O Google Cloud Armor Enterprise permite usar o Cloud Logging e o Cloud Monitoring para analisar ataques DDoS e suas origens.
O Google Cloud Armor detecta e mitiga automaticamente ataques à camada de rede (Camada 3) e à camada de transporte (Camada 4), realizando a mitigação antes de aplicar políticas de segurança e avaliando apenas solicitações bem formadas em relação às regras da política de segurança. Portanto, o tráfego descartado como resultado da proteção contra DDoS sempre ativada não aparece na telemetria para políticas de segurança ou back-ends.
Em vez disso, as métricas do Cloud Logging e do Cloud Monitoring para eventos de mitigação de DDoS fazem parte da visibilidade de ataques DDoS, um recurso disponível exclusivamente para assinantes do Google Cloud Armor Enterprise. Nas seções a seguir, explicamos como usar o Logging e o Monitoring para analisar ataques DDoS e suas origens. A visibilidade de ataques DDoS está disponível para os seguintes tipos de balanceadores de carga:
- Balanceador de carga de aplicativo externo global
- Balanceador de carga de aplicativo clássico
Se você usar a referência de serviço entre projetos, só poderá visualizar a telemetria e os registros associados à visibilidade do ataque DDoS no projeto host ou de serviço que inclui o front-end e o mapa de URL do balanceador de carga. Não é possível visualizar a telemetria e os registros no projeto de serviço que inclui os serviços de back-end.
Registros de eventos de mitigação de ataques do Cloud Logging
O Google Cloud Armor gera três tipos de entradas de registro de eventos ao mitigar ataques DDoS. Os formatos de registro incluem análises de geografia e endereços IP de origem, quando possível. As seguintes seções oferecem exemplos do formato de log de cada tipo de log de eventos:
Mitigação iniciada
{
"id": "20220101_1235_mitigiation_1.2.3.4",
"mitigationType": "MITIGATION_STARTED",
"targetVip": "1.2.3.4",
"totalVolume": {
"pps": "1234000",
"bps": "9876000000"
},
"started": {
"totalAttackVolume": {
"pps": "1000000",
"bps": "9000000000"
},
"topSourceIp": [
{
"ipAddress": "1.2.3.4",
"volume": {
"pps": "10000",
"bps": "2000000"
}
},
{
"ipAddress": "2.3.4.5",
"volume": {
"pps": "5000",
"bps": "1000000"
}
}
],
"topSourceGeo": [
{
"geo": "US",
"volume": {
"pps": "100000",
"bps": "20000000"
}
}
]
}
}
Mitigação em andamento
{
"id": "20220101_1235_mitigiation_1.2.3.4",
"mitigationType": "MITIGATION_ONGOING",
"targetVip": "1.2.3.4",
"totalVolume": {
"pps": "1234000",
"bps": "9876000000"
},
"ongoing": {
"totalAttackVolume": {
"pps": "1000000",
"bps": "9000000000"
},
"topSourceIp": [
{
"ipAddress": "1.2.3.4",
"volume": {
"pps": "10000",
"bps": "2000000"
}
},
{
"ipAddress": "2.3.4.5",
"volume": {
"pps": "5000",
"bps": "1000000"
}
}
],
"topSourceGeo": [
{
"geo": "US",
"volume": {
"pps": "100000",
"bps": "20000000"
}
}
]
}
}
Mitigação finalizada
{
"id": "20220101_1235_mitigiation_1.2.3.4",
"mitigationType": "MITIGATION_ENDED",
"targetVip": "1.2.3.4",
"totalVolume": {
"pps": "2314000",
"bps": "9768000000"
},
"ended": {
"attackDurationSeconds": 345
}
}
No console do Google Cloud, acesse a página do Explorador de registros e confira o recurso ProtectedEndpoint.
Acessar o Explorador de registros
Como alternativa, é possível conferir o nome do registro network_dos_attack_mitigations.
Métricas do Cloud Monitoring
As métricas da telemetria de mitigação de DDoS são exibidas no recurso
Endpoint de rede protegida (ProtectedEndpoint), que é exclusivo para
endereços IP virtuais da camada de aplicativo (camada 7) registrados no
Google Cloud Armor Enterprise. As métricas disponíveis são as seguintes:
- Bytes de entrada (
/dos/ingress_bytes) - Pacotes de entrada (
/dos/ingress_packets)
É possível agrupar e filtrar as métricas anteriores com base nos seguintes rótulos:
| Identificador | Valor |
|---|---|
project_id |
O ID do projeto registrado no Cloud Armor Enterprise. |
location |
O local do endpoint protegido. |
vip |
O endereço IP virtual do endpoint protegido. |
drop_status |
Valores possíveis:
|
No console do Google Cloud, acesse a página Metrics Explorer.
Como interpretar métricas de telemetria de endereços IP virtuais com baixo volume de tráfego
Para endereços IP virtuais (VIPs) que recebem menos de 100.000 pacotes por
segundo, recomendamos o uso de uma janela de tempo maior para visualizar as métricas no
Cloud Monitoring. Por exemplo, quando um VIP de tráfego maior usa um ALIGN_RATE de um minuto, nossa recomendação é utilizar um ALIGN_RATE de 10 minutos.
Usar uma janela de tempo maior ajuda a reduzir o volume de artefatos resultantes de
uma proporção ruim de sinal para ruído.
Além disso, alguns componentes da taxa em que o Google Cloud Armor descarta o tráfego (a taxa de descarte) são inferidos por meios estatísticos e podem ser menos precisos para VIPs de baixo tráfego. Isso significa que, durante um ataque DDoS, a taxa de descarte dos relatórios do Cloud Monitoring pode ser um pouco menor do que a taxa de descarte real. Isso reduz os artefatos estatísticos que podem levar a uma superestimação do volume de tráfego descartado, especialmente para VIPs que recebem um baixo volume de tráfego e não estão sendo atacados.