Panoramica di Cloud Armor Adaptive Protection

La Protezione adattiva di Google Cloud Armor ti aiuta a proteggere le tue applicazioni, i tuoi siti web e i tuoi servizi Google Cloud dagli attacchi DDoS (Distributed Denial of Service) di livello 7, come gli attacchi di tipo flood HTTP e altre attività dannose di livello 7 (a livello di applicazione) ad alta frequenza. Adaptive Protection crea modelli di machine learning che svolgono quanto segue:

  1. Rilevare e inviare avvisi su attività anomale
  2. Genera una firma che descriva il potenziale attacco
  3. Genera una regola WAF di Google Cloud Armor personalizzata per bloccare la firma

Puoi attivare o disattivare Adaptive Protection in base al criterio di sicurezza.

Gli avvisi relativi al traffico anomalo (potenziali attacchi), che includono le firme degli attacchi, vengono visualizzati nella dashboard degli eventi di Protezione adattiva con i log degli eventi inviati a Cloud Logging, dove possono essere analizzati direttamente o inoltrati a un flusso di lavoro di monitoraggio degli eventi di sicurezza o dei log a valle. Gli avvisi di potenziali attacchi vengono generati anche come risultati in Security Command Center.

Disponibilità di Adaptive Protection

Gli avvisi completi di Adaptive Protection sono disponibili solo se ti abboni a Google Cloud Armor Enterprise. In caso contrario, riceverai solo un avviso di base, senza una firma di attacco o la possibilità di implementare una regola suggerita.

Se i tuoi progetti non sono ancora registrati a Cloud Armor Enterprise, consulta Utilizzare Cloud Armor Enterprise per informazioni su come eseguire la registrazione.

Cloud Logging e Cloud Monitoring

Poiché l'utilizzo efficace di Adaptive Protection richiede di comprendere il funzionamento del logging e degli avvisi in Google Cloud, ti consigliamo di familiarizzare con Cloud Logging, gli avvisi e i relativi criteri.

Configurare e ottimizzare gli avvisi

Puoi attivare Adaptive Protection nei progetti in cui i criteri di sicurezza di Google Cloud Armor proteggono già le tue applicazioni. Quando attivi Adaptive Protection per un determinato criterio di sicurezza, questa funzionalità viene applicata a tutti i servizi di backend a cui è associato il criterio di sicurezza.

Dopo l'attivazione di Adaptive Protection, è necessario un periodo di addestramento di almeno un'ora prima che Adaptive Protection sviluppi una linea di base affidabile e inizi a monitorare il traffico e a generare avvisi. Durante il periodo di addestramento, Adaptive Protection modella il traffico in entrata e i pattern di utilizzo specifici per ciascun servizio di backend, in modo da sviluppare la linea di base per ciascun servizio di backend. Al termine del periodo di addestramento, ricevi avvisi in tempo reale quando Adaptive Protection identifica anomalie ad alta frequenza o ad alto volume nel traffico indirizzato a uno dei servizi di backend associati alla policy di sicurezza.

Puoi ottimizzare gli avvisi di Protezione adattiva in base a diverse metriche. Gli alert, che vengono inviati a Cloud Logging, includono un livello di attendibilità, una firma di attacco, una regola suggerita e una tasso di riferimento delle attività interessate stimato associato alla regola suggerita.

  • Il livello di confidenza indica l'affidabilità con cui i modelli di Adaptive Protection prevedono che la variazione osservata nel modello di traffico sia anomala.
  • Le tariffe di riferimento interessate associate alla regola suggerita rappresentano la percentuale di traffico di riferimento esistente rilevato dalla regola. Sono disponibili due tariffe. La prima è la percentuale relativa al traffico nel servizio di backend specifico sotto attacco. La seconda è la percentuale relativa a tutto il traffico che passa attraverso il criterio di sicurezza, inclusi tutti i target servizio di backend configurati (non solo quello sotto attacco).

