Google Cloud Armor Enterprise vous permet d'utiliser Cloud Logging et Cloud Monitoring pour analyser les attaques DDoS et leurs sources.
Google Cloud Armor détecte et atténue automatiquement les attaques de couche réseau (couche 3) et de couche de transport (couche 4), en effectuant l'atténuation avant d'appliquer des règles de sécurité et en évaluant uniquement les requêtes correctement formulées par rapport à vos règles de stratégie de sécurité. Par conséquent, le trafic perdu en raison d'une protection DDoS toujours activée n'apparaît pas dans les données de télémétrie des règles de sécurité ou des backends.
En revanche, les métriques Cloud Logging et Cloud Monitoring pour les événements d'atténuation des attaques DDoS font partie de la visibilité sur les attaques DDoS, une fonctionnalité disponible exclusivement pour les abonnés Google Cloud Armor Enterprise. Les sections suivantes expliquent comment utiliser Logging et Monitoring pour analyser les attaques DDoS et leurs sources. La visibilité en cas d'attaque DDoS est disponible pour les types d'équilibreurs de charge suivants:
- Équilibreur de charge d'application externe global
- Équilibreur de charge d'application classique
Si vous utilisez le référencement de service multiprojet, vous ne pouvez afficher la télémétrie et la journalisation associées à la visibilité des attaques DDoS que dans le projet hôte ou de service qui inclut l'interface et le mappage d'URL de votre équilibreur de charge. Vous ne pouvez pas afficher la télémétrie et la journalisation dans le projet de service qui inclut les services de backend.
Journaux Cloud Logging des événements de protection contre les attaques
Google Cloud Armor génère trois types d'entrées de journal d'événements afin de limiter les attaques DDoS. Les formats de journaux incluent des analyses des adresses IP et des zones géographiques sources lorsque cela est possible. Les sections suivantes fournissent des exemples de format de journal pour chaque type de journal d'événements:
Mitigation started (atténuation démarrée)
{
"id": "20220101_1235_mitigiation_1.2.3.4",
"mitigationType": "MITIGATION_STARTED",
"targetVip": "1.2.3.4",
"totalVolume": {
"pps": "1234000",
"bps": "9876000000"
},
"started": {
"totalAttackVolume": {
"pps": "1000000",
"bps": "9000000000"
},
"topSourceIp": [
{
"ipAddress": "1.2.3.4",
"volume": {
"pps": "10000",
"bps": "2000000"
}
},
{
"ipAddress": "2.3.4.5",
"volume": {
"pps": "5000",
"bps": "1000000"
}
}
],
"topSourceGeo": [
{
"geo": "US",
"volume": {
"pps": "100000",
"bps": "20000000"
}
}
]
}
}
Mitigation ongoing (atténuation en cours)
{
"id": "20220101_1235_mitigiation_1.2.3.4",
"mitigationType": "MITIGATION_ONGOING",
"targetVip": "1.2.3.4",
"totalVolume": {
"pps": "1234000",
"bps": "9876000000"
},
"ongoing": {
"totalAttackVolume": {
"pps": "1000000",
"bps": "9000000000"
},
"topSourceIp": [
{
"ipAddress": "1.2.3.4",
"volume": {
"pps": "10000",
"bps": "2000000"
}
},
{
"ipAddress": "2.3.4.5",
"volume": {
"pps": "5000",
"bps": "1000000"
}
}
],
"topSourceGeo": [
{
"geo": "US",
"volume": {
"pps": "100000",
"bps": "20000000"
}
}
]
}
}
Atténuation terminée
{
"id": "20220101_1235_mitigiation_1.2.3.4",
"mitigationType": "MITIGATION_ENDED",
"targetVip": "1.2.3.4",
"totalVolume": {
"pps": "2314000",
"bps": "9768000000"
},
"ended": {
"attackDurationSeconds": 345
}
}
Dans la console Google Cloud, accédez à la page "Explorateur de journaux" et affichez la ressource ProtectedEndpoint.
Accéder à l'explorateur de journaux
Vous pouvez également afficher le nom du journal network_dos_attack_mitigations.
Métriques Cloud Monitoring
Les métriques de télémétrie de protection contre les attaques DDoS sont visibles sous la ressource Point de terminaison du réseau protégé (ProtectedEndpoint), qui est propre aux adresses IP virtuelles de couche d'application (couche 7) enregistrées dans Google Cloud Armor Enterprise. Les métriques disponibles sont les suivantes:
- Octets d'Ingress (
/dos/ingress_bytes) - Paquets d'Ingress (
/dos/ingress_packets)
Vous pouvez regrouper et filtrer les métriques précédentes en fonction des étiquettes suivantes:
| Libellé | Valeur |
|---|---|
project_id |
ID de votre projet enregistré dans Cloud Armor Enterprise. |
location |
Emplacement de votre point de terminaison protégé. |
vip |
Adresse IP virtuelle du point de terminaison protégé. |
drop_status |
Les valeurs possibles sont :
|
Dans la console Google Cloud, accédez à la page "Explorateur de métriques".
Accéder à l'explorateur de métriques
Interpréter les métriques de télémétrie pour les adresses IP virtuelles avec de faibles volumes de trafic
Pour les adresses IP virtuelles qui reçoivent moins de 100 000 paquets par seconde, nous vous recommandons d'utiliser une période plus longue pour afficher les métriques dans Cloud Monitoring. Par exemple, lorsqu'une adresse IP virtuelle dont le trafic est plus élevé peut utiliser une ALIGN_RATE d'une minute, nous recommandons plutôt une ALIGN_RATE de 10 minutes.
L'utilisation d'une fenêtre de temps plus longue permet de réduire le volume d'artefacts résultant d'un mauvais rapport signal/bruit.
En outre, certains composants du taux de baisse du trafic de Google Cloud Armor (le taux d'abandon) sont déduits par des méthodes statistiques et peuvent être moins précis pour les adresses IP virtuelles à faible trafic. Cela signifie que lors d'une attaque DDoS, le taux d'abandon signalé par Cloud Monitoring peut être légèrement inférieur au taux d'abandon réel. Cela réduit les artefacts statistiques qui peuvent entraîner une surestimation du volume de trafic perdu, en particulier pour les adresses IP virtuelles qui reçoivent un faible volume de trafic et ne sont pas attaquées.