Kasus penggunaan Google Cloud Armor Adaptive Protection

Dokumen ini menyajikan beberapa kasus penggunaan umum untuk Perlindungan Adaptif Google Cloud Armor.

Deteksi dan perlindungan serangan DDoS L7

Kasus penggunaan yang paling umum untuk Perlindungan Adaptif adalah mendeteksi dan merespons serangan DDoS L7 seperti banjir HTTP GET, banjir HTTP POST, atau aktivitas HTTP frekuensi tinggi lainnya. Serangan DDoS L7 sering kali dimulai dengan kecepatan yang relatif lambat dan intensitasnya meningkat seiring waktu. Pada saat mekanisme deteksi lonjakan otomatis atau manual mendeteksi serangan, intensitasnya kemungkinan tinggi dan sudah memberikan dampak negatif yang kuat pada aplikasi. Yang penting, meskipun lonjakan traffic secara keseluruhan dapat diamati, akan jauh lebih sulit untuk membedakan, secara real time, permintaan individual sebagai berbahaya atau tidak karena permintaan tersebut muncul sebagai permintaan yang normal dan terbentuk sepenuhnya. Demikian pula, karena sumber serangan didistribusikan di antara botnet atau grup klien berbahaya lainnya yang berukuran mulai dari ribuan hingga jutaan, maka semakin sulit untuk memitigasi serangan yang sedang berlangsung dengan mengidentifikasi dan memblokir klien berbahaya secara sistematis berdasarkan IP saja. Dalam kasus DDoS, akibatnya serangan berhasil membuat layanan yang ditargetkan tidak tersedia bagi sebagian atau semua pengguna reguler.

Ilustrasi serangan DDoS L7 (flood HTTP GET). Serangan yang berhasil dapat membebani aplikasi yang ditargetkan dan mencegah pengguna yang sah mengakses layanan.
Ilustrasi serangan DDoS L7 (flood HTTP GET). Serangan yang berhasil dapat membebani aplikasi yang ditargetkan dan mencegah pengguna yang sah mengakses layanan. (klik untuk memperbesar)

Untuk mendeteksi dan merespons serangan DDoS L7 dengan cepat, pemilik project atau kebijakan keamanan dapat mengaktifkan perlindungan Adaptive Protection berdasarkan per kebijakan keamanan dalam project mereka. Setelah minimal satu jam pelatihan dan mengamati pola traffic normal, Perlindungan Adaptif akan siap mendeteksi serangan dengan cepat dan akurat di awal siklus prosesnya serta menyarankan aturan WAF untuk memblokir serangan yang sedang berlangsung tanpa memengaruhi pengguna normal.

Adaptive Protection mengidentifikasi dan memitigasi serangan DDoS L7, sehingga pengguna yang sah dapat mengakses aplikasi.
Adaptive Protection mengidentifikasi dan memitigasi serangan DDoS L7, sehingga pengguna yang sah dapat mengakses aplikasi. (klik untuk memperbesar)

Notifikasi potensi serangan dan tanda tangan yang teridentifikasi dari traffic yang mencurigakan dikirim ke Logging, tempat pesan log dapat memicu Kebijakan Pemberitahuan kustom, dianalisis dan disimpan, atau dikirim ke solusi manajemen log atau informasi keamanan dan manajemen peristiwa (SIEM) hilir. Lihat dokumentasi Logging untuk mengetahui informasi selengkapnya tentang cara mengintegrasikan SIEM atau pengelolaan log hilir.

Deteksi dan respons tanda serangan

Penting untuk tidak hanya mendeteksi dan memberikan peringatan tentang potensi serangan sejak dini, tetapi juga dapat menindaklanjuti peringatan tersebut dan merespons tepat waktu untuk memitigasi serangan. Tim respons insiden perusahaan harus menghabiskan waktu berharga untuk melakukan investigasi, sering kali menganalisis log dan memantau sistem untuk mengumpulkan informasi yang cukup guna mengembangkan respons terhadap serangan yang sedang berlangsung. Selanjutnya, sebelum men-deploy mitigasi, rencana tersebut harus divalidasi untuk memastikan tidak akan berdampak negatif atau tidak diinginkan pada workload produksi.

Alur kerja umum untuk proses respons insiden perusahaan.
Alur kerja umum untuk proses respons insiden perusahaan. (klik untuk memperbesar)

Dengan Perlindungan Adaptif, responder insiden memiliki semua yang mereka butuhkan untuk menganalisis dan merespons serangan DDoS L7 yang sedang berlangsung dengan cepat saat mereka menerima pemberitahuan. Peringatan Perlindungan Adaptif mencakup tanda tangan traffic yang ditentukan berpartisipasi dalam potensi serangan. Isi tanda tangan akan mencakup metadata tentang traffic masuk, termasuk serangkaian header permintaan HTTP berbahaya, geografi sumber, dll. Pemberitahuan juga mencakup aturan yang cocok dengan tanda tangan serangan yang dapat diterapkan di Cloud Armor untuk segera memblokir traffic berbahaya.

Peristiwa Adaptive Protection memberikan skor keyakinan dan perkiraan tingkat dasar yang terpengaruh yang terkait dengan aturan yang disarankan untuk membantu validasi. Setiap komponen tanda tangan juga memiliki ukuran untuk kemungkinan serangan dan proporsi serangan guna memungkinkan responden insiden menyesuaikan dan mempersempit atau memperluas cakupan respons.

Menyesuaikan model dan melaporkan error peristiwa

Model deteksi serangan Adaptive Protection dilatih pada set data yang dibuat secara artifisial untuk menunjukkan karakteristik traffic yang baik dan berbahaya. Akibatnya, Perlindungan Adaptif mungkin mengidentifikasi potensi serangan yang, setelah penyelidikan lebih lanjut, akan ditentukan oleh responden insiden atau pemilik aplikasi sebagai bukan serangan. Adaptive Protection dapat mempelajari konteks dan pola traffic unik dari setiap aplikasi yang dilindungi.

Contoh tanda tangan potensi serangan.
Contoh tanda tangan potensi serangan. (klik untuk memperbesar)

Anda dapat melaporkan setiap pemberitahuan sebagai positif palsu untuk lebih membantu Pelindungan Adaptif melatih dan menyesuaikan model deteksi. Dengan laporan positif palsu, model Perlindungan Adaptif cenderung tidak akan memberikan peringatan pada traffic dengan karakteristik dan atribut serupa di masa mendatang. Seiring waktu, model deteksi Perlindungan Adaptif akan lebih disesuaikan dengan karakteristik spesifik traffic di setiap kebijakan keamanan yang dilindungi. Langkah-langkah untuk melaporkan peristiwa positif palsu dijelaskan dalam Memantau, memberikan masukan, dan melaporkan error peristiwa.

Langkah berikutnya