Security Command Center è il database di sicurezza e rischio di Google Cloud. Security Command Center include una dashboard dei rischi e un sistema di analisi per individuare, comprendere e correggere i rischi relativi alla sicurezza e ai dati di Google Cloud in tutta l'organizzazione.
Google Cloud Armor si integra automaticamente con Security Command Center ed esporta due risultati nella dashboard di Security Command Center: Scarso di traffico consentito e Rapporto di negazione crescente. Questa guida descrive i risultati e come interpretarli.
Se non hai già abilitato Google Cloud Armor in Security Command Center, vedi Configurare Security Command Center. I risultati in Security Command Center vengono visualizzati solo per i progetti per cui è stato abilitato Security Command Center a livello di organizzazione.
Rilevamento di picchi di traffico consentiti
Il traffico consentito è costituito da richieste HTTP(S) ben strutturate che vengono destinate a raggiungere i tuoi servizi di backend dopo l'applicazione di un criterio di sicurezza Google Cloud Armor.
Il risultato Aumento del traffico consentito ti avvisa della presenza di un picco di traffico consentito su base del servizio di backend. Un risultato viene generato quando si verifica un improvviso aumento del numero consentito di richieste al secondo (RPS) rispetto al volume normale rilevato nella cronologia recente. Il valore RPS che ha costituito il picco e il valore RPS della cronologia recente vengono forniti nell'ambito del risultato.
Caso d'uso: potenziali attacchi L7
Gli attacchi denial of service (DDoS) distribuiti si verificano quando gli utenti malintenzionati inviano grandi volumi di richieste per sovraccaricare un servizio di destinazione. In genere, il traffico di attacco DDoS di livello 7 presenta un picco nel numero di richieste al secondo.
Un risultato Consenti traffico di picco identifica il servizio di backend a cui viene indirizzato il picco RPS e fornisce le caratteristiche di traffico che hanno portato Google Cloud Armor a classificarlo come picco RPS. Utilizza queste informazioni per determinare quanto segue:
- Se è in corso un potenziale attacco DDoS di livello 7.
- Il servizio scelto come target.
- Le azioni che puoi intraprendere per mitigare il potenziale attacco.
Di seguito è riportato uno screenshot di esempio di un esempio di spike del traffico consentito nella dashboard di Security Command Center.
Google Cloud calcola i valori Long_Term_Allowed_RPS e Short_Term_Allowed_RPS sulla base delle informazioni cronologiche di Google Cloud Armor.
Aumento del risultato del rapporto di negazione
Il risultato Aumento del rapporto di negazione indica che c'è un aumento nel rapporto del traffico che Google Cloud Armor blocca a causa di una regola configurata dall'utente in un criterio di sicurezza. Il rifiuto è previsto e non influisce sul servizio di backend, ma questo risultato ti avvisa in caso di aumento del traffico indesiderato e potenzialmente dannoso delle tue applicazioni. Gli RPS del traffico negato e il traffico in entrata totale vengono forniti come risultato.
Caso d'uso: mitigazione degli attacchi L7
Un risultato Aumento del rapporto di negazione consente di visualizzare sia l'impatto delle mitigazioni riuscite sia i cambiamenti significativi nel comportamento dei client dannosi. Il risultato identifica il backend a cui è stato indirizzato il traffico negato e fornisce le caratteristiche del traffico che hanno causato un incremento del risultato da parte di Google Cloud Armor. Utilizza queste informazioni per valutare se il traffico negato deve essere studiato in dettaglio per rafforzare ulteriormente le tue limitazioni.
Di seguito è riportato uno screenshot di esempio di un esempio di aumento del rapporto di negazione nella dashboard di Security Command Center.
Google Cloud calcola i valori Long_Term_Denied_RPS e Long_Term_Inbound_RPS in base ai dati storici di Google Cloud Armor.
Dopo che il traffico torna alla normalità
I risultati di Security Command Center sono notifiche che hanno rilevato un determinato comportamento in un momento specifico. Non viene inviata alcuna notifica quando il comportamento si cancella.
Potrebbero esserci aggiornamenti ai risultati esistenti se le caratteristiche di traffico attuali aumentano sostanzialmente in confronto a quelle esistenti. Se non è stato trovato alcun risultato successivo, il comportamento è stato cancellato o il volume di traffico non è aumentato (consenti o nega) notevolmente dopo la generazione del risultato iniziale.