Security Command Center è il database per la sicurezza e i rischi di Google Cloud. Security Command Center include una dashboard dei rischi e un sistema di analisi per rilevare, comprendere e risolvere i rischi per la sicurezza e i dati di Google Cloud in un'organizzazione.
Google Cloud Armor è integrato automaticamente con Security Command Center ed esporta due risultati nella dashboard di Security Command Center: Picco di traffico consentito e Aumento del rapporto di rifiuto. Questa guida descrive i risultati e come interpretarli.
Se non hai ancora attivato Google Cloud Armor in Security Command Center, consulta Configurare Security Command Center. In Security Command Center vengono visualizzati i risultati solo per i progetti in cui Security Command Center è abilitato a livello di organizzazione.
Rilevamento di picchi di traffico consentiti
Il traffico consentito è costituito da richieste HTTP(S) di formato corretto destinate a raggiungere i tuoi servizi di backend dopo l'applicazione di un criterio di sicurezza Google Cloud Armor.
Il rilevamento Picco di traffico consentito ti avvisa di un picco di traffico consentito su base di servizio di backend. Viene generato un rilevamento quando si verifica un aumento improvviso del numero consentito di richieste al secondo (RPS) rispetto al volume normale osservato nella cronologia recente. L'RPS che ha costituito il picco e l'RPS della cronologia recente vengono forniti nell'ambito del rilevamento.
Caso d'uso: potenziali attacchi L7
Gli attacchi DDoS (Distributed Denial of Service) si verificano quando gli utenti malintenzionati inviano grandi volumi di richieste per sovraccaricare un servizio di destinazione. Il traffico di attacchi DDoS di livello 7 tipicamente presenta un picco nel numero di richieste al secondo.
Un rilevamento di picco di traffico consentito identifica il servizio di backend a cui è diretto il picco di RPS e fornisce le caratteristiche del traffico che hanno causato la classificazione di Google Cloud Armor come picco di RPS. Utilizza queste informazioni per determinare quanto segue:
- Se è in corso un potenziale attacco DDoS di livello 7.
- Il servizio di destinazione.
- Le azioni che puoi intraprendere per mitigare il potenziale attacco.
Di seguito è riportato uno screenshot di un risultato di picco di traffico consentito di esempio nella dashboard di Security Command Center.
Google Cloud calcola i valori Long_Term_Allowed_RPS e Short_Term_Allowed_RPS in base alle informazioni storiche di Google Cloud Armor.
Rilevamento di un aumento del rapporto di rifiuto
Il rilevamento Rapporto di rifiuto in aumento ti informa che è in aumento il rapporto tra il traffico bloccato da Google Cloud Armor a causa di una regola configurata dall'utente in un criterio di sicurezza. Sebbene il rifiuto sia previsto e non influisca sul servizio di backend, questo rilevamento ti aiuta ad avvisarti degli aumenti di traffico indesiderato e potenzialmente dannoso che ha come target le tue applicazioni. Il valore RPS del traffico negato e il traffico in entrata totale vengono forniti nell'ambito del risultato.
Caso d'uso: mitigazione degli attacchi L7
Un risultato Aumento del rapporto di rifiuto ti consente di vedere sia l'impatto delle mitigazioni efficaci sia le modifiche significative nel comportamento dei client malintenzionati. Il risultato identifica il backend a cui è stato indirizzato il traffico negato e fornisce le caratteristiche del traffico che hanno causato l'individuazione del problema da parte di Google Cloud Armor. Utilizza queste informazioni per valutare se il traffico negato deve essere studiato in dettaglio per rafforzare ulteriormente le mitigazioni.
Di seguito è riportato uno screenshot di un risultato di esempio Aumento del rapporto di rifiuto nella dashboard di Security Command Center.
Google Cloud calcola i valori Long_Term_Denied_RPS e Long_Term_Incoming_RPS in base alle informazioni storiche di Google Cloud Armor.
Protezione adattiva di Google Cloud Armor
Adaptive Protection invia la telemetria a Security Command Center. Per ulteriori informazioni sui risultati di Adaptive Protection, consulta Monitoraggio, avvisi e log nella panoramica di Adaptive Protection.
Quando il traffico torna alla normalità
I risultati di Security Command Center sono notifiche che indicano che un determinato comportamento è stato osservato in un determinato momento. Non viene inviata alcuna notifica quando il comportamento viene eliminato.
Potrebbero essere disponibili aggiornamenti dei risultati esistenti se le caratteristiche del traffico corrente aumentano notevolmente rispetto a quelle esistenti. Se non viene rilevato alcun altro problema, il comportamento è stato chiarito o il volume di traffico non è aumentato (consentito o negato) in modo significativo dopo la generazione del rilevamento iniziale.