Google Cloud Armor Enterprise를 사용하면 Cloud Logging 및 Cloud Monitoring으로 DDoS 공격과 공격의 출처를 분석할 수 있습니다.
Google Cloud Armor는 네트워크 계층(레이어 3) 및 전송 계층(레이어 4) 공격을 자동으로 감지하고 완화하며, 보안 정책을 적용하기 전에 완화를 수행하고 보안 정책 규칙에 따라 올바른 형식의 요청만 평가합니다. 따라서 보안 정책 또는 백엔드에 대한 원격 분석에서 상시적인 DDoS 보호에 따른 트래픽 누락이 나타나지 않습니다.
대신 DDoS 완화 이벤트에 대한 Cloud Logging 및 Cloud Monitoring 측정항목이 DDoS 공격 가시성에 포함되며, 이 기능은 Google Cloud Armor Enterprise 구독자에게만 제공됩니다. 다음 섹션에서는 Logging 및 Monitoring을 사용하여 DDoS 공격과 공격의 출처를 분석하는 방법을 설명합니다. 다음 부하 분산기 유형에 대해 DDoS 공격 가시성이 제공됩니다.
- 전역 외부 애플리케이션 부하 분산기
- 기본 애플리케이션 부하 분산기
프로젝트 간 서비스 참조를 사용하는 경우 부하 분산기의 프런트엔드 및 URL 맵을 포함하는 호스트 또는 서비스 프로젝트에서 DDoS 공격 가시성과 관련된 원격 측정 및 로깅만 볼 수 있습니다. 백엔드 서비스가 포함된 서비스 프로젝트에서는 원격 분석 및 로깅을 볼 수 없습니다.
Cloud Logging 공격 완화 이벤트 로그
Google Cloud Armor는 DDoS 공격을 완화할 때 세 가지 유형의 이벤트 로그 항목을 생성합니다. 가능한 경우 로그 형식에 소스 IP 주소와 지역에 대한 분석이 포함됩니다. 다음 섹션에서는 이벤트 로그의 각 유형에 대한 로그 형식 예시를 제공합니다.
완화 시작됨
{
"id": "20220101_1235_mitigiation_1.2.3.4",
"mitigationType": "MITIGATION_STARTED",
"targetVip": "1.2.3.4",
"totalVolume": {
"pps": "1234000",
"bps": "9876000000"
},
"started": {
"totalAttackVolume": {
"pps": "1000000",
"bps": "9000000000"
},
"topSourceIp": [
{
"ipAddress": "1.2.3.4",
"volume": {
"pps": "10000",
"bps": "2000000"
}
},
{
"ipAddress": "2.3.4.5",
"volume": {
"pps": "5000",
"bps": "1000000"
}
}
],
"topSourceGeo": [
{
"geo": "US",
"volume": {
"pps": "100000",
"bps": "20000000"
}
}
]
}
}
완화 진행 중
{
"id": "20220101_1235_mitigiation_1.2.3.4",
"mitigationType": "MITIGATION_ONGOING",
"targetVip": "1.2.3.4",
"totalVolume": {
"pps": "1234000",
"bps": "9876000000"
},
"ongoing": {
"totalAttackVolume": {
"pps": "1000000",
"bps": "9000000000"
},
"topSourceIp": [
{
"ipAddress": "1.2.3.4",
"volume": {
"pps": "10000",
"bps": "2000000"
}
},
{
"ipAddress": "2.3.4.5",
"volume": {
"pps": "5000",
"bps": "1000000"
}
}
],
"topSourceGeo": [
{
"geo": "US",
"volume": {
"pps": "100000",
"bps": "20000000"
}
}
]
}
}
완화 종료됨
{
"id": "20220101_1235_mitigiation_1.2.3.4",
"mitigationType": "MITIGATION_ENDED",
"targetVip": "1.2.3.4",
"totalVolume": {
"pps": "2314000",
"bps": "9768000000"
},
"ended": {
"attackDurationSeconds": 345
}
}
Google Cloud 콘솔에서 로그 탐색기 페이지로 이동하고 ProtectedEndpoint 리소스를 확인합니다.
또는 network_dos_attack_mitigations 로그 이름을 볼 수 있습니다.
Cloud Monitoring 측정항목
DDoS 완화 원격 분석 측정항목은 보호되는 네트워크 엔드포인트(ProtectedEndpoint) 리소스에 표시되며, 이 항목은 Google Cloud Armor Enterprise에 등록된 애플리케이션 계층(레이어 7) 가상 IP 주소에만 제공됩니다. 사용 가능한 측정항목은 다음과 같습니다.
- 인그레스 바이트(
/dos/ingress_bytes) - 인그레스 패킷 (
/dos/ingress_packets)
다음 라벨을 기준으로 이전 측정항목을 그룹화하고 필터링할 수 있습니다.
| 라벨 | 값 |
|---|---|
project_id |
Cloud Armor Enterprise에 등록된 프로젝트의 ID입니다. |
location |
보호되는 엔드포인트의 위치입니다. |
vip |
보호되는 엔드포인트의 가상 IP 주소입니다. |
drop_status |
가능한 값:
|
Google Cloud 콘솔에서 측정항목 탐색기 페이지로 이동합니다.
트래픽이 적은 가상 IP 주소의 원격 분석 측정항목 해석
가상 IP 주소(VIP)에서 수신하는 패킷이 초당 100,000개 미만인 경우 Cloud Monitoring에서 측정항목을 확인하는 기간을 늘리는 것이 좋습니다. 예를 들어 트래픽이 더 많은 VIP에서 ALIGN_RATE를 1분으로 사용하는 경우 ALIGN_RATE를 10분으로 사용하는 것이 좋습니다.
더 긴 기간을 사용하면 열악한 신호 대 잡음비로 인해 발생하는 아티팩트의 볼륨을 줄일 수 있습니다.
또한 Google Cloud Armor가 트래픽을 누락하는 비율(누락률) 중 일부는 통계적 기법으로 추론되므로 트래픽이 적은 VIP에서 정확성이 떨어질 수 있습니다. 즉, DDoS 공격 중에 Cloud Monitoring이 보고하는 누락률이 실제 누락률보다 약간 낮을 수 있습니다. 특히 트래픽이 적고 공격 대상이 아닌 VIP에서 통계 아티팩트가 감소하여 누락 트래픽의 양이 과대 예측될 수 있습니다.