Questo documento presenta alcuni casi d'uso comuni per Google Cloud Armor Adaptive Protection.
Rilevamento e protezione dagli attacchi DDoS di livello 7
Il caso d'uso più comune per Adaptive Protection è il rilevamento e la risposta agli attacchi DDoS di livello 7, come gli attacchi di tipo HTTP GET flood, HTTP POST flood o altre attività HTTP ad alta frequenza. Gli attacchi DDoS L7 spesso iniziano in modo relativamente lento e aumentano di intensità nel tempo. Quando gli esseri umani o i meccanismi di rilevamento automatico dei picchi rilevano un attacco, è probabile che sia di alta intensità e stia già avendo un forte impatto negativo sull'applicazione. È fondamentale sottolineare che, sebbene sia possibile osservare l'aumento del traffico in forma aggregata, è molto più difficile distinguere in tempo reale le singole richieste come dannose o meno, perché appaiono come richieste normali e complete. Analogamente, poiché le origini dell'attacco sono distribuite tra botnet o altri gruppi di client dannosi di dimensioni variabili da migliaia a milioni, diventa sempre più difficile mitigare un attacco in corso identificando e bloccando sistematicamente i client dannosi in base al solo IP. Nel caso di DDoS, l'attacco riesce a rendere non disponibile il servizio di destinazione per alcuni o tutti gli utenti regolari.
Per rilevare e rispondere rapidamente agli attacchi DDoS di livello 7, il proprietario del progetto o della policy di sicurezza può abilitare la protezione Adaptive Protection in base alla singola policy di sicurezza nel proprio progetto. Dopo almeno un'ora di addestramento e osservazione dei normali pattern di traffico, la protezione adattiva sarà pronta a rilevare rapidamente e con precisione un attacco nelle prime fasi del suo ciclo di vita e a suggerire regole WAF per bloccare l'attacco in corso senza influire sugli utenti normali.
Le notifiche di potenziali attacchi e la firma identificata del traffico sospetto vengono inviate a Logging, dove il messaggio di log può attivare una policy di avviso personalizzata, essere analizzato e archiviato o essere inviato a una soluzione SIEM (Security Information and Event Management) o di gestione dei log downstream. Per ulteriori informazioni su come integrare SIEM o la gestione dei log downstream, consulta la documentazione di Logging.
Rilevamento e risposta alla firma dell'attacco
È fondamentale non solo rilevare e segnalare tempestivamente potenziali attacchi, ma anche essere in grado di agire in base all'avviso e rispondere in tempo per mitigare gli attacchi. Gli addetti alla risposta agli incidenti di un'azienda devono dedicare minuti e ore critici a investigare, analizzando spesso i log e monitorando i sistemi per raccogliere informazioni sufficienti a sviluppare una risposta a un attacco in corso. Successivamente, prima di eseguire il deployment della mitigazione, il piano deve essere convalidato per assicurarsi che non abbia un impatto indesiderato o negativo sui carichi di lavoro di produzione.
Con Adaptive Protection, i tecnici incaricati di rispondere agli incidenti hanno tutto ciò che serve per analizzare rapidamente un attacco DDoS di livello 7 in corso e rispondere immediatamente dopo aver ricevuto l'avviso. L'avviso di Adaptive Protection include la firma del traffico ritenuto coinvolto nel potenziale attacco. I contenuti della firma includeranno metadati sul traffico in entrata, tra cui l'insieme di intestazioni di richieste HTTP dannose, le aree geografiche di origine e così via. L'avviso include anche una regola corrispondente alla firma dell'attacco che può essere applicata in Cloud Armor per bloccare immediatamente il traffico dannoso.
L'evento Adaptive Protection fornisce un punteggio di confidenza e un tasso di base previsto associato alla regola suggerita per facilitare la convalida. Ogni componente della firma dispone anche di misure per la probabilità di attacco e la proporzione di attacco per consentire ai responsabili della risposta agli incidenti di perfezionare e restringere o ampliare l'ambito della risposta.
Personalizzazione del modello e segnalazione degli errori degli eventi
I modelli di rilevamento degli attacchi di Adaptive Protection vengono addestrati su un set di dati prodotto artificialmente per mostrare le caratteristiche del traffico buono e dannoso. Di conseguenza, è possibile che la protezione adattiva identifichi un potenziale attacco che, dopo ulteriori indagini, il responsabile della risposta agli incidenti o il proprietario dell'applicazione determinerà che non si trattava di un attacco. Adaptive Protection è in grado di apprendere dal contesto e dai pattern di traffico unici di ogni applicazione protetta.
Puoi segnalare singoli avvisi come falsi positivi per aiutare ulteriormente Adaptive Protection ad addestrare e personalizzare i modelli di rilevamento. Con i falsi positivi, i modelli di protezione adattiva avranno meno probabilità di inviare avvisi sul traffico con caratteristiche e attributi simili in futuro. Nel tempo, i modelli di rilevamento di Adaptive Protection saranno più in sintonia con le caratteristiche specifiche del traffico in ogni criterio di sicurezza protetto. I passaggi per segnalare eventi falsi positivi sono descritti in Monitoraggio, feedback e segnalazione di errori degli eventi.