Google Cloud Armor Enterprise consente di utilizzare Cloud Logging e Cloud Monitoring per analizzare gli attacchi DDoS e le relative origini.
Google Cloud Armor rileva e mitiga automaticamente gli attacchi di livello di rete (livello 3) e di trasporto (livello 4), eseguendo la mitigazione prima di applicare i criteri di sicurezza e valutando solo le richieste ben strutturate in base alle regole dei criteri di sicurezza. Di conseguenza, il traffico interrotto a causa della protezione DDoS sempre attiva non compare nella telemetria per i criteri di sicurezza o i backend.
Le metriche di Cloud Logging e Cloud Monitoring per gli eventi di mitigazione DDoS fanno invece parte della visibilità degli attacchi DDoS, una funzionalità disponibile esclusivamente per gli abbonati a Google Cloud Armor Enterprise. Le seguenti sezioni spiegano come utilizzare Logging e Monitoring per analizzare gli attacchi DDoS e le relative origini. La visibilità degli attacchi DDoS è disponibile per i seguenti tipi di bilanciatore del carico:
- Bilanciatore del carico delle applicazioni esterno globale
- Bilanciatore del carico delle applicazioni classico
Se utilizzi il riferimento al servizio multiprogetto, puoi visualizzare solo la telemetria e il logging associati alla visibilità degli attacchi DDoS nel progetto di servizio o host che include il frontend e la mappa URL del bilanciatore del carico. Non puoi visualizzare la telemetria e il logging nel progetto di servizio che include i servizi di backend.
Log degli eventi di mitigazione degli attacchi di Cloud Logging
Google Cloud Armor genera tre tipi di voci di log eventi per mitigare gli attacchi DDoS. I formati dei log includono analisi degli indirizzi IP e delle aree geografiche di origine, se possibile. Le seguenti sezioni forniscono esempi del formato di log per ciascun tipo di log eventi:
Mitigazione avviata
{
"id": "20220101_1235_mitigiation_1.2.3.4",
"mitigationType": "MITIGATION_STARTED",
"targetVip": "1.2.3.4",
"totalVolume": {
"pps": "1234000",
"bps": "9876000000"
},
"started": {
"totalAttackVolume": {
"pps": "1000000",
"bps": "9000000000"
},
"topSourceIp": [
{
"ipAddress": "1.2.3.4",
"volume": {
"pps": "10000",
"bps": "2000000"
}
},
{
"ipAddress": "2.3.4.5",
"volume": {
"pps": "5000",
"bps": "1000000"
}
}
],
"topSourceGeo": [
{
"geo": "US",
"volume": {
"pps": "100000",
"bps": "20000000"
}
}
]
}
}
Mitigazione in corso
{
"id": "20220101_1235_mitigiation_1.2.3.4",
"mitigationType": "MITIGATION_ONGOING",
"targetVip": "1.2.3.4",
"totalVolume": {
"pps": "1234000",
"bps": "9876000000"
},
"ongoing": {
"totalAttackVolume": {
"pps": "1000000",
"bps": "9000000000"
},
"topSourceIp": [
{
"ipAddress": "1.2.3.4",
"volume": {
"pps": "10000",
"bps": "2000000"
}
},
{
"ipAddress": "2.3.4.5",
"volume": {
"pps": "5000",
"bps": "1000000"
}
}
],
"topSourceGeo": [
{
"geo": "US",
"volume": {
"pps": "100000",
"bps": "20000000"
}
}
]
}
}
Mitigazione terminata
{
"id": "20220101_1235_mitigiation_1.2.3.4",
"mitigationType": "MITIGATION_ENDED",
"targetVip": "1.2.3.4",
"totalVolume": {
"pps": "2314000",
"bps": "9768000000"
},
"ended": {
"attackDurationSeconds": 345
}
}
Nella console Google Cloud, vai alla pagina Esplora log e visualizza la risorsa ProtectedEndpoint.
In alternativa, puoi visualizzare il nome del log network_dos_attack_mitigations.
Metriche di Cloud Monitoring
Le metriche di telemetria sulla mitigazione degli attacchi DDoS sono visibili sotto la risorsa Endpoint di rete protetto (ProtectedEndpoint), esclusivo degli indirizzi IP virtuali a livello di applicazione (livello 7) registrati in Google Cloud Armor Enterprise. Le metriche disponibili sono le seguenti:
- Byte in entrata (
/dos/ingress_bytes) - Pacchetti in entrata (
/dos/ingress_packets)
Puoi raggruppare e filtrare le metriche precedenti in base alle seguenti etichette:
| Etichetta | Valore |
|---|---|
project_id |
L'ID del progetto registrato in Cloud Armor Enterprise. |
location |
La posizione dell'endpoint protetto. |
vip |
L'indirizzo IP virtuale dell'endpoint protetto. |
drop_status |
Valori possibili:
|
Nella console Google Cloud, vai alla pagina Metrics Explorer.
Interpretazione delle metriche di telemetria per gli indirizzi IP virtuali con volumi di traffico ridotti
Per gli indirizzi IP virtuali (VIP) che ricevono meno di 100.000 pacchetti al secondo, consigliamo di utilizzare una finestra temporale più lunga per visualizzare le metriche in Cloud Monitoring. Ad esempio, se un VIP con traffico più elevato potrebbe utilizzare un ALIGN_RATE di un minuto, consigliamo invece un ALIGN_RATE di 10 minuti.
L'utilizzo di una finestra di tempo più lunga aiuta a ridurre il volume degli artefatti dovuti a un rapporto segnale-rumore scarso.
Inoltre, alcuni componenti della frequenza con cui Google Cloud Armor ignora il traffico (la percentuale di rilascio) vengono dedotti con mezzi statistici e potrebbero essere meno precisi per i VIP a traffico ridotto. Ciò significa che durante un attacco DDoS, la percentuale di calo segnalata da Cloud Monitoring potrebbe essere leggermente inferiore rispetto a quella reale. In questo modo si riducono gli artefatti statistici che possono portare a una sovrastima del volume di traffico perso, in particolare per i VIP che ricevono un volume di traffico ridotto e non sono sotto attacco.