Hallazgos de Security Command Center

Security Command Center es la base de datos de seguridad y riesgos de Google Cloud. Security Command Center incluye un panel de riesgos y un sistema de estadísticas para descubrir, comprender y modificar los riesgos de seguridad y de datos de Google Cloud en una organización.

Google Cloud Armor se integra automáticamente en Security Command Center y exporta dos hallazgos al panel de Security Command Center: los aumentos repentinos de tráfico permitidos y el aumento en la proporción de denegación. En esta guía, se describen los hallazgos y cómo interpretarlos.

Si aún no tienes Google Cloud Armor habilitado en Security Command Center, consulta cómo configurar Security Command Center. Verás los resultados en Security Command Center solo para los proyectos que lo tengan habilitado a nivel de la organización.

Hallazgo de aumento de tráfico permitido

El tráfico permitido consiste en solicitudes HTTP(S) con el formato correcto que están destinadas a llegar a tus servicios de backend después de que se aplique una política de seguridad de Google Cloud Armor.

El hallazgo de aumento de tráfico permitido te notifica de un aumento repentino en el tráfico permitido por servicio de backend. Se genera un hallazgo cuando hay un aumento repentino en el número permitido de solicitudes por segundo (RPS) en comparación con el volumen normal observado en la historia reciente. Las RPS que conformaron el aumento y las RPS del historial reciente se proporcionan como parte del hallazgo.

Caso de uso: Posibles ataques de L7

Los ataques de denegación de servicio distribuido (DSD) se producen cuando los atacantes envían grandes volúmenes de solicitudes para sobrecargar un servicio de destino. El tráfico de ataque DSD de capa 7 suele presentar un aumento en el número de solicitudes por segundo.

Un hallazgo de aumento de tráfico permitido identifica el servicio de backend al que se dirige el aumento de RPS y proporciona las características de tráfico que hicieron que Google Cloud Armor lo clasifique como un aumento de RPS. Usa esta información para determinar lo siguiente:

  • Si existe un posible ataque de DSD de la capa 7
  • El servicio que se orienta
  • Las acciones que puedes realizar para mitigar el posible ataque

La siguiente es una captura de pantalla de un hallazgo de ejemplo de aumento de tráfico permitido en el panel de Security Command Center.

Hallazgo de aumento de tráfico permitido
Hallazgo de aumento de tráfico permitido (haz clic para ampliar)

Google Cloud calcula los valores Long_Term_Allowed_RPS y Short_Term_Allowed_RPS en función de la información histórica de Google Cloud Armor.

Hallazgo de aumento en la proporción de denegación

El hallazgo de aumento en la proporción de denegación te notifica que hay un aumento en la proporción de tráfico que Google Cloud Armor bloquea debido a una regla configurada por el usuario en una política de seguridad. Aunque la denegación está prevista y no afecta al servicio de backend, este hallazgo sirve como alerta sobre los aumentos de tráfico no deseado y potencialmente malicioso dirigido a tus aplicaciones. Las RPS del tráfico denegado y el tráfico entrante total se proporcionan como parte del resultado.

Caso de uso: Mitigación de ataques de L7

Un hallazgo de aumento en la proporción de denegación te permite ver el impacto de las mitigaciones exitosas y los cambios significativos en el comportamiento de los clientes maliciosos. El hallazgo identifica el backend al que se dirige el tráfico denegado y proporciona las características de tráfico que hicieron que Google Cloud Armor generara el hallazgo. Usa esta información a fin de evaluar si el tráfico denegado debe ser analizado en detalle para fortalecer aún más tus mitigaciones.

La siguiente es una captura de pantalla de un hallazgo de ejemplo de aumento de la proporción de denegación en el panel de Security Command Center.

Hallazgo de aumento de la proporción de denegación
Hallazgo de aumento de la proporción de denegación (haz clic para ampliar)

Google Cloud calcula los valores Long_Term_Denied_RPS y Long_Term_Incoming_RPS en función de la información histórica de Google Cloud Armor.

Después de que el tráfico regresa a la normalidad

Los hallazgos de Security Command Center consisten en notificaciones sobre la detección de un comportamiento particular en un momento determinado. No se envía ninguna notificación cuando el comportamiento vuelve a la normalidad.

Es posible que haya actualizaciones para los hallazgos existentes si las características del tráfico actual aumentan de forma sustancial en comparación con las características existentes. Si no hay hallazgos de seguimiento, el comportamiento volvió a la normalidad o no hubo aumentos del volumen de tráfico (tráfico permitido o denegado) de manera sustancial después de que se generó el hallazgo inicial.

¿Qué sigue?