O Security Command Center é o banco de dados de segurança e risco do Google Cloud. O Security Command Center inclui um painel de controle e um sistema de análise de riscos para descobrir, entender e corrigir riscos de dados e segurança do Google Cloud de uma organização.
O Google Cloud Armor é integrado automaticamente ao Security Command Center e exporta duas descobertas para o painel do Security Command Center: Pico de tráfego permitido e Aumento da taxa de negação. Este guia descreve as descobertas e como interpretá-las.
Se o Google Cloud Armor ainda não estiver ativado no Security Command Center, consulte Como configurar o Security Command Center. Só é possível ver as descobertas no Security Command Center de projetos em que a plataforma está ativada no nível da organização.
Descoberta de pico de tráfego permitido
Tráfego permitido consiste em solicitações HTTP(S) bem formadas destinadas a alcançar seus serviços de back-end após a imposição de uma política de segurança do Google Cloud Armor.
A descoberta de Pico de tráfego permitido notifica você de um pico no tráfego permitido por serviço de back-end. A descoberta é gerada quando há um aumento repentino no número permitido de solicitações por segundo (RPS, na sigla em inglês) em comparação com o volume normal observado no histórico recente. As RPS que constituíram o pico e as RPS do histórico recente são fornecidas como parte da descoberta.
Caso de uso: possíveis ataques L7
Ataques distribuídos de negação de serviço (DDoS) ocorrem quando os atacantes enviam grandes volumes de solicitações para sobrecarregar um serviço de destino. O tráfego de ataque DDoS da camada 7 geralmente apresenta um aumento no número de solicitações por segundo.
Uma descoberta de pico de tráfego permitido identifica o serviço de back-end para o qual o pico de RPS é direcionado e fornece as características de tráfego que fizeram com que o Google Cloud Armor o classificasse como um pico de RPS. Use essas informações para identificar:
- A existência de um possível ataque de DDoS da camada 7
- O serviço que está sendo atacado
- As ações que podem ser tomadas para reduzir o possível ataque
Veja a seguir uma captura de tela de um exemplo de descoberta de pico de tráfego permitido no painel do Security Command Center.
O Google Cloud calcula os valores Long_Term_Allowed_RPS e Short_Term_Allowed_RPS com base nas informações do histórico do Google Cloud Armor.
Descoberta de aumento da taxa de negação
A descoberta de aumento da proporção de negação notifica que há um aumento na proporção de tráfego que o Google Cloud Armor bloqueia devido a uma regra configurada pelo usuário em uma política de segurança. Embora a negação seja esperada e não afete o serviço de back-end, essa descoberta ajuda a alertá-lo sobre aumentos no tráfego indesejado e potencialmente malicioso direcionado aos seus aplicativos. As RPS do tráfego negado e do tráfego de entrada total são fornecidas como parte da descoberta.
Caso de uso: mitigação de ataques L7
Uma descoberta de aumento da proporção de negação mostra o impacto de mitigações bem-sucedidas e mudanças significativas no comportamento de clientes mal-intencionados. A descoberta identifica o back-end para o qual o tráfego negado foi direcionado e fornece as características de tráfego que fizeram o Google Cloud Armor apontar a descoberta. Use essas informações para avaliar se o tráfego negado precisa ser estudado em detalhes para reforçar ainda mais as mitigações.
Veja a seguir uma captura de tela de um exemplo de aumento da proporção de negação encontrado no painel do Security Command Center.
O Google Cloud calcula os valores Long_Term_Denied_RPS e Long_Term_Incoming_RPS com base nas informações do histórico do Google Cloud Armor.
Proteção adaptativa do Google Cloud Armor
A Proteção adaptativa envia telemetria para o Security Command Center. Para mais informações sobre as descobertas da Proteção adaptável, consulte Monitoramento, alertas e geração de registros na visão geral da Proteção adaptativa.
Após o tráfego voltar ao normal
As descobertas do Security Command Center são notificações de que um comportamento específico foi observado em um determinado momento. Nenhuma notificação é enviada quando o comportamento é resolvido.
Pode haver atualizações de descobertas existentes se as características atuais do tráfego aumentarem substancialmente em comparação às características existentes. Se não houver descoberta subsequente, isso significa que o comportamento foi limpo ou o volume de tráfego não aumentou (permitido ou negado) substancialmente depois que a descoberta inicial foi gerada.