Security Command Center es la base de datos de seguridad y riesgos de Google Cloud. Security Command Center incluye un panel de riesgos y un sistema de estadísticas para descubrir, comprender y modificar los riesgos de seguridad y de datos de Google Cloud en una organización.
Google Cloud Armor se integra de forma automática en Security Command Center y exporta dos resultados al panel de Security Command Center: Aumento repentino de tráfico permitido y Aumento en la proporción de denegación. En esta guía, se describen los hallazgos y cómo interpretarlos.
Si aún no tienes Google Cloud Armor habilitado en Security Command Center, consulta Configuración de Security Command Center. En Security Command Center, solo ves hallazgos de proyectos que tienen este producto habilitado a nivel de organización.
Hallazgo de aumento de tráfico permitido
El tráfico permitido consiste en solicitudes HTTP(S) con el formato correcto que están destinadas a llegar a tus servicios de backend después de que se aplique una política de seguridad de Google Cloud Armor.
El hallazgo Aumento de tráfico permitido te notifica un aumento en el tráfico permitido por servicio de backend. Se genera un hallazgo cuando hay un aumento repentino en el número permitido de solicitudes por segundo (RPS) en comparación con el volumen normal observado en la historia reciente. Las RPS que conformaron el aumento y las RPS del historial reciente se proporcionan como parte del hallazgo.
Caso de uso: Posibles ataques de L7
Los ataques de denegación de servicio distribuido (DSD) se producen cuando los atacantes envían grandes volúmenes de solicitudes para sobrecargar un servicio de destino. El tráfico de ataque DSD de capa 7 suele presentar un aumento en el número de solicitudes por segundo.
Un hallazgo de Aumento de tráfico permitido identifica el servicio de backend al que se dirige el aumento de RPS y proporciona las características de tráfico que hicieron que Google Cloud Armor lo clasificara como un aumento de RPS. Usa esta información para determinar lo siguiente:
- Si existe un posible ataque de DSD de la capa 7
- El servicio que se orienta
- Las acciones que puedes realizar para mitigar el posible ataque
La siguiente es una captura de pantalla de un ejemplo de un hallazgo de Aumento repentino de tráfico permitido en el panel de Security Command Center.
Google Cloud calcula los valores Long_Term_Allowed_RPS y Short_Term_Allowed_RPS en función de la información histórica de Google Cloud Armor.
Hallazgo de aumento en la proporción de denegación
El hallazgo Aumento en la proporción de denegación te notifica que hay un aumento en la proporción de tráfico que Google Cloud Armor bloquea debido a una regla configurada por el usuario en una política de seguridad. Aunque la denegación está prevista y no afecta al servicio de backend, este hallazgo sirve como alerta sobre los aumentos de tráfico no deseado y potencialmente malicioso dirigido a tus aplicaciones. Las RPS del tráfico denegado y el tráfico entrante total se proporcionan como parte del resultado.
Caso de uso: Mitigación de ataques de L7
Un hallazgo de Aumento en la proporción de denegación te permite ver el impacto de las mitigaciones exitosas y los cambios significativos en el comportamiento de los clientes maliciosos. El hallazgo identifica el backend al que se dirige el tráfico denegado y proporciona las características de tráfico que hicieron que Google Cloud Armor generara el hallazgo. Usa esta información a fin de evaluar si el tráfico denegado debe ser analizado en detalle para fortalecer aún más tus mitigaciones.
La siguiente es una captura de pantalla de un hallazgo de muestra Aumenta la proporción de denegación en el panel de Security Command Center.
Google Cloud calcula los valores Long_Term_Denied_RPS y Long_Term_Incoming_RPS en función de la información histórica de Google Cloud Armor.
Protección adaptable de Google Cloud Armor
La protección adaptable envía la telemetría a Security Command Center. Para obtener más información sobre los resultados de la protección adaptable, consulta Supervisión, alertas y registro en la descripción general de la protección adaptable.
Después de que el tráfico regresa a la normalidad
Los hallazgos de Security Command Center consisten en notificaciones sobre la detección de un comportamiento particular en un momento determinado. No se envía ninguna notificación cuando el comportamiento vuelve a la normalidad.
Es posible que haya actualizaciones para los hallazgos existentes si las características del tráfico actual aumentan de forma sustancial en comparación con las características existentes. Si no hay hallazgos de seguimiento, el comportamiento volvió a la normalidad o no hubo aumentos del volumen de tráfico (tráfico permitido o denegado) de manera sustancial después de que se generó el hallazgo inicial.