Noções básicas sobre as descobertas do Security Command Center

O Security Command Center é o banco de dados de segurança e risco do Google Cloud. O Security Command Center inclui um painel de controle e um sistema de análise de riscos para descobrir, entender e corrigir riscos de dados e segurança do Google Cloud de uma organização. O Google Cloud Armor é integrado automaticamente ao Security Command Center e exporta duas descobertas para o painel. Este guia descreve as descobertas e como interpretá-las.

Se você ainda não ativou o Google Cloud Armor no Security Command Center, veja a documentação do Security Command Center. No Security Command Center, aparecem somente as descobertas de projetos em que ele está ativado no nível da organização.

Descoberta de pico de tráfego permitido

Tráfego permitido consiste em solicitações HTTP(S) bem formadas destinadas a alcançar seus serviços de back-end após a imposição de uma política de segurança do Google Cloud Armor.

Essa descoberta notifica um aumento no tráfego permitido por serviço de back-end. Uma descoberta é gerada quando há um aumento repentino no número permitido de solicitações por segundo (RPS, na sigla em inglês) em comparação com o volume normal observado no histórico recente. O RPS que constituiu o pico e o do histórico recente são fornecidos como parte da descoberta.

Caso de uso: possíveis ataques L7

Ataques distribuídos de negação de serviço (DDoS, na sigla em inglês) ocorrem quando os atacantes enviam grandes volumes de solicitações para sobrecarregar um serviço de destino. O tráfego de ataque DDoS da camada 7 geralmente apresenta um aumento no número de solicitações por segundo. Uma descoberta de pico de tráfego permitido pode indicar que um possível ataque DDOS da camada 7 está em andamento.

Uma descoberta de pico de tráfego permitido informa o serviço de back-end ao qual o pico de RPS é direcionado e as características de tráfego que fizeram o Google Cloud Armor classificá-lo como um pico de RPS. Use essas informações para determinar se um ataque em potencial está em andamento, o serviço visado e as ações que podem ser executadas para mitigar o possível ataque.

Veja a seguir uma captura de tela de uma amostra de descoberta de pico de tráfego permitido no painel do Security Command Center.

Descoberta de pico de tráfego permitido
Descoberta de pico de tráfego permitido (clique para ampliar)

Os valores Long_Term_Allowed_RPS e Short_Term_Allowed_RPS são calculados pelo Google Cloud com base nas informações do histórico do Google Cloud Armor.

Aumento da taxa de negação

Essa descoberta notifica que há um aumento na taxa de tráfego que é bloqueado pelo Google Cloud Armor devido a uma regra configurada pelo usuário em uma política de segurança. Embora a negação seja esperada e não afete o serviço de back-end, essa descoberta ajuda a alertá-lo sobre aumentos no tráfego indesejado e potencialmente malicioso direcionado aos seus aplicativos. O RPS do tráfego negado e o tráfego total de entrada são fornecidos como parte da descoberta.

Caso de uso: mitigação de ataques L7

Uma descoberta de tráfego negado permite ver o impacto de mitigações bem-sucedidas e mudanças significativas no comportamento de clientes mal-intencionados. A descoberta identifica o back-end para o qual o tráfego negado foi direcionado e fornece as características de tráfego que fizeram o Google Cloud Armor apontar a descoberta. Use essas informações para avaliar se o tráfego negado precisa ser estudado em detalhes para reforçar ainda mais as mitigações.

Veja a seguir uma captura de tela de uma amostra de aumento da taxa de negação encontrada no painel do Security Command Center.

Descoberta de aumento da taxa de negação
Descoberta de aumento da taxa de negação (clique para ampliar)

Os valores Long_Term_Denied_RPS e Long_Term_Incoming_RPS são calculados pelo Google Cloud com base nas informações do histórico do Google Cloud Armor.

Após o tráfego voltar ao normal

As descobertas do Security Command Center são notificações de que um comportamento específico foi observado em um determinado momento. Nenhuma notificação é enviada quando o comportamento é resolvido.

Pode haver atualizações de descobertas existentes se as características atuais do tráfego aumentarem substancialmente em comparação às características existentes. Se não houver descoberta subsequente, isso significa que o comportamento foi limpo ou o volume de tráfego não aumentou (permitido ou negado) substancialmente depois que a descoberta inicial foi gerada.

A seguir

Veja informações sobre solução de problemas em Solução de problemas de políticas de segurança do Google Cloud Armor}}.