Puoi filtrare gli avvisi in Cloud Logging in base al livello di confidenza o alle frequenze di riferimento interessate oppure a entrambi. Per ulteriori informazioni sulla regolazione degli avvisi, consulta Gestire i criteri di avviso.

Adaptive Protection ha lo scopo di proteggere i servizi di backend dagli attacchi DDoS di livello 7 di elevato volume. Nei seguenti scenari, le richieste non vengono conteggiate in Protezione adattiva:

  • Richieste gestite direttamente da Cloud CDN
  • Richieste rifiutate da un criterio di sicurezza Google Cloud Armor

Modelli granulari

Per impostazione predefinita, Adaptive Protection rileva un attacco e suggerisce misure di mitigazione basate sul traffico tipico indirizzato a ciascun servizio di backend. Ciò significa che un backend dietro un servizio di backend può essere sovraccaricato, ma la Protezione adattiva non interviene perché il traffico di attacco non è anomalo per il servizio di backend.

La funzionalità dei modelli granulari ti consente di configurare host o percorsi specifici come unità granulari analizzate da Adaptive Protection. Quando utilizzi modelli granulari, le mitigazioni suggerite da Adaptive Protection filtrano il traffico in base ai prefissi di percorso dell'URL o dell'host corrispondenti, contribuendo a ridurre i falsi positivi. Ognuno di questi host o percorsi è chiamato unità di traffico granulare.

Le firme di attacco identificate hanno come target solo il traffico di attacco che entra nell'unità di traffico granulare. Tuttavia, il filtro viene applicato a tutte le richieste corrispondenti alla regola di cui è stato eseguito il deployment, come accadrebbe senza le configurazioni granulari. Ad esempio, se vuoi che una regola di deployment automatico corrisponda solo a un'unità granulare del traffico specifica, valuta la possibilità di utilizzare una condizione di corrispondenza come evaluateAdaptiveProtectionAutoDeploy() && request.headers['host'] == ... && request.path == ....

Oltre ai prefissi di percorso dell'host e dell'URL, puoi configurare le soglie di avviso in base ad alcune o a tutte le seguenti opzioni. Puoi applicare queste soglie alle unità di traffico granulari o al servizio di backend nel suo complesso, ad eccezione della soglia di carico che può essere applicata solo al servizio di backend:

  • Carico: il carico massimo per il servizio di backend, in base al bilanciatore del carico delle applicazioni configurato. Questa opzione non è disponibile per le unità di traffico granulari e per i backend serverless come Cloud Run, le funzioni Cloud Run o i backend di origini esterne.
  • Query al secondo (QPS) assolute: la quantità di traffico di picco, in query al secondo, ricevuta dal servizio di backend o dall'unità di traffico.
  • Rispetto alle QPS di riferimento: un multiplo del volume di traffico di riferimento medio a lungo termine. Ad esempio, un valore di 2 rappresenta un QPS pari al doppio del volume di traffico di riferimento.

Per ulteriori informazioni sulla configurazione di modelli granulari, consulta Configurare Cloud Armor Adaptive Protection.

Utilizzare e interpretare gli avvisi

Non appena Adaptive Protection rileva un attacco sospetto, genera un evento nella dashboard degli eventi di Adaptive Protection e un elemento di log in Cloud Logging. L'avviso si trova nel payload JSON dell'elemento di log. L'elemento di log viene generato nella risorsa Criterio di sicurezza di rete in Cloud Logging. Il messaggio di log identifica il servizio di backend sotto attacco e include un punteggio di attendibilità che indica con quale intensità Adaptive Protection valuta come anomala la variazione del pattern di traffico identificato. Il messaggio di log include anche una firma dell'attacco che illustra le caratteristiche del traffico di attacco, insieme alle regole di Google Cloud Armor suggerite che potresti applicare per mitigare l'attacco.

Informazioni sulle firme degli attacchi

Un avviso di Protezione adattiva include una firma di attacco, ovvero una descrizione degli attributi del traffico del potenziale attacco. La firma viene utilizzata per identificare e potenzialmente bloccare l'attacco. La firma assume due forme: come tabella leggibile dall'utente e come regola WAF di Google Cloud Armor precostituita che puoi implementare nel criterio di sicurezza pertinente. Se non hai un abbonamento a Cloud Armor Enterprise, nell'avviso di base non è inclusa una firma di attacco.

