Informationen zu den Ergebnissen im Security Command Center

Das Security Command Center ist die Sicherheits- und Risikodatenbank für Google Cloud. Das Security Command Center enthält ein Risiko-Dashboard und ein Analysesystem, mit denen Sie Sicherheits- und Datenrisiken von Google Cloud in einer Organisation aufdecken, verstehen und beheben können. Google Cloud Armor ist automatisch in Security Command Center eingebunden und exportiert zwei Ergebnisse zum Dashboard des Security Command Center. In diesem Leitfaden werden die Ergebnisse und ihre Interpretation beschrieben.

Wenn Sie Google Cloud Armor noch nicht im Security Command Center aktiviert haben, lesen Sie die Dokumentation zum Security Command Center. Beachten Sie, dass Ergebnisse im Security Command Center nur für Projekte angezeigt werden, bei denen Security Command Center auf Organisationsebene aktiviert ist.

Ergebnis zu Spitzen beim zulässigen Traffic

Zulässiger Traffic besteht aus wohlgeformten HTTP(S)-Anfragen, die Ihre Back-End-Dienste erreichen sollen, nachdem eine Google Cloud Armor-Sicherheitsrichtlinie durchgesetzt wurde.

Dieses Ergebnis weist Sie auf einen Anstieg des zulässigen Traffics pro Back-End-Dienst hin. Ein Ergebnis wird generiert, wenn die zulässige Anzahl von Anfragen pro Sekunde (RPS) im Vergleich zum in der jüngeren Vergangenheit beobachteten normalen Volumen plötzlich zunimmt. Die RPS, aus der die Spitze bestand, und die RPS des jüngeren Verlaufs werden als Teil des Ergebnisses bereitgestellt.

Anwendungsfall: potenzielle L7-Angriffe

DDoS-Angriffe (Distributed Denial of Service) treten auf, wenn Angreifer große Mengen von Anfragen senden, um einen Zieldienst zu überlasten. Der Layer-7-DDoS-Angriffstraffic weist normalerweise einen Anstieg der Anzahl von Anfragen pro Sekunde auf. Ein Ergebnis zu einer Spitze beim zulässigen Traffic kann darauf hinweisen, dass ein potenzieller Layer-7-DDOS-Angriff im Gange ist.

Ein Ergebnis zu einer Spitze beim zulässigen Traffic gibt Auskunft über den Back-End-Dienst, an den die RPS-Spitze gerichtet ist, und über die Traffic-Eigenschaften, die Google Cloud Armor veranlasst haben, ihn als RPS-Spitze zu klassifizieren. Verwenden Sie diese Informationen, um festzustellen, ob ein potenzieller Angriff ausgeführt wird, auf welchen Dienst abgezielt wird und welche Maßnahmen Sie ergreifen können, um den potenziellen Angriff abzumildern.

Folgende Abbildung zeigt einen Beispiel-Screenshot eines Ergebnisses zu einer Spitze des zulässigen Traffics im Security Command Center-Dashboard.

Ergebnis zu Spitzen beim zulässigen Traffic
Ergebnis zu Spitzen beim zulässigen Traffic (zum Vergrößern anklicken)

Die Werte Long_Term_Allowed_RPS und Short_Term_Allowed_RPS werden von Google Cloud anhand der Verlaufsinformationen von Google Cloud Armor berechnet.

Ablehnungsverhältnis erhöhen

Dieses Ergebnis weist Sie darauf hin, dass der Anteil des von Google Cloud Armor blockierten Traffics aufgrund einer vom Nutzer konfigurierten Regel in einer Sicherheitsrichtlinie zunimmt. Obwohl die Ablehnung erwartet wird und sich nicht auf den Back-End-Dienst auswirkt, hilft Ihnen dieses Ergebnis, denn es macht Sie auf einen Anstieg des unerwünschten und potenziell böswilligen Traffics aufmerksam, der auf Ihre Anwendungen abzielt. Die RPS des abgelehnten Traffics und der gesamte eingehende Traffic werden als Teil des Ergebnisses bereitgestellt.

Anwendungsfall: L7-Angriffe abmildern

Wenn Sie den Traffic ablehnen, können Sie sowohl die Auswirkungen erfolgreicher Abmilderungen als auch signifikante Änderungen im Verhalten böswilliger Clients erkennen. Das Ergebnis identifiziert das Back-End, an das der abgelehnte Traffic geleitet wurde, und stellt die Traffic-Eigenschaften bereit, die dazu geführt haben, dass Google Cloud Armor das Ergebnis erstellt hat. Verwenden Sie diese Informationen, um zu bewerten, ob der abgelehnte Traffic im Detail untersucht werden muss, um Ihre Abmilderungen weiter zu stärken.

Die folgende Abbildung zeigt einen Beispiel-Screenshot eines Ergebnisses zur Ablehnungsrate im Security Command Center-Dashboard.

Ergebnis zu einer erhöhten Ablehnungsrate
Ergebnis zu einer erhöhten Ablehnungsrate (zum Vergrößern anklicken)

Die Werte Long_Term_Denied_RPS und Long_Term_Incoming_RPS werden von Google Cloud anhand der Verlaufsinformationen von Google Cloud Armor berechnet.

Nach Normalisierung des Traffics

Mit den Ergebnissen im Security Command Center werden Sie darüber benachrichtigt, dass zu einem Zeitpunkt ein bestimmtes Verhalten beobachtet wurde. Wenn das Verhalten behoben ist, wird keine Benachrichtigung gesendet.

Bestehende Ergebnisse können aktualisiert werden, wenn die aktuellen Traffic-Eigenschaften im Vergleich zu bestehendem Verhalten merklich zunehmen. Wenn es kein Folgeergebnis gibt, ist entweder das Verhalten abgeklungen oder das Traffic-Aufkommen (zulässig oder abgelehnt) hat sich nicht wesentlich erhöht, nachdem das erste Ergebnis erstellt wurde.

Weitere Informationen

Mehr zur Fehlerbehebung erfahren Sie unter Fehlerbehebung bei Google Cloud Armor-Sicherheitsrichtlinien.