Google Cloud Armor Enterprise te permite usar Cloud Logging y Cloud Monitoring para analizar los ataques DSD y sus fuentes.
Google Cloud Armor detecta y mitiga automáticamente los ataques de capa de red (capa 3) y de capa de transporte (capa 4), y realiza la mitigación antes de aplicar las políticas de seguridad y evaluar solo las solicitudes bien formadas en función de las reglas de tu política de seguridad. Por lo tanto, el tráfico que se descarta como resultado de la protección contra DSD siempre activa no aparece en la telemetría de las políticas de seguridad ni de los backends.
En cambio, las métricas de Cloud Logging y Cloud Monitoring para los eventos de mitigación de DSD forman parte de la visibilidad de los ataques DSD, una función disponible exclusivamente para los suscriptores de Google Cloud Armor Enterprise. En las siguientes secciones, se explica cómo usar Logging y Monitoring para analizar los ataques DSD y sus fuentes. La visibilidad de los ataques DSD está disponible para los siguientes tipos de balanceador de cargas:
- Balanceador de cargas de aplicaciones externo global
- Balanceador de cargas de aplicaciones clásico
Si usas la referencia de servicios entre proyectos, solo podrás ver la telemetría y el registro asociados con la visibilidad de los ataques DSD en el proyecto host o de servicio que incluye el frontend y el mapa de URL de tu balanceador de cargas. No puedes ver la telemetría ni el registro en el proyecto de servicio que incluye los servicios de backend.
Para garantizar el registro y la generación de informes adecuados, Cloud Armor requiere acceso a los siguientes registros. Estos deben almacenarse en Cloud Logging o enrutarse a un bucket de registros al que Cloud Armor pueda acceder.
networksecurity.googleapis.com/dos_attacknetworksecurity.googleapis.com/network_dos_attacknetworksecurity.googleapis.com/network_dos_attack_mitigations
Registros de eventos de mitigación de ataques de Cloud Logging
Cloud Armor genera tres tipos de entradas de registro de eventos cuando mitiga ataques de DSD. Cuando es posible, los formatos de registro incluyen análisis de las direcciones IP y las ubicaciones geográficas de origen. En las siguientes secciones, se proporcionan ejemplos del formato de registro para cada tipo de registro de acontecimientos:
Se inició la mitigación
{
"id": "20220101_1235_mitigiation_1.2.3.4",
"mitigationType": "MITIGATION_STARTED",
"targetVip": "1.2.3.4",
"totalVolume": {
"pps": "1234000",
"bps": "9876000000"
},
"started": {
"totalAttackVolume": {
"pps": "1000000",
"bps": "9000000000"
},
"topSourceIp": [
{
"ipAddress": "1.2.3.4",
"volume": {
"pps": "10000",
"bps": "2000000"
}
},
{
"ipAddress": "2.3.4.5",
"volume": {
"pps": "5000",
"bps": "1000000"
}
}
],
"topSourceGeo": [
{
"geo": "US",
"volume": {
"pps": "100000",
"bps": "20000000"
}
}
]
}
}
Mitigación en curso
{
"id": "20220101_1235_mitigiation_1.2.3.4",
"mitigationType": "MITIGATION_ONGOING",
"targetVip": "1.2.3.4",
"totalVolume": {
"pps": "1234000",
"bps": "9876000000"
},
"ongoing": {
"totalAttackVolume": {
"pps": "1000000",
"bps": "9000000000"
},
"topSourceIp": [
{
"ipAddress": "1.2.3.4",
"volume": {
"pps": "10000",
"bps": "2000000"
}
},
{
"ipAddress": "2.3.4.5",
"volume": {
"pps": "5000",
"bps": "1000000"
}
}
],
"topSourceGeo": [
{
"geo": "US",
"volume": {
"pps": "100000",
"bps": "20000000"
}
}
]
}
}
Finalizó la mitigación
{
"id": "20220101_1235_mitigiation_1.2.3.4",
"mitigationType": "MITIGATION_ENDED",
"targetVip": "1.2.3.4",
"totalVolume": {
"pps": "2314000",
"bps": "9768000000"
},
"ended": {
"attackDurationSeconds": 345
}
}
En la consola de Google Cloud , ve a la página Explorador de registros y consulta el recursoProtectedEndpoint.
Como alternativa, puedes ver el nombre del registro network_dos_attack_mitigations.
Métricas de Cloud Monitoring
Las métricas de telemetría de mitigación de DSD se pueden ver en el recurso Protected Network Endpoint (ProtectedEndpoint), que es exclusivo de las direcciones IP virtuales de capa de aplicación (capa 7) inscritas en Google Cloud Armor Enterprise. Las métricas disponibles son las siguientes:
- Bytes de entrada (
/dos/ingress_bytes) - Paquetes de entrada (
/dos/ingress_packets)
Puedes agrupar y filtrar las métricas anteriores según las siguientes etiquetas:
| Etiqueta | Valor |
|---|---|
project_id |
Es el ID de tu proyecto inscrito en Cloud Armor Enterprise. |
location |
Ubicación del extremo protegido. |
vip |
Es la dirección IP virtual del extremo protegido. |
drop_status |
Valores posibles:
|
En la Google Cloud consola, ve a la página Explorador de métricas.
Cómo interpretar las métricas de telemetría para las direcciones IP virtuales con volúmenes de tráfico bajos
En el caso de las direcciones IP virtuales (VIP) que reciben menos de 100,000 paquetes por segundo, te recomendamos que uses un período más largo para ver las métricas en Cloud Monitoring. Por ejemplo, mientras que un VIP con mayor tráfico podría usar un ALIGN_RATE de un minuto, nosotros recomendamos un ALIGN_RATE de 10 minutos.
Usar un período más largo ayuda a reducir la cantidad de artefactos que resultan de una mala relación señal/ruido.
Además, algunos componentes de la tasa a la que Cloud Armor descarta el tráfico (la tasa de descarte) se infieren por medios estadísticos y pueden ser menos precisos para las VIP con poco tráfico. Esto significa que, durante un ataque DSD, la tasa de descarte que informa Cloud Monitoring podría ser ligeramente inferior a la tasa de descarte real. Esto reduce los artefactos estadísticos que pueden llevar a una sobreestimación del volumen de tráfico descartado, especialmente para las VIP que reciben un volumen bajo de tráfico y no están bajo ataque.