud 會根據 Cloud Armor 歷來資訊,計算 Long_Term_Allowed_RPS 和 Short_Term_Allowed_RPS 的值。
提高拒絕率
「拒絕比率增加」調查結果會通知您,由於安全性政策中使用者設定的規則,Cloud Armor 封鎖的流量比率有所增加。雖然遭到拒絕是預料中的事,且不會影響後端服務,但這項發現有助於提醒您,針對應用程式的不當和潛在惡意流量有所增加。遭拒流量的 RPS 和連入流量總數會一併列入調查結果。
用途:減輕第 7 層攻擊
「拒絕率提高」調查結果可讓您瞭解成功緩解攻擊的影響,以及惡意用戶行為的重大變化。這項發現會指出遭拒流量導向的後端,並提供導致 Cloud Armor 提出這項發現的流量特徵。您可以根據這項資訊評估是否需要詳細研究遭拒絕的流量,進一步強化緩解措施。
以下是 Security Command Center 資訊主頁上「拒絕比率增加」發現項目的螢幕截圖範例。
Google Cloud 根據 Cloud Armor 歷來資訊計算 Long_Term_Denied_RPS 和 Long_Term_Incoming_RPS 值。
Google Cloud Armor Adaptive Protection
Adaptive Protection 會將遙測資料傳送至 Security Command Center。如要進一步瞭解自動調整式防護機制發現的結果,請參閱自動調整式防護機制總覽中的「監控、快訊和記錄」。
進階的網路分散式阻斷服務防護功能
進階網路 DDoS 防護功能會將遙測資料傳送至 Security Command Center。如要進一步瞭解進階網路 DDoS 防護發現項目,請參閱 Security Command Center 發現項目。
流量恢復正常後
Security Command Center 發現項目是通知,指出系統在某個時間點觀察到特定行為。行為清除後,系統不會發送通知。
如果目前的流量特徵與現有特徵相比大幅增加,現有調查結果可能會更新。如果沒有後續發現,表示行為已清除,或是在產生初始發現後,流量並未大幅增加 (允許或拒絕)。