Security Command Center の検出結果

Security Command Center は、Google Cloud のセキュリティとリスクのデータベースです。Security Command Center には、組織全体の Google Cloud のセキュリティ リスクとデータリスクを顕在化させて把握し、修正するためのリスク ダッシュボードと分析システムが含まれています。

Google Cloud Armor は Security Command Center と自動的に統合され、2 つの結果を Security Command Center ダッシュボードの [許可されたトラフィック急増の検出結果] と [拒否率の増加] にエクスポートします。このガイドでは、検出結果とその解釈方法について説明します。

Security Command Center で Google Cloud Armor が有効になっていない場合は、Security Command Center の構成をご覧ください。Security Command Center で検出されるのは、Security Command Center が組織レベルで有効になっているプロジェクトのみです。

許可されたトラフィック急増の検出結果

許可されたトラフィックは、Google Cloud Armor セキュリティ ポリシーが適用された後に、バックエンド サービスへの到達を目的とした、正しい形式の HTTP(S) リクエストで構成されます。

許可されたトラフィック急増の検出結果は、バックエンド サービス単位で許可されたトラフィックの急増を通知します。検出結果は、最近の履歴で確認された通常のボリュームと比較して、1 秒あたりの許可されたリクエスト数(RPS)が急増した場合に生成されます。急増を構成した RPS と最近の履歴の RPS が、検出結果の一部として提供されます。

ユースケース: 潜在的な L7 攻撃

分散型サービス拒否(DDoS)攻撃は、攻撃者が大量のリクエストを送信してターゲット サービスに過負荷をかけると発生します。レイヤ 7 DDoS 攻撃のトラフィックは、通常、1 秒あたりのリクエスト数の急増を引き起こします。

Allowed Traffic Spike 検出は、RPS の急増が振り向けられるバックエンド サービスを識別し、Google Cloud Armor が RPS スパイクとして分類するトラフィック特性が提示されます。この情報を使用して、次のことを判断します。

  • レイヤ 7 DDoS 攻撃が発生しているかどうか。
  • 対象のサービス。
  • 潜在的な攻撃を軽減するために実行できるアクション。

以下は、Security Command Center ダッシュボード上に表示された、許可されたトラフィック急増の検出結果サンプルのスクリーンショットです。

許可されたトラフィック急増の検出結果。
許可されたトラフィック急増の検出結果(クリックして拡大)

Google Cloud は、Google Cloud Armor の履歴情報に基づいて Long_Term_Allowed_RPSShort_Term_Allowed_RPS の値を計算します。

拒否率増加の検出結果

拒否率増加の検出結果は、セキュリティ ポリシーでユーザーが構成したルールによって、Google Cloud Armor がブロックしたトラフィックの割合が増加したことを通知します。トラフィックの拒否は想定どおりのものであり、バックエンド サービスには影響しませんが、この検出結果によって、アプリケーションを標的とする、不要かつ潜在的に悪意のあるトラフィックの増加を警告できます。拒否されたトラフィックの RPS と受信トラフィックの合計が、検出結果の一部として提供されます。

ユースケース: L7 攻撃の軽減

拒否率の増加の検出結果により、有効な軽減策の影響と、悪意のあるクライアントの動作の大きな変化の両方を確認できます。検出結果により、拒否されたトラフィックが向けられたバックエンドが特定され、Google Cloud Armor が検出結果を示す原因となったトラフィック特性が提示されます。この情報を使用して、攻撃の緩和策をさらに強化するために、拒否されたトラフィックを詳細に調査する必要があるかどうかを評価します。

以下は、Security Command Center のダッシュボードに表示された、拒否率増加の検出結果のサンプルのスクリーンショットです。

拒否率増加の検出結果。
拒否率増加の検出結果(クリックして拡大)

Google Cloud は、Google Cloud Armor の履歴情報に基づいて Long_Term_Denied_RPSLong_Term_Incoming_RPS の値を計算します。

トラフィックが通常に戻った後

Security Command Center の検出結果は、特定の時点で特定の動作が観察されたことを知らせる通知です。その動作が元に戻った場合、通知は送信されません。

現在のトラフィック特性が既存のトラフィック特性と比較して大幅に増加している場合は、既存の検出結果が更新される可能性があります。追加の検出結果がない場合は、最初の検出結果が生成された後、動作が元に戻ったか、トラフィック量が大幅に増加(許可または拒否)しなかったかのいずれかです。

次のステップ