La firma è costituita da un insieme di attributi, come indirizzo IP di origine, regioni geografiche, cookie, user agent, referrer e altre intestazioni di richiesta HTTP, nonché dall'insieme di valori per questi attributi ritenuti associati al traffico di potenziali attacchi. L'insieme di attributi non è configurabile dall'utente. I valori degli attributi dipendono dai valori nel traffico in entrata nel tuo servizio di backend.

Per ogni valore dell'attributo che Adaptive Protection ritiene indichi un potenziale attacco, Adaptive Protection elenca quanto segue:

  • La probabilità di attacco
  • La proporzione dell'attributo nell'attacco, ovvero la percentuale di traffico di potenziali attacchi che aveva questo valore al momento in cui è stato rilevato l'attacco
  • La proporzione dell'attributo nel valore di riferimento, ovvero la percentuale di trafico di riferimento che aveva questo valore dell'attributo al momento del rilevamento dell'attacco

La specifica della voce di Cloud Logging contiene i dettagli delle informazioni in ogni avviso.

Di seguito è riportato un esempio di tabella leggibile dall'utente che contiene la firma di un potenziale attacco:

Nome attributo Valore Tipo di corrispondenza Probabile attacco Proporzione nell'attacco Proporzione nella base di riferimento
UserAgent "foo" Corrispondenza esatta 0,7 0,85 0,12
UserAgent "bar" Corrispondenza esatta 0,6 0,7 0,4
IP di origine "a.b.c.d" Corrispondenza esatta 0,95 0,1 0,01
IP di origine a.b.c.e Corrispondenza esatta 0,95 0,1 0,01
IP di origine a.b.c.f Corrispondenza esatta 0,05 0,1 0,1
RegionCode Regno Unito Corrispondenza esatta 0,64 0,3 0,1
RegionCode IN Corrispondenza esatta 0,25 0,2 0,3
RequestUri /urlpart Sottostringa 0,7 0,85 0,12

Un avviso di protezione adattiva e il log degli eventi Cloud Logging pertinenti contengono quanto segue:

  • Un ID avviso univoco, o alertID, utilizzato per fare riferimento a un avviso specifico quando viene segnalato il feedback dell'utente (di seguito sono riportate ulteriori informazioni)
  • Il servizio di backend sotto attacco o backendService
  • Il punteggio di attendibilità, o confidence, è un numero compreso tra 0 e 1 che indica con quale intensità il sistema di protezione adattiva valuta l'evento rilevato come attacco dannoso

Riceverai anche un insieme di firme e regole che caratterizzano l'attacco rilevato. Nello specifico, l'insieme fornisce un elenco di headerSignatures, ciascuno corrispondente a un'intestazione HTTP e contenente un elenco di significantValues per l'intestazione specifica. Ogni valore significativo è un valore di intestazione osservato o una sottostringa.

Di seguito è riportato un esempio di firma:

...
headerSignatures: [
  0: {
   name: "Referer"
   significantValues: [
    0: {
     attackLikelihood: 0.95
     matchType: "MATCH_TYPE_EQUALS"
     proportionInAttack: 0.6
     proportionInBaseline: 0.01
     value: "foo.attacker.com"
    }
   ]
  }
...

L'avviso suggerisce che il valore foo.attacker.com nell'intestazione Referer sia importante per caratterizzare l'attacco. Nello specifico, il 60% del traffico di attacco (proportionInAttack) ha questo valore Referer e solo l'1% del traffico di riferimento tra tutto il traffico (proportionInBaseline) ha lo stesso valore Referer. Inoltre, tra tutto il traffico che corrisponde a questo valore Referer, il 95% è traffico di attacchi (attackLikelihood).

Questi valori suggeriscono che, se blocchi tutte le richieste con foo.attacker.com nel campo dell'intestazione Referer, bloccherai il 60% dell'attacco e anche l'1% del traffico di riferimento.

