Google Cloud Armor Enterprise te permite usar Cloud Logging y Cloud Monitoring para analizar los ataques DSD y sus fuentes.
Google Cloud Armor detecta y mitiga automáticamente los ataques de la capa de red (capa 3) y la capa de transporte (capa 4), y realiza la mitigación antes de aplicar políticas de seguridad y evaluar solo las solicitudes bien formadas en función de las reglas de tu política de seguridad. Por lo tanto, el tráfico disminuyó como resultado de la protección contra DSD siempre activa no aparece en la telemetría para políticas de seguridad o backends.
En su lugar, las métricas de Cloud Logging y Cloud Monitoring para eventos de mitigación de DSD forman parte de la visibilidad de los ataques DSD, una función disponible exclusivamente para los suscriptores de Google Cloud Armor Enterprise. En las siguientes secciones, se explica cómo usar Logging y Monitoring para analizar los ataques DSD y sus fuentes. La visibilidad de los ataques de DSD está disponible para los siguientes tipos de balanceador de cargas:
- Balanceador de cargas de aplicaciones externo global
- Balanceador de cargas de aplicaciones clásico
Si usas la referencia de servicios entre proyectos, solo puedes ver la telemetría y los registros asociados con la visibilidad de ataques de DSD en el proyecto host o de servicio que incluye el frontend y el mapa de URL del balanceador de cargas. No puedes ver la telemetría y los registros en el proyecto de servicio que incluye los servicios de backend.
Registros de eventos de mitigación de ataques de Cloud Logging
Google Cloud Armor genera tres tipos de entradas de registro de eventos cuando mitiga los ataques DSD. Los formatos de registro incluyen análisis de las direcciones IP y las ubicaciones geográficas de origen siempre que sea posible. En las siguientes secciones, se proporcionan ejemplos del formato de registro para cada tipo de registro de eventos:
Inicio de la mitigación
{
"id": "20220101_1235_mitigiation_1.2.3.4",
"mitigationType": "MITIGATION_STARTED",
"targetVip": "1.2.3.4",
"totalVolume": {
"pps": "1234000",
"bps": "9876000000"
},
"started": {
"totalAttackVolume": {
"pps": "1000000",
"bps": "9000000000"
},
"topSourceIp": [
{
"ipAddress": "1.2.3.4",
"volume": {
"pps": "10000",
"bps": "2000000"
}
},
{
"ipAddress": "2.3.4.5",
"volume": {
"pps": "5000",
"bps": "1000000"
}
}
],
"topSourceGeo": [
{
"geo": "US",
"volume": {
"pps": "100000",
"bps": "20000000"
}
}
]
}
}
Mitigación en curso
{
"id": "20220101_1235_mitigiation_1.2.3.4",
"mitigationType": "MITIGATION_ONGOING",
"targetVip": "1.2.3.4",
"totalVolume": {
"pps": "1234000",
"bps": "9876000000"
},
"ongoing": {
"totalAttackVolume": {
"pps": "1000000",
"bps": "9000000000"
},
"topSourceIp": [
{
"ipAddress": "1.2.3.4",
"volume": {
"pps": "10000",
"bps": "2000000"
}
},
{
"ipAddress": "2.3.4.5",
"volume": {
"pps": "5000",
"bps": "1000000"
}
}
],
"topSourceGeo": [
{
"geo": "US",
"volume": {
"pps": "100000",
"bps": "20000000"
}
}
]
}
}
Finalizó la mitigación
{
"id": "20220101_1235_mitigiation_1.2.3.4",
"mitigationType": "MITIGATION_ENDED",
"targetVip": "1.2.3.4",
"totalVolume": {
"pps": "2314000",
"bps": "9768000000"
},
"ended": {
"attackDurationSeconds": 345
}
}
En la consola de Google Cloud, ve a la página Explorador de registros y consulta el recurso ProtectedEndpoint.
También puedes ver el nombre de registro network_dos_attack_mitigations.
Métricas de Cloud Monitoring
Las métricas de telemetría de mitigación de DSD se pueden ver en el recurso Extremo de red protegido (ProtectedEndpoint), que es exclusivo de las direcciones IP virtuales de la capa de aplicación (capa 7) que están inscritas en Google Cloud Armor Enterprise. Las métricas disponibles son las siguientes:
- Bytes de entrada (
/dos/ingress_bytes) - Paquetes de entrada (
/dos/ingress_packets)
Puedes agrupar y filtrar las métricas anteriores en función de las siguientes etiquetas:
| Etiqueta | Valor |
|---|---|
project_id |
El ID de tu proyecto que está inscrito en Cloud Armor Enterprise. |
location |
La ubicación de tu extremo protegido. |
vip |
La dirección IP virtual del extremo protegido. |
drop_status |
Valores posibles:
|
En la consola de Google Cloud, ve a la página Explorador de métricas.
Interpreta las métricas de telemetría para direcciones IP virtuales con bajos volúmenes de tráfico
En el caso de las direcciones IP virtuales (VIP) que reciben menos de 100,000 paquetes por segundo, te recomendamos que uses un período más largo para ver las métricas en Cloud Monitoring. Por ejemplo, cuando una VIP con más tráfico pueda usar un ALIGN_RATE de un minuto, recomendamos un ALIGN_RATE de 10 minutos.
Usar un período más largo ayuda a reducir el volumen de artefactos que resultan de una relación señal/ruido deficiente.
Además, algunos componentes de la tasa a la que Google Cloud Armor reduce el tráfico (la tasa de disminución) se infieren por medios estadísticos y podrían ser menos precisos para las VIP con poco tráfico. Esto significa que, durante un ataque de DSD, la tasa de caída que informa Cloud Monitoring puede ser un poco menor que la verdadera. Esto reduce los artefactos estadísticos que pueden llevar a una sobreestimación del volumen de tráfico descartado, en especial para las VIP que reciben un volumen de tráfico bajo y no están bajo ataque.