Das Security Command Center ist die Sicherheits- und Risikodatenbank für Google Cloud. Das Security Command Center enthält ein Risiko-Dashboard und ein Analysesystem, mit denen Sie Sicherheits- und Datenrisiken von Google Cloud in einer Organisation aufdecken, verstehen und beheben können.
Google Cloud Armor ist automatisch in Security Command Center eingebunden und exportiert zwei Ergebnisse in das Security Command Center-Dashboard: Zulässige Trafficspitze und Ablehnungsverhältnis erhöhen. In diesem Leitfaden werden die Ergebnisse und ihre Interpretation beschrieben.
Wenn Google Cloud Armor im Security Command Center noch nicht aktiviert ist, finden Sie entsprechende Informationen unter Security Command Center konfigurieren. Sie können Ergebnisse im Security Command Center nur für Projekte sehen, bei denen Security Command Center auf Organisationsebene aktiviert ist.
Ergebnis zu Spitzen beim zulässigen Traffic
Zulässiger Traffic besteht aus wohlgeformten HTTP(S)-Anfragen, die Ihre Back-End-Dienste erreichen sollen, nachdem eine Google Cloud Armor-Sicherheitsrichtlinie erzwungen wurde.
Das Ergebnis Spitze des zulässigen Traffics informiert Sie über eine Spitze des zulässigen Traffics pro Back-End-Dienst. Ein Ergebnis wird generiert, wenn die zulässige Anzahl von Anfragen pro Sekunde (RPS) im Vergleich zum in der jüngeren Vergangenheit beobachteten normalen Volumen plötzlich zunimmt. Die RPS, aus der die Spitze bestand, und die RPS des jüngeren Verlaufs werden als Teil des Ergebnisses bereitgestellt.
Anwendungsfall: potenzielle L7-Angriffe
DDoS-Angriffe (Distributed Denial of Service) treten auf, wenn Angreifer große Mengen von Anfragen senden, um einen Zieldienst zu überlasten. Der Layer-7-DDoS-Angriffstraffic weist normalerweise einen Anstieg der Anzahl von Anfragen pro Sekunde auf.
Ein Ergebnis für Zulässige Trafficspitze identifiziert den Back-End-Dienst, an den die RPS-Spitze gerichtet ist, und stellt die Traffic-Eigenschaften bereit, die Google Cloud Armor veranlasst haben, ihn als RPS-Spitze zu klassifizieren. Stellen Sie anhand dieser Informationen Folgendes fest:
- Ob ein potenzieller Layer-7-DDoS-Angriff im Gange ist.
- Auf welchen Dienst abgezielt wird.
- Mit welchen Maßnahmen Sie den potenziellen Angriff entschärfen können.
Der folgende Screenshot zeigt ein Beispielergebnis für Erlaubte Traffic-Spitze im Security Command Center-Dashboard.
Google Cloud berechnet die Werte Long_Term_Allowed_RPS und Short_Term_Allowed_RPS anhand der Verlaufsinformationen von Google Cloud Armor.
Ergebnis zu einer erhöhten Ablehnungsrate
Das Ergebnis Zunehmende Ablehnungsrate weist Sie darauf hin, dass das Verhältnis des Traffics zunimmt, den Google Cloud Armor aufgrund einer vom Nutzer konfigurierten Regel in einer Sicherheitsrichtlinie blockiert. Obwohl die Ablehnung erwartet wird und sich nicht auf den Back-End-Dienst auswirkt, hilft Ihnen dieses Ergebnis dabei, auf einen Anstieg des unerwünschten und potenziell schädlichen Traffics hinzuweisen, der auf Ihre Anwendungen abzielt. Die RPS des abgelehnten Traffics und der gesamte eingehende Traffic werden als Teil des Ergebnisses angegeben.
Anwendungsfall: L7-Angriffe abmildern
Ein Ergebnis zu zunehmender Ablehnungsrate gibt Aufschluss über die Auswirkungen erfolgreicher Abwehrmaßnahmen und deutliche Änderungen im Verhalten schädlicher Clients. Das Ergebnis identifiziert das Back-End, an das der abgelehnte Traffic geleitet wurde, und stellt die Traffic-Eigenschaften bereit, die dazu geführt haben, dass Google Cloud Armor das Ergebnis erstellt hat. Verwenden Sie diese Informationen, um zu bewerten, ob der abgelehnte Traffic im Detail untersucht werden muss, um Ihre Abmilderungen weiter zu stärken.
Im Folgenden finden Sie einen Screenshot eines Beispielergebnisses zum Erhöhen des Ablehnungsverhältnisses im Security Command Center-Dashboard.
Google Cloud berechnet die Werte Long_Term_Denied_RPS und Long_Term_Denied_RPS anhand der Verlaufsinformationen von Google Cloud Armor.
Google Cloud Armor Adaptive Protection
Adaptive Protection sendet Telemetriedaten an Security Command Center. Weitere Informationen zu den Ergebnissen von Adaptive Protection finden Sie in der Adaptive Protection-Übersicht unter Monitoring, Benachrichtigungen und Logging.
Nach Normalisierung des Traffics
Mit den Ergebnissen im Security Command Center werden Sie darüber benachrichtigt, dass zu einem Zeitpunkt ein bestimmtes Verhalten beobachtet wurde. Wenn das Verhalten behoben ist, wird keine Benachrichtigung gesendet.
Bestehende Ergebnisse können aktualisiert werden, wenn die aktuellen Traffic-Eigenschaften im Vergleich zu bestehendem Verhalten merklich zunehmen. Wenn es kein Folgeergebnis gibt, ist entweder das Verhalten abgeklungen oder das Traffic-Aufkommen (zulässig oder abgelehnt) hat sich nicht wesentlich erhöht, nachdem das erste Ergebnis erstellt wurde.