Google Cloud Armor Enterprise consente di utilizzare Cloud Logging e Cloud Monitoring per analizzano gli attacchi DDoS e le loro fonti.
Google Cloud Armor rileva e riduce automaticamente il livello di rete (livello 3) e di trasporto (livello 4), eseguendo la mitigazione prima l'applicazione dei criteri di sicurezza e la valutazione solo delle richieste ben strutturate rispetto le regole del criterio di sicurezza. Di conseguenza, il traffico è calato per via della connessione sempre attiva La protezione DDoS non compare nei dati di telemetria per i criteri di sicurezza o i backend.
Le metriche di Cloud Logging e Cloud Monitoring per gli attacchi DDoS gli eventi di mitigazione fanno parte della visibilità degli attacchi DDoS, una funzionalità esclusivamente per Abbonati a Google Cloud Armor Enterprise. Le sezioni seguenti spiegano come utilizzare Logging e Monitoraggio per analizzare gli attacchi DDoS e le relative fonti. attacco DDoS La visibilità è disponibile per i seguenti tipi di bilanciatore del carico:
- Bilanciatore del carico delle applicazioni esterno globale
- Bilanciatore del carico delle applicazioni classico
Se utilizzi riferimenti di servizi tra progetti, puoi visualizzare solo la telemetria e il logging associati all'attacco DDoS visibilità nel progetto host o di servizio che include il frontend e la mappa URL. Non puoi visualizzare la telemetria e il logging nel che include i servizi di backend.
Log degli eventi di mitigazione degli attacchi di Cloud Logging
Google Cloud Armor genera tre tipi di voci del log eventi durante la mitigazione attacchi DDoS. I formati dei log includono analisi degli indirizzi IP di origine e in diverse aree geografiche, se possibile. Le sezioni seguenti forniscono esempi di log per ciascun tipo di log eventi:
Migrazione avviata
{
"id": "20220101_1235_mitigiation_1.2.3.4",
"mitigationType": "MITIGATION_STARTED",
"targetVip": "1.2.3.4",
"totalVolume": {
"pps": "1234000",
"bps": "9876000000"
},
"started": {
"totalAttackVolume": {
"pps": "1000000",
"bps": "9000000000"
},
"topSourceIp": [
{
"ipAddress": "1.2.3.4",
"volume": {
"pps": "10000",
"bps": "2000000"
}
},
{
"ipAddress": "2.3.4.5",
"volume": {
"pps": "5000",
"bps": "1000000"
}
}
],
"topSourceGeo": [
{
"geo": "US",
"volume": {
"pps": "100000",
"bps": "20000000"
}
}
]
}
}
Migrazione in corso
{
"id": "20220101_1235_mitigiation_1.2.3.4",
"mitigationType": "MITIGATION_ONGOING",
"targetVip": "1.2.3.4",
"totalVolume": {
"pps": "1234000",
"bps": "9876000000"
},
"ongoing": {
"totalAttackVolume": {
"pps": "1000000",
"bps": "9000000000"
},
"topSourceIp": [
{
"ipAddress": "1.2.3.4",
"volume": {
"pps": "10000",
"bps": "2000000"
}
},
{
"ipAddress": "2.3.4.5",
"volume": {
"pps": "5000",
"bps": "1000000"
}
}
],
"topSourceGeo": [
{
"geo": "US",
"volume": {
"pps": "100000",
"bps": "20000000"
}
}
]
}
}
Mitigazione terminata
{
"id": "20220101_1235_mitigiation_1.2.3.4",
"mitigationType": "MITIGATION_ENDED",
"targetVip": "1.2.3.4",
"totalVolume": {
"pps": "2314000",
"bps": "9768000000"
},
"ended": {
"attackDurationSeconds": 345
}
}
Nella console Google Cloud, vai alla pagina Esplora log e visualizza il
ProtectedEndpoint risorsa.
In alternativa, puoi visualizzare il nome log network_dos_attack_mitigations.
Metriche di Cloud Monitoring
Le metriche di telemetria di mitigazione degli attacchi DDoS sono visibili sotto la risorsa
Protected Network Endpoint (ProtectedEndpoint), esclusivo di
gli indirizzi IP virtuali a livello di applicazione (livello 7) che sono registrati
Google Cloud Armor Enterprise. Le metriche disponibili sono le seguenti:
- Byte in entrata (
/dos/ingress_bytes) - Pacchetti in entrata (
/dos/ingress_packets)
Puoi raggruppare e filtrare le metriche precedenti in base le seguenti etichette:
| Etichetta | Valore |
|---|---|
project_id |
L'ID del progetto registrato in Cloud Armor Enterprise. |
location |
La posizione dell'endpoint protetto. |
vip |
L'indirizzo IP virtuale dell'endpoint protetto. |
drop_status |
Valori possibili
|
Nella console Google Cloud, vai alla pagina Metrics Explorer.
Interpretazione delle metriche di telemetria per gli indirizzi IP virtuali con volumi di traffico ridotti
Per gli indirizzi IP virtuali (VIP) che ricevono meno di 100.000 pacchetti per
Secondo, ti consigliamo di utilizzare un intervallo di tempo più lungo per visualizzare le metriche
e configurazione in Cloud Monitoring. Ad esempio, quando un VIP con un traffico più elevato potrebbe utilizzare
ALIGN_RATE di un minuto, noi consigliamo invece un ALIGN_RATE di 10 minuti.
L'utilizzo di una finestra temporale più lunga consente di ridurre il volume degli artefatti derivanti
un rapporto segnale-rumore scarso.
Inoltre, alcuni componenti della frequenza con cui Google Cloud Armor cala traffico (il tasso di caduta) sono dedotti da mezzi statistici e potrebbero essere inferiori e accurato per i VIP con traffico ridotto. Ciò significa che, durante un attacco DDoS, il calo percentuale che i report di Cloud Monitoring potrebbero essere leggermente inferiori al valore reale e il tasso di abbandono. Questo riduce gli artefatti statistici che possono portare a una sovrastima del volume di traffico diminuito, in particolare per i VIP che ricevono un volume ridotto di traffico e non sono sotto attacco.