La proprietà matchType specifica la relazione tra l'attributo nel traffico di attacco e il valore significativo. Può essere MATCH_TYPE_CONTAINS o MATCH_TYPE_EQUALS.

La firma successiva corrisponde al traffico con una sottostringa /api? nell'URI della richiesta:

...
headerSignatures: [
  0: {
   name: "RequestUri"
   significantValues: [
    0: {
     attackLikelihood: 0.95
     matchType: "MATCH_TYPE_CONTAINS"
     proportionInAttack: 0.9
     proportionInBaseline: 0.01
     value: "/api?"
    }
   ]
  }
...

Esegui il deployment delle regole suggerite

Gli avvisi di Adaptive Protection forniscono anche una regola di Google Cloud Armor suggerita espressa nel linguaggio delle regole personalizzate. Questa regola può essere utilizzata per creare una regola in un criterio di sicurezza di Google Cloud Armor per attenuare l'attacco. Oltre alla firma, l'avviso include un tasso di traffico di riferimento interessato per aiutarti a valutare l'impatto dell'implementazione della regola. La percentuale di traffico di riferimento interessato è una proporzione prevista del traffico di riferimento che corrisponde alla firma dell'attacco identificata da Adaptive Protection. Se non hai un abbonamento a Cloud Armor Enterprise, gli avvisi di base inviati da Adaptive Protection non includono una regola di Google Cloud Armor suggerita che puoi applicare.

Puoi trovare alcune delle firme di avviso, nonché la frequenza di riferimento interessata, nel messaggio di log inviato a Cloud Logging. L'esempio seguente è il payload JSON di un avviso di esempio, insieme alle etichette delle risorse su cui puoi filtrare i log.

...
 jsonPayload: {
   alertId: "11275630857957031521"
   backendService: "test-service"
   confidence: 0.71828485
   headerSignatures: [

    0: {
     name: "RequestUri"
     significantValues: [
      0: {
       attackLikelihood: 0.88
       matchType: "MATCH_TYPE_EQUALS"
       proportionInAttack: 0.85
       proportionInBaseline: 0.01
       value: "/"
      }
     ]
    }
    1: {
     name: "RegionCode"
     significantValues: [
      0: {
       attackLikelihood: 0.08
       matchType: "MATCH_TYPE_EQUALS"
       proportionInAttack: 0.17
       proportionInBaseline: 0.28
       value: "US"
      }
      1: {
       attackLikelihood: 0.68
       matchType: "MATCH_TYPE_EQUALS"
       proportionInAttack: 0.09
       proportionInBaseline: 0.01
       value: "DE"
      }
      2: {
       attackLikelihood: 0.74
       matchType: "MATCH_TYPE_EQUALS"
       proportionInAttack: 0.05
       proportionInBaseline: 0
       value: "MD"
      }
     ]
    }
     2: {
     name: "UserAgent"
     significantValues: [
      0: {
       attackLikelihood: 0.92
       matchType: "MATCH_TYPE_EQUALS"
       proportionInAttack: 0.85
       proportionInBaseline: 0
       value: "Unusual browser"
      }
      1: {
       attackLikelihood: 0.87
       proportionInAttack: 0.7
       proportionInBaseline: 0.1
       missing: true
      }
     ]
    }
   ]
   suggestedRule: [
    0: {
     action: "DENY"
     evaluation: {
       impactedAttackProportion: 0.95
       impactedBaselineProportion: 0.001
       impactedBaselinePolicyProportion: 0.001
     }
     expression: "evaluateAdaptiveProtection('11275630857957031521')"
    }
   ]
   ruleStatus: RULE_GENERATED
   attackSize: 5000
 }
 resource: {
    type: "network_security_policy",
    labels: {
      project_id: "your-project",
      policy_name: "your-security-policy-name"
    }
 },
}
}
...

