了解 Security Command Center 发现结果

Security Command Center 是 Google Cloud 的安全和风险数据库。Security Command Center 包含一个风险信息中心和分析系统,用于在整个组织中发现、了解和补救 Google Cloud 安全和数据风险。Google Cloud Armor 自动与 Security Command Center 集成,并将两个发现结果导出到 Security Command Center 信息中心。本指南介绍发现结果及其解释。

如果尚未在 Security Command Center 启用 Google Cloud Armor,请参阅 Security Command Center 文档。请注意,仅在组织层级启用 Security Command Center 的项目中,您才能在 Security Command Center 中看到发现结果。

允许流量高峰发现结果

允许的流量由格式正确的 HTTP(S) 请求组成,这些请求注定会在执行 Google Cloud Armor 安全政策后到达您的后端服务。

此发现结果会通知您每个后端服务允许的流量达到高峰。当与最近历史记录中观察到的正常数量相比,允许的每秒请求次数 (RPS) 突然增加时,就会生成一个发现结果。作为发现结果的一部分,提供了构成高峰的 RPS 和最近历史记录的 RPS。

用例:潜在 L7 攻击

当攻击者发送大量请求以使目标服务过载时,就会发生分布式拒绝服务 (DDoS) 攻击。第 7 层 DDoS 攻击流量通常会导致每秒请求次量达到高峰。允许的流量高峰发现结果可以表明出现潜在第 7 层 DDOS 攻击。

允许的流量高峰发现结果会告诉您 RPS 高峰所针对的后端服务,以及导致 Google Cloud Armor 将其归类为 RPS 高峰的流量特征。使用此信息可确定是否出现潜在攻击、所针对的服务,以及可以采取来缓解潜在攻击的措施。

下面是 Security Command Center 信息中心上的示例允许的流量高峰发现结果的屏幕截图。

允许流量高峰发现结果
允许的流量高峰发现结果(点击可放大)

Long_Term_Allowed_RPSShort_Term_Allowed_RPS 由 Google Cloud 根据 Google Cloud Armor 历史信息计算得出。

拒绝率提高

此发现结果通知您,由于安全政策中用户配置的规则,Google Cloud Armor 阻止的流量比例有所增加。尽管拒绝是预期行为,并且不会影响后端服务,但此发现结果有助于提醒您针对您应用的有害和潜在恶意流量有所增加。作为此发现结果的一部分,提供拒绝流量和总传入流量的 RPS。

用例:减轻 L7 攻击

拒绝流量发现结果让您既可以查看成功缓解的影响,也可以查看恶意客户端行为的重大变化。此发现结果可确定被拒绝流量定向到的后端,并提供导致 Google Cloud Armor 引发此发现结果的流量特征。使用此信息可评估是否必须详细研究被拒绝流量以进一步加强缓解措施。

下面是 Security Command Center 信息中心上的示例拒绝率提高发现结果的屏幕截图。

拒绝率提高发现结果
拒绝率提高(点击可放大)

Long_Term_Denied_RPSLong_Term_Incoming_RPS 由 Google Cloud 根据 Google Cloud Armor 历史信息计算得出。

流量恢复正常后

Security Command Center 发现结果是在某个时间点观察到特定行为的通知。行为消失后,不会发送任何通知。

如果当前流量特征与现有特征相比大幅增加,则可能会对现有发现结果进行更新。如果没有后续发现结果,则在生成初始发现结果之后,行为消失或流量没有显著增加(允许或拒绝)。

后续步骤

如需了解问题排查信息,请参阅排查 Google Cloud Armor 安全政策问题