Google Cloud Armor Enterprise consente di utilizzare Cloud Logging e Cloud Monitoring per analizzano gli attacchi DDoS e le loro fonti.
Google Cloud Armor rileva e riduce automaticamente il livello di rete (livello 3) e di trasporto (livello 4), eseguendo la mitigazione prima l'applicazione dei criteri di sicurezza e la valutazione solo delle richieste ben strutturate rispetto le regole del criterio di sicurezza. Di conseguenza, il traffico è calato per via della connessione sempre attiva La protezione DDoS non compare nei dati di telemetria per i criteri di sicurezza o i backend.
Le metriche di Cloud Logging e Cloud Monitoring per gli attacchi DDoS gli eventi di mitigazione fanno parte della visibilità degli attacchi DDoS, una funzionalità esclusivamente per Abbonati a Google Cloud Armor Enterprise. Le sezioni seguenti spiegano come utilizzare Logging e Monitoraggio per analizzare gli attacchi DDoS e le relative fonti. La visibilità degli attacchi DDoS è disponibile per i seguenti tipi di bilanciatori del carico:
- Bilanciatore del carico delle applicazioni esterno globale
- Bilanciatore del carico delle applicazioni classico
Se utilizzi riferimenti di servizi tra progetti, puoi visualizzare solo la telemetria e il logging associati all'attacco DDoS visibilità nel progetto host o di servizio che include il frontend e la mappa URL. Non puoi visualizzare la telemetria e i log nel progetto di servizio che include i servizi di backend.
Log degli eventi di mitigazione degli attacchi di Cloud Logging
Google Cloud Armor genera tre tipi di voci del log eventi durante la mitigazione attacchi DDoS. I formati dei log includono analisi degli indirizzi IP di origine e in diverse aree geografiche, se possibile. Le sezioni seguenti forniscono esempi del formato del log per ogni tipo di log eventi:
Migrazione avviata
{
"id": "20220101_1235_mitigiation_1.2.3.4",
"mitigationType": "MITIGATION_STARTED",
"targetVip": "1.2.3.4",
"totalVolume": {
"pps": "1234000",
"bps": "9876000000"
},
"started": {
"totalAttackVolume": {
"pps": "1000000",
"bps": "9000000000"
},
"topSourceIp": [
{
"ipAddress": "1.2.3.4",
"volume": {
"pps": "10000",
"bps": "2000000"
}
},
{
"ipAddress": "2.3.4.5",
"volume": {
"pps": "5000",
"bps": "1000000"
}
}
],
"topSourceGeo": [
{
"geo": "US",
"volume": {
"pps": "100000",
"bps": "20000000"
}
}
]
}
}
Migrazione in corso
{
"id": "20220101_1235_mitigiation_1.2.3.4",
"mitigationType": "MITIGATION_ONGOING",
"targetVip": "1.2.3.4",
"totalVolume": {
"pps": "1234000",
"bps": "9876000000"
},
"ongoing": {
"totalAttackVolume": {
"pps": "1000000",
"bps": "9000000000"
},
"topSourceIp": [
{
"ipAddress": "1.2.3.4",
"volume": {
"pps": "10000",
"bps": "2000000"
}
},
{
"ipAddress": "2.3.4.5",
"volume": {
"pps": "5000",
"bps": "1000000"
}
}
],
"topSourceGeo": [
{
"geo": "US",
"volume": {
"pps": "100000",
"bps": "20000000"
}
}
]
}
}
Migrazione terminata
{
"id": "20220101_1235_mitigiation_1.2.3.4",
"mitigationType": "MITIGATION_ENDED",
"targetVip": "1.2.3.4",
"totalVolume": {
"pps": "2314000",
"bps": "9768000000"
},
"ended": {
"attackDurationSeconds": 345
}
}
Nella console Google Cloud, vai alla pagina Esplora log e visualizza la risorsa ProtectedEndpoint.
In alternativa, puoi visualizzare il nome log network_dos_attack_mitigations.
Metriche di Cloud Monitoring
Le metriche di telemetria per la mitigazione dei DDoS sono visibili nella risorsa Endpoint di rete protetto (ProtectedEndpoint), che è esclusiva per gli indirizzi IP virtuali di livello di applicazione (livello 7) registrati in Google Cloud Armor Enterprise. Le metriche disponibili sono le seguenti:
- Byte in entrata (
/dos/ingress_bytes) - Pacchetti in entrata (
/dos/ingress_packets)
Puoi raggruppare e filtrare le metriche precedenti in base alle seguenti etichette:
| Etichetta | Valore |
|---|---|
project_id |
L'ID del progetto registrato in Cloud Armor Enterprise. |
location |
La posizione dell'endpoint protetto. |
vip |
L'indirizzo IP virtuale dell'endpoint protetto. |
drop_status |
Valori possibili
|
Nella console Google Cloud, vai alla pagina Metrics Explorer.
Interpretazione delle metriche di telemetria per gli indirizzi IP virtuali con volumi di traffico ridotti
Per gli indirizzi IP virtuali (VIP) che ricevono meno di 100.000 pacchetti al
secondo, ti consigliamo di utilizzare una finestra temporale più lunga per visualizzare le metriche in
Cloud Monitoring. Ad esempio, quando un VIP con un traffico più elevato potrebbe utilizzare
ALIGN_RATE di un minuto, noi consigliamo invece un ALIGN_RATE di 10 minuti.
L'utilizzo di una finestra temporale più lunga consente di ridurre il volume degli artefatti derivanti
un rapporto segnale-rumore scarso.
Inoltre, alcuni componenti della frequenza con cui Google Cloud Armor riduce il traffico (il tasso di riduzione) vengono dedotti con metodi statistici e potrebbero essere meno accurati per i VIP con traffico ridotto. Ciò significa che, durante un attacco DDoS, il calo percentuale che i report di Cloud Monitoring potrebbero essere leggermente inferiori al valore reale e il tasso di abbandono. In questo modo si riducono gli artefatti statistici che possono portare a una sovrastima del volume di traffico perso, in particolare per i VIP che ricevono un volume ridotto di traffico e non sono soggetti ad attacchi.