Información sobre los hallazgos de Security Command Center

Security Command Center es la base de datos de seguridad y riesgos de Google Cloud. Security Command Center incluye un panel de riesgos y un sistema de estadísticas para descubrir, comprender y modificar los riesgos de seguridad y de datos de Google Cloud en una organización. Google Cloud Armor se integra de forma automática en Security Command Center y exporta dos hallazgos al panel de Security Command Center. En esta guía, se describen los hallazgos y cómo interpretarlos.

Si aún no tienes Google Cloud Armor habilitado en Security Command Center, consulta la documentación para Security Command Center. Ten en cuenta que, en Security Command Center, solo ves hallazgos de proyectos que tienen este producto habilitado a nivel de organización.

Hallazgo de aumento de tráfico permitido

El tráfico permitido consiste en solicitudes HTTP(S) con el formato correcto que están destinadas a llegar a tus servicios de backend después de que se aplique una política de seguridad de Google Cloud Armor.

Este hallazgo indica un aumento en el tráfico permitido según cada servicio de backend. Se genera un hallazgo cuando hay un aumento repentino en el número permitido de solicitudes por segundo (RPS) en comparación con el volumen normal observado en la historia reciente. Las RPS que constituyeron el aumento y las del historial reciente se proporcionan como parte del hallazgo.

Caso de uso: Posibles ataques de L7

Los ataques de denegación de servicio distribuido (DSD) se producen cuando los atacantes envían grandes volúmenes de solicitudes para sobrecargar un servicio de destino. El tráfico de ataque DSD de capa 7 suele presentar un aumento en el número de solicitudes por segundo. Un hallazgo de aumento de tráfico permitido puede indicar que un posible ataque DSD de capa 7 está en curso.

Un hallazgo de aumento de tráfico permitido te indica el servicio de backend al que se dirige el aumento de RPS y las características de tráfico que hicieron que Google Cloud Armor lo clasifique como un aumento de RPS. Usa esta información para determinar si un posible ataque está en curso, qué servicio es el blanco del ataque y qué acciones puedes realizar para mitigar el posible ataque.

La siguiente es una captura de pantalla de un ejemplo de aumento de tráfico permitido en el panel de Security Command Center.

Hallazgo de aumento de tráfico permitido
Hallazgo de aumento de tráfico permitido (haz clic para ampliar)

Google Cloud calcula los valores Long_Term_Allowed_RPS y Short_Term_Allowed_RPS según la información del historial de Google Cloud Armor.

Aumento en la proporción de denegación

Con este hallazgo, se te notifica que hay un aumento en la proporción de tráfico que Google Cloud Armor bloquea debido a una regla configurada por el usuario en una política de seguridad. Aunque la denegación está prevista y no afecta al servicio de backend, este hallazgo sirve como alerta sobre los aumentos de tráfico no deseado y potencialmente malicioso dirigido a tus aplicaciones. Las RPS del tráfico denegado y el tráfico entrante total se proporcionan como parte del hallazgo.

Caso de uso: Mitigación de ataques de L7

Un hallazgo de denegación de tráfico te permite ver el impacto de las mitigaciones completadas de forma correcta y los cambios significativos en el comportamiento de los clientes maliciosos. El hallazgo identifica el backend al que se dirige el tráfico denegado y proporciona las características de tráfico que hicieron que Google Cloud Armor generara el hallazgo. Usa esta información a fin de evaluar si el tráfico denegado debe ser analizado en detalle para fortalecer aún más tus mitigaciones.

La siguiente es una captura de pantalla de un ejemplo de un hallazgo de aumento en la proporción de denegación en el panel de Security Command Center.

Hallazgo de aumento en la proporción de denegación
Hallazgo de aumento en la proporción de denegación (haz clic para ampliar)

Google Cloud calcula los valores Long_Term_Denied_RPS y Long_Term_Incoming_RPS según la información del historial de Google Cloud Armor.

Después de que el tráfico regresa a la normalidad

Los hallazgos de Security Command Center consisten en notificaciones sobre la detección de un comportamiento particular en un momento determinado. No se envía ninguna notificación cuando el comportamiento vuelve a la normalidad.

Es posible que haya actualizaciones para los hallazgos existentes si las características del tráfico actual aumentan de forma sustancial en comparación con las características existentes. Si no hay hallazgos de seguimiento, el comportamiento volvió a la normalidad o no hubo aumentos del volumen de tráfico (tráfico permitido o denegado) de manera sustancial después de que se generó el hallazgo inicial.

Próximos pasos

Para obtener información sobre la solución de problemas, consulta Soluciona problemas de políticas de seguridad de Google Cloud Armor.