Puoi implementare le regole suggerite copiando l'espressione CEL dalla firma della regola e incollandola nella condizione di corrispondenza di una regola appena creata oppure facendo clic sul pulsante Applica nella dashboard Protezione adattiva nell'interfaccia utente di Google Cloud Armor.

Per implementare la regola, crea una nuova regola nel criterio di sicurezza di Google Cloud Armor che protegga i servizi di backend scelti come target identificati dall'avviso. Poi, durante la configurazione della regola, copia e incolla l'espressione CEL dall'alert nel campo Condizione di corrispondenza della regola e imposta l'azione della regola su deny. Nell'esempio precedente, devi copiare l'espressione evaluateAdaptiveProtection('11275630857957031521') dalla sezione suggestedRule dell'avviso.

Ti consigliamo vivamente di eseguire inizialmente il deployment della regola in modalità di anteprima per poter valutare l'impatto della regola sul traffico in produzione. In questo modo, Google Cloud Armor registra l'azione e il traffico associato ogni volta che viene attivata la regola, ma non viene intrapresa alcuna azione sul traffico corrispondente.

Inoltre, se la tua policy di sicurezza è associata a più servizi di backend, tieni presente se gli effetti della nuova regola hanno effetti indesiderati in uno dei servizi di backend. In questo caso, configura nuovi criteri di sicurezza per attenuare gli effetti indesiderati e associali ai servizi di backend corretti.

Ti consigliamo di impostare la priorità della nuova regola su un valore superiore a quello di tutte le altre regole con l'azione impostata su Consenti. Questo perché, per avere l'impatto previsto e un effetto massimo nell'attenuazione dell'attacco, la regola deve essere implementata nella posizione di priorità logica più alta per garantire che tutto il traffico corrispondente venga bloccato dalla regola. Le regole in un criterio di sicurezza di Google Cloud Armor vengono valutate in ordine di priorità e la valutazione termina dopo l'attivazione della prima regola corrispondente e l'esecuzione dell'azione della regola associata. Se devi concedere un'eccezione per alcuni client o per un determinato traffico da questa regola, puoi creare una regola "allow" con una priorità più alta, ovvero con un valore numerico inferiore. Per ulteriori informazioni sulla priorità delle regole, consulta Ordine di valutazione delle regole.

Eseguire il deployment automatico delle regole suggerite

Puoi anche configurare Adaptive Protection per eseguire automaticamente il deployment delle regole suggerite. Per attivare il deployment automatico delle regole, crea una regola segnaposto con la priorità e l'azione che preferisci utilizzando l'espressione evaluateAdaptiveProtectionAutoDeploy() nella condizione di corrispondenza. Questa regola viene valutata come true per le richieste identificate da Adaptive Protection come traffico di attacco e Google Cloud Armor applica l'azione alla richiesta di attacco. Sono supportati tutti i tipi di azioni di Google Cloud Armor, ad esempio allow, deny, throttle e redirect. Inoltre, puoi utilizzare la modalità di anteprima per registrare l'attivazione della regola, senza eseguire l'azione configurata.

Se utilizzi un proxy upstream, ad esempio una CDN di terze parti, davanti al bilanciatore del carico delle applicazioni esterno, ti consigliamo di configurare il campo userIpRequestHeaders per aggiungere l'indirizzo IP (o gli intervalli di indirizzi IP) del tuo provider a una lista consentita. In questo modo, Adaptive Protection impedisce di identificare erroneamente l'indirizzo IP di origine del proxy come parte di un attacco. Esamina invece il campo configurato dall'utente per l'indirizzo IP di origine del traffico prima che arrivi al proxy.

Per ulteriori informazioni sulla configurazione del deployment automatico delle regole, consulta Eseguire il deployment automatico delle regole suggerite di Protezione adattiva.

Stato della regola

Se non viene visualizzata alcuna regola quando provi a implementare una regola suggerita, puoi utilizzare il campo ruleStatus per determinare la causa.

 ]
ruleStatus: RULE_GENERATED
attackSize: 5000
}

La tabella seguente descrive i possibili valori del campo e il loro significato.

