Google Cloud Armor Adaptive Protection 應用實例

本文將介紹 Google Cloud Armor Adaptive Protection 的幾種常見用途。

L7 DDoS 攻擊偵測和防護

自適應防護最常見的用途是偵測並回應 L7 DDoS 攻擊,例如 HTTP GET 泛濫、HTTP POST 泛濫或其他高頻率 HTTP 活動。L7 DDoS 攻擊通常一開始的速度較慢,但會隨著時間推移而逐漸加劇。當人工或自動尖峰偵測機制偵測到攻擊時,攻擊可能已經達到高強度,並對應用程式造成嚴重負面影響。重要的是,雖然可以從匯總資料中觀察到流量激增,但要即時區分個別要求是否為惡意要求,則更加困難,因為這些要求看起來都是正常的完整要求。同樣地,由於攻擊來源會分散到殭屍網路或其他惡意用戶端群組 (規模從數千到數百萬不等),因此要透過系統化方式,根據 IP 來辨識及封鎖惡意用戶端,以減輕持續攻擊的影響,就會越來越困難。在 DDoS 攻擊的情況下,攻擊者會成功讓部分或所有一般使用者無法使用指定服務。

L7 DDoS 攻擊 (HTTP GET 洪流) 的示意圖。攻擊成功後,可能會讓目標應用程式不堪負荷,導致合法使用者無法存取服務。
L7 分散式阻斷服務攻擊 (HTTP GET 洪流) 示意圖。攻擊成功後,可能會讓目標應用程式不堪負荷,導致合法使用者無法存取服務。(按一下即可放大)

如要快速偵測並回應第 7 層分散式阻斷服務攻擊,專案或安全性政策擁有者可以在專案中為個別安全性政策啟用自動調整式防護機制。經過至少一小時的訓練和觀察正常流量模式後,自適應防護功能就會準備就緒,在攻擊生命週期初期快速且準確地偵測攻擊,並建議 WAF 規則來阻止持續進行的攻擊,同時不影響一般使用者。

自動調整式防護機制會識別並減輕 L7 DDoS 攻擊,讓合法使用者能夠存取應用程式。
自動調整式防護機制會識別並減輕第 7 層分散式阻斷服務攻擊,讓合法使用者可以存取應用程式。(按一下即可放大)

系統會將潛在攻擊的通知和可疑流量的識別簽章傳送至 Logging,讓記錄訊息觸發自訂的快訊政策、進行分析和儲存,或傳送至下游安全資訊與事件管理 (SIEM) 或記錄管理解決方案。如要進一步瞭解如何整合下游 SIEM 或記錄管理,請參閱記錄說明文件

攻擊特徵偵測與回應

除了及早偵測並發出潛在攻擊的警報,還必須能夠依據警報採取行動,並及時做出回應,以減輕攻擊的影響。企業的事件應變人員必須花費寶貴的幾分鐘或幾小時進行調查,經常分析記錄和監控系統,才能收集足夠的資訊,針對持續攻擊制定回應措施。接著,在部署緩解措施前,請先驗證該計畫,確保不會對實際工作負載造成非預期或負面影響。

企業事件回應程序的常見工作流程。
企業事件回應程序的一般工作流程。(按一下即可放大)

有了自動調整式防護機制,事件回應人員就能在收到警示時,快速分析並回應持續進行中的第 7 層分散式阻斷服務攻擊。自適應防護警示會附上已判定參與潛在攻擊的流量簽章。簽章內容會包含傳入流量的中繼資料,包括惡意 HTTP 要求標頭組合、來源地理位置等。此外,這類警示也會包含與攻擊簽章相符的規則,可在 Google Cloud Armor 中套用,立即封鎖惡意流量。

Adaptive Protection 事件會提供與建議規則相關的信心分數和預估受影響的基準比率,以利驗證。每個簽章元件也設有攻擊機率和攻擊比例的評估標準,讓事件回應人員能夠微調回應範圍,並縮小或擴大範圍。

自訂模型及回報事件錯誤

我們會使用人工產生的資料集訓練自適應防護攻擊偵測模型,以便顯示良性和惡意流量的特徵。因此,適應式防護可能會在額外調查後,將事件回應者或應用程式擁有者認為並非攻擊的潛在攻擊事件識別為攻擊事件。自適應防護功能可根據每個受保護應用程式的獨特內容和流量模式進行學習。

潛在攻擊的簽章範例。
潛在攻擊的簽章範例。(按一下即可放大)

您可以將個別警示回報為誤報,進一步協助自適應防護訓練及自訂偵測模型。在收到誤報後,自適應防護模型日後就比較不會針對具有類似特徵和屬性的流量發出警報。隨著時間過去,Adaptive Protection 偵測模型會更能配合各個受保護安全性政策中流量的特定特性。如要瞭解如何回報誤判事件,請參閱「監控、提供意見回饋和回報事件錯誤」一文。

後續步驟