Dokumen ini menampilkan beberapa kasus penggunaan umum untuk Perlindungan Adaptif Google Cloud Armor.
Deteksi dan perlindungan serangan DDoS L7
Kasus penggunaan yang paling umum untuk Perlindungan Adaptif adalah mendeteksi dan merespons serangan DDoS L7 seperti HTTP GET flood, HTTP POST flood, atau aktivitas HTTP frekuensi tinggi lainnya. Serangan DDoS L7 sering dimulai dengan relatif lambat dan meningkat intensitasnya dari waktu ke waktu. Saat manusia atau mekanisme deteksi lonjakan otomatis mendeteksi serangan, intensitasnya mungkin tinggi dan sudah memiliki dampak negatif yang kuat pada aplikasi. Yang terpenting, meskipun lonjakan traffic dapat diamati, akan jauh lebih sulit untuk membedakan permintaan individual secara real time sebagai berbahaya atau tidak karena muncul sebagai permintaan normal yang terbentuk sepenuhnya. Demikian pula, karena sumber serangan didistribusikan di antara botnet atau kelompok klien berbahaya lainnya dengan beragam ukuran dari ribuan hingga jutaan, akan semakin sulit untuk mengurangi serangan yang sedang berlangsung dengan secara sistematis mengidentifikasi dan memblokir klien jahat berdasarkan IP saja. Dalam kasus DDoS, hasilnya adalah serangan tersebut berhasil membuat layanan yang ditargetkan tidak tersedia untuk sebagian atau semua pengguna reguler.
Untuk mendeteksi dan merespons serangan DDoS L7 dengan cepat, pemilik kebijakan keamanan atau project dapat mengaktifkan perlindungan Perlindungan Adaptif berdasarkan kebijakan per-keamanan dalam project mereka. Setelah setidaknya satu jam pelatihan dan mengamati pola traffic normal, Perlindungan Adaptif akan siap untuk mendeteksi serangan dengan cepat dan akurat di awal siklus prosesnya dan menyarankan aturan WAF untuk memblokir serangan yang sedang berlangsung sehingga pengguna normal tidak terpengaruh.
Notifikasi potensi serangan dan tanda tangan yang teridentifikasi dari traffic yang dicurigai akan dikirim ke Logging, tempat pesan log dapat memicu Kebijakan Pemberitahuan kustom, dianalisis dan disimpan, atau dikirim ke informasi keamanan dan pengelolaan peristiwa downstream (SIEM) atau solusi pengelolaan log. Lihat Dokumentasi logging untuk informasi selengkapnya tentang cara mengintegrasikan SIEM downstream atau pengelolaan log.
Deteksi dan respons tanda tangan serangan
Sangat penting untuk tidak hanya mendeteksi dan memperingatkan potensi serangan lebih awal, tetapi juga dapat menindaklanjuti peringatan tersebut dan merespons tepat waktu untuk memitigasi serangan. Petugas respons insiden suatu perusahaan harus menghabiskan beberapa menit dan jam untuk menyelidiki, sering menganalisis log dan sistem pemantauan untuk mengumpulkan informasi yang cukup guna mengembangkan respons terhadap serangan yang sedang berlangsung. Selanjutnya, sebelum men-deploy mitigasi, rencana tersebut harus divalidasi untuk memastikan tidak berdampak negatif atau tidak diinginkan terhadap workload produksi.
Dengan Perlindungan Adaptif, responden insiden memiliki semua yang mereka butuhkan untuk menganalisis dan merespons serangan DDoS L7 dengan cepat saat mereka menerima pemberitahuan. Notifikasi Perlindungan Adaptif menyertakan tanda tangan traffic yang dianggap berpartisipasi dalam potensi serangan. Isi tanda tangan tersebut akan mencakup metadata tentang traffic masuk, termasuk kumpulan header permintaan HTTP berbahaya, geografi sumber, dll. Pemberitahuan ini juga menyertakan aturan yang cocok dengan tanda tangan serangan yang dapat diterapkan di Google Cloud Armor untuk langsung memblokir traffic berbahaya.
Peristiwa Perlindungan Adaptif memberikan skor keyakinan dan proyeksi tarif dasar pengukuran yang terpengaruh, yang terkait dengan aturan yang disarankan untuk membantu pembatalan. Setiap komponen tanda tangan juga memiliki ukuran kemungkinan serangan dan proporsi serangan untuk memungkinkan responden insiden menyesuaikan dan mempersempit atau memperluas cakupan respons.
Menyesuaikan model dan melaporkan error peristiwa
Model deteksi serangan Perlindungan Adaptif dilatih pada set data, yang dibuat secara artifisial untuk menunjukkan karakteristik traffic yang baik dan berbahaya. Akibatnya, Perlindungan Adaptif mungkin akan mengidentifikasi potensi serangan yang, setelah penyelidikan tambahan, akan memutuskan bahwa respons insiden atau pemilik aplikasi bukanlah serangan. Perlindungan Adaptif dapat belajar dari konteks dan pola traffic unik dari setiap aplikasi yang dilindungi.
Anda dapat melaporkan setiap pemberitahuan sebagai positif palsu untuk lebih membantu Perlindungan Adaptif melatih dan menyesuaikan model deteksi. Dengan laporan positif palsu, model Perlindungan Adaptif cenderung tidak akan memberikan peringatan tentang traffic dengan karakteristik dan atribut serupa di masa mendatang. Seiring waktu, model deteksi Perlindungan Adaptif akan lebih disesuaikan dengan karakteristik traffic tertentu di setiap kebijakan keamanan yang dilindungi. Langkah-langkah untuk melaporkan peristiwa positif palsu dijelaskan dalam Pemantauan, masukan, dan pelaporan error peristiwa.