Stato della regola Descrizione
RULE_GENERATED È stata generata normalmente una regola utilizzabile.
BASELINE_TOO_RECENT Tempo insufficiente per accumulare un traffico di riferimento affidabile. La generazione delle regole può richiedere fino a un'ora.
NO_SIGNIFICANT_VALUE_DETECTED Nessun'intestazione ha valori significativi associati al traffico di attacco, pertanto non è stato possibile generare alcuna regola.
NO_USABLE_RULE_FOUND Non è stato possibile creare una regola utilizzabile.
ERRORE Si è verificato un errore non specificato durante la creazione della regola.

Monitoraggio, feedback e generazione di report sugli errori relativi agli eventi

Per visualizzare o interagire con la dashboard Protezione adattiva, devi disporre delle seguenti autorizzazioni.

  • compute.securityPolicies.list
  • compute.backendServices.list
  • logging.logEntries.list

Dopo aver attivato la Protezione adattiva su qualsiasi criterio di sicurezza di Google Cloud Armor, puoi visualizzare la pagina seguente nel riquadro Sicurezza di rete > Google Cloud Armor. Mostra il volume di traffico nel tempo per il criterio di sicurezza e il servizio di backend selezionati e per la durata selezionata. Eventuali istanze di potenziali attacchi segnalati da Adaptive Protection sono contrassegnate sul grafico e elencate sotto il grafico. Quando fai clic su un evento di attacco specifico, viene visualizzata una finestra laterale con la firma dell'attacco e la regola suggerita in formato tabulare. Si tratta delle stesse informazioni presenti nelle voci di log di Cloud Logging descritte nella specifica della voce di Cloud Logging. Fai clic sul pulsante Applica per aggiungere la regola suggerita allo stesso criterio di sicurezza.

Dashboard di Adaptive Protection
Dashboard Protezione adattiva (fai clic per ingrandire)
Dettagli dell'avviso Adaptive Protection
Dashboard Protezione adattiva (fai clic per ingrandire)

Non tutti i risultati di Adaptive Protection sono considerati attacchi, in base al contesto e ai fattori ambientali unici del servizio di backend protetto. Se determini che il potenziale attacco descritto dall'avviso è un comportamento normale o accettato, puoi segnalare un errore di evento per contribuire ad addestrare i modelli di Protezione adattiva. Accanto a ogni evento di attacco elencato nel grafico è presente un pulsante che apre una finestra interattiva che ti consente di segnalare un errore di evento con un contesto facoltativo. La segnalazione di un errore di evento contribuisce a ridurre la probabilità di errori simili in futuro. Nel tempo, questo aumenta l'accuratezza di Adaptive Protection.

Monitoraggio, avvisi e logging

La telemetria di Adaptive Protection viene inviata a Cloud Logging e Security Command Center. Il messaggio di log di Adaptive Protection inviato a Cloud Logging è descritto nelle sezioni precedenti di questo documento. Ogni volta che la Protezione adattiva rileva un potenziale attacco viene generata una voce di log e ogni voce contiene un punteggio di affidabilità che descrive il livello di certezza dei modelli in merito al fatto che il traffico osservato sia anomalo. Per perfezionare gli avvisi, in Cloud Logging è possibile configurare un criterio di avviso che attivi un avviso solo quando un messaggio di log di Adaptive Protection ha un punteggio di attendibilità superiore a una soglia specificata dall'utente. Ti consigliamo di iniziare con una soglia bassa, con un livello di confidenza superiore a 0,5, per evitare di perdere gli avvisi di potenziali attacchi. La soglia di confidenza nel criterio di avviso può essere aumentata nel tempo se gli avvisi hanno un tasso di base interessato inaccettabile.

La dashboard di Security Command Center contiene anche i risultati di Adaptive Protection. Si trovano nella scheda Google Cloud Armor nella categoria Attacchi DDoS alle applicazioni. Ogni risultato include i dettagli del servizio, la confidenza dell'attacco, la firma associata all'attacco e un link all'avviso specifico nella dashboard Protezione adattiva. Lo screenshot seguente è un esempio di esito di un tentativo di attacco DDoS alle applicazioni:

Rilevamento di un attacco DDoS all'applicazione.
Risultato di attacco DDoS dell'applicazione (fai clic per ingrandire).

