Security Command Center の検出結果について

Security Command Center は、Google Cloud のセキュリティとリスクのデータベースです。Security Command Center には、組織全体の Google Cloud のセキュリティ リスクとデータリスクを顕在化させて把握し、修正するためのリスク ダッシュボードと分析システムが含まれています。Google Cloud Armor は Security Command Center と自動的に統合され、2 つの検出結果が Security Command Center のダッシュボードにエクスポートされます。このガイドでは、検出結果とその解釈方法について説明します。

Security Command Center で Google Cloud Armor がまだ有効になっていない場合は、Security Command Center のドキュメントをご覧ください。Security Command Center に検出結果が表示されるのは、組織レベルで Security Command Center が有効になっているプロジェクトのみです。

許可されたトラフィック急増の検出結果

許可されたトラフィックは、Google Cloud Armor セキュリティ ポリシーが適用された後に、バックエンド サービスへの到達を目的とした、正しい形式の HTTP(S) リクエストで構成されます。

この検出結果により、バックエンド サービスごとをベースとして、許可されたトラフィックの急増が通知されます。検出結果は、最近の履歴で確認された通常のボリュームと比較して、1 秒あたりの許可されたリクエスト数(RPS)が急増した場合に生成されます。急増を構成した RPS と最近の履歴の RPS が、検出結果の一部として提供されます。

ユースケース: 潜在的な L7 攻撃

分散型サービス拒否(DDoS)攻撃は、攻撃者が大量のリクエストを送信してターゲット サービスに過負荷をかけると発生します。レイヤ 7 DDoS 攻撃のトラフィックは、通常、1 秒あたりのリクエスト数の急増を引き起こします。許可されたトラフィックの急増の検出結果は、潜在的なレイヤ 7 DDOS 攻撃が進行中であることを示している可能性があります。

許可されたトラフィックが急増しているという検出結果により、RPS の急増の対象となるバックエンド サービスと、Google Cloud Armor が RPS 急増として分類したトラフィック特性がわかります。この情報を使用して、潜在的な攻撃が進行中であるかどうか、標的となっているサービス、潜在的な攻撃を軽減するために講じるアクションを判断します。

以下は、Security Command Center ダッシュボード上に表示された、許可されたトラフィック急増の検出結果サンプルのスクリーンショットです。

許可されたトラフィック急増の検出結果
許可されたトラフィック急増検出結果(クリックして拡大)

Long_Term_Allowed_RPSShort_Term_Allowed_RPS は Google Cloud Armor の履歴情報に基づいて Google Cloud によって計算されます。

拒否率の増加

この検出結果は、セキュリティ ポリシーでユーザーが構成したルールによって、Google Cloud Armor がブロックしたトラフィックの割合が増加したことを通知します。トラフィックの拒否は想定どおりのものであり、バックエンド サービスには影響しませんが、この検出結果によって、アプリケーションを標的とする、不要かつ潜在的に悪意のあるトラフィックの増加を警告できます。拒否されたトラフィックの RPS と受信トラフィックの合計が、検出結果の一部として提供されます。

ユースケース: L7 攻撃の軽減

トラフィック拒否の検出結果により、有効な軽減策の影響と、悪意のあるクライアントの動作の大きな変化の両方を確認できます。検出結果により、拒否されたトラフィックが向けられたバックエンドが特定され、Google Cloud Armor が検出結果を示す原因となったトラフィック特性が提示されます。この情報を使用して、攻撃の緩和策をさらに強化するために、拒否されたトラフィックを詳細に調査する必要があるかどうかを評価します。

以下は、Security Command Center のダッシュボードに表示された、拒否率増加のサンプルのスクリーンショットです。

拒否率増加の検出結果
拒否率上昇の検出結果(クリックして拡大)

Long_Term_Denied_RPSLong_Term_Incoming_RPS は、Google Cloud Armor の履歴情報に基づいて Google Cloud によって計算されます。

トラフィックが通常に戻った後

Security Command Center の検出結果は、特定の時点で特定の動作が観察されたことを知らせる通知です。その動作が元に戻った場合、通知は送信されません。

現在のトラフィック特性が既存のトラフィック特性と比較して大幅に増加している場合は、既存の検出結果が更新される可能性があります。追加の検出結果がない場合は、最初の検出結果が生成された後、動作が元に戻ったか、トラフィック量が大幅に増加(許可または拒否)しなかったかのいずれかです。

次のステップ

トラブルシューティング情報については、Google Cloud Armor セキュリティ ポリシーのトラブルシューティングをご覧ください。