Descobertas do Security Command Center

O Security Command Center é o banco de dados de segurança e risco do Google Cloud. O Security Command Center inclui um painel de controle e um sistema de análise de riscos para descobrir, entender e corrigir riscos de dados e segurança do Google Cloud de uma organização.

O Google Cloud Armor é integrado automaticamente ao Security Command Center e exporta duas descobertas para o painel do Security Command Center: Pico de tráfego permitido e Aumento da taxa de negação. Este guia descreve as descobertas e como interpretá-las.

Se o Google Cloud Armor ainda não estiver ativado no Security Command Center, consulte Como configurar o Security Command Center. Só é possível ver as descobertas no Security Command Center de projetos em que a plataforma está ativada no nível da organização.

Descoberta de pico de tráfego permitido

Tráfego permitido consiste em solicitações HTTP(S) bem formadas destinadas a alcançar seus serviços de back-end após a imposição de uma política de segurança do Google Cloud Armor.

A descoberta Pico de tráfego permitido notifica sobre um aumento no tráfego permitido por serviço de back-end. A descoberta é gerada quando há um aumento repentino no número permitido de solicitações por segundo (RPS, na sigla em inglês) em comparação com o volume normal observado no histórico recente. As RPS que constituíram o pico e as RPS do histórico recente são fornecidas como parte da descoberta.

Caso de uso: possíveis ataques L7

Ataques distribuídos de negação de serviço (DDoS) ocorrem quando os atacantes enviam grandes volumes de solicitações para sobrecarregar um serviço de destino. O tráfego de ataque DDoS da camada 7 geralmente apresenta um aumento no número de solicitações por segundo.

A descoberta Pico de tráfego permitido identifica o serviço de back-end a que o pico de RPS é direcionado e fornece as características de tráfego que fizeram o Google Cloud Armor classificá-lo como um pico de RPS. Use essas informações para identificar:

  • A existência de um possível ataque de DDoS da camada 7
  • O serviço que está sendo atacado
  • As ações que podem ser tomadas para reduzir o possível ataque

Confira a seguir uma captura de tela de uma amostra de descoberta de pico de tráfego permitido no painel do Security Command Center.

Descoberta de pico de tráfego permitido.
Descoberta de pico de tráfego permitido (clique para ampliar).

O Google Cloud calcula os valores Long_Term_Allowed_RPS e Short_Term_Allowed_RPS com base nas informações do histórico do Google Cloud Armor.

Descoberta de aumento da taxa de negação

A descoberta Aumento da taxa de negação informa um aumento na proporção do tráfego que o Google Cloud Armor bloqueia devido a uma regra configurada pelo usuário em uma política de segurança. Embora a negação seja esperada e não afete o serviço de back-end, essa descoberta ajuda a alertá-lo sobre aumentos no tráfego indesejado e potencialmente malicioso direcionado aos seus aplicativos. As RPS do tráfego negado e do tráfego de entrada total são fornecidas como parte da descoberta.

Caso de uso: mitigação de ataques L7

A descoberta Aumento da taxa de negação permite ver o impacto de mitigações bem-sucedidas e mudanças significativas no comportamento de clientes mal-intencionados. A descoberta identifica o back-end para o qual o tráfego negado foi direcionado e fornece as características de tráfego que fizeram o Google Cloud Armor apontar a descoberta. Use essas informações para avaliar se o tráfego negado precisa ser estudado em detalhes para reforçar ainda mais as mitigações.

Confira a seguir uma captura de tela de uma amostra de aumento da taxa de negação encontrada no painel do Security Command Center.

Descoberta de aumento da taxa de negação.
Descoberta de aumento da taxa de negação (clique para ampliar).

O Google Cloud calcula os valores Long_Term_Denied_RPS e Long_Term_Incoming_RPS com base nas informações do histórico do Google Cloud Armor.

Proteção adaptativa do Google Cloud Armor

A Proteção adaptativa envia telemetria para o Security Command Center. Para mais informações sobre as descobertas da Proteção adaptável, consulte Monitoramento, alertas e geração de registros na visão geral da Proteção adaptativa.

Após o tráfego voltar ao normal

As descobertas do Security Command Center são notificações de que um comportamento específico foi observado em um determinado momento. Nenhuma notificação é enviada quando o comportamento é resolvido.

Pode haver atualizações de descobertas existentes se as características atuais do tráfego aumentarem substancialmente em comparação às características existentes. Se não houver descoberta subsequente, isso significa que o comportamento foi limpo ou o volume de tráfego não aumentou (permitido ou negado) substancialmente depois que a descoberta inicial foi gerada.

A seguir