Specifica della voce di Cloud Logging

L'avviso di protezione adattiva inviato a Cloud Logging è costituito da una voce di log contenente i seguenti elementi:

  • Affidabilità dell'avviso: l'affidabilità di Adaptive Protection che l'evento osservato è un attacco.
  • Deployment automatico: valore booleano che indica se è stata attivata una difesa automatica.
  • Firma dell'attacco
    • Nome dell'attributo: il nome dell'attributo che corrisponde a Value di seguito, ad esempio un determinato nome dell'intestazione della richiesta o un'origine geografica.
    • Valore: il valore a cui corrisponde l'attributo nel traffico dannoso.
    • Tipo di corrispondenza: la relazione tra Value e l'attributo nel traffico di attacco. Il valore è uguale a una sottostringa di un attributo nel traffico di attacco.
    • Probabilità di attacco: la probabilità che una determinata richiesta sia dannosa, dato che l'attributo pertinente di questa richiesta corrisponde a Value.
    • Proporzione nell'attacco: la percentuale di traffico di potenziali attacchi che corrisponde a Value.
    • Proporzione nella base di riferimento: la percentuale di traffico normale di riferimento che corrisponde Value.
  • Regola suggerita
    • Condizione di corrispondenza: l'espressione da utilizzare nella condizione di corrispondenza delle regole per identificare il traffico dannoso.
    • Tasso di riferimento interessato: la percentuale prevista di traffico valido per il servizio di backend specifico sotto attacco acquisito dalla regola suggerita.
    • Tasso di riferimento influenzato dal criterio: la percentuale prevista di traffico valido per tutti i servizi di backend nello stesso criterio di sicurezza acquisito dalla regola suggerita.
    • Tasso di attacchi interessati: la percentuale prevista di traffico di attacco acquisita dalla regola suggerita.
  • Stato regola: dettagli aggiuntivi sulla generazione delle regole.

Panoramica del machine learning e privacy

  • Dati di addestramento e dati di rilevamento
    • La Protezione adattiva crea diversi modelli per rilevare potenziali attacchi e identificarne le firme. Gli indicatori utilizzati da questi modelli per determinare se è in corso un attacco derivano dai metadati osservati del traffico delle richieste in entrata dai tuoi progetti. Questi metadati includono: indirizzo IP di origine, località di origine e valori di alcune intestazioni di richiesta HTTP.
    • Le caratteristiche effettive utilizzate dai modelli sono proprietà statistiche derivate degli indicatori sopra menzionati. In altre parole, i dati di addestramento per i modelli non includono i valori effettivi di alcun metadato, ad esempio indirizzi IP e/o valori dell'intestazione della richiesta.
    • Quando la Protezione adattiva viene attivata per la prima volta, viene condiviso tra tutti i clienti un insieme comune di modelli di rilevamento addestrati solo con dati artificiali per determinare se è in corso un attacco. Una volta segnalato un evento di attacco falso e aggiornati i modelli utilizzando gli indicatori di traffico specifici dei tuoi progetti, questi modelli sono locali per i tuoi progetti e non vengono utilizzati per altri clienti.
  • Dati per la generazione della firma
    • Dopo che Adaptive Protection ha stabilito che è in corso un potenziale attacco, genera una firma di attacco efficace per aiutare la destinazione a mitigare rapidamente l'attacco. Per ottenere quanto sopra, dopo aver attivato Adaptive Protection in un criterio di sicurezza, le metriche sul traffico e i metadati delle richieste a un servizio di backend (associato al criterio di sicurezza) vengono registrati continuamente per apprendere le caratteristiche di base del traffico.
    • Poiché Adaptive Protection deve acquisire informazioni sul traffico di riferimento, potrebbe essere necessaria fino a un'ora prima che vengano generate regole per mitigare i potenziali attacchi.

Passaggi successivi