Security Command Center es la base de datos de seguridad y riesgos de Google Cloud. Security Command Center incluye un panel de control de riesgos y un sistema de analíticas para identificar, comprender y corregir los riesgos de seguridad y de datos de una organización.Google Cloud
Google Cloud Armor se integra automáticamente con Security Command Center y exporta dos resultados al panel de control de Security Command Center: Pico de tráfico permitido y Aumento de la proporción de denegaciones. En esta guía se describen los resultados y cómo interpretarlos.
Si aún no has habilitado Cloud Armor en Security Command Center, consulta el artículo Configurar Security Command Center. En Security Command Center, solo verás los resultados de los proyectos que tengan habilitado Security Command Center a nivel de organización.
Permitir la detección de picos de tráfico
El tráfico permitido se compone de solicitudes HTTP(S) correctas que tienen como destino tus servicios de backend después de que se aplique una política de seguridad de Cloud Armor.
La detección Pico de tráfico permitido te avisa de un pico de tráfico permitido por servicio de backend. Se genera un resultado cuando hay un aumento repentino del número permitido de solicitudes por segundo (RPS) en comparación con el volumen normal observado en el historial reciente. El RPS que ha provocado el pico y el RPS del historial reciente se proporcionan como parte del resultado.
Caso práctico: posibles ataques de capa 7
Los ataques de denegación de servicio distribuido (DDoS) se producen cuando los atacantes envían grandes volúmenes de solicitudes para sobrecargar un servicio de destino. El tráfico de ataques DDoS a la capa 7 suele presentar un pico en el número de solicitudes por segundo.
Un resultado de Pico de tráfico permitido identifica el servicio de backend al que se dirige el pico de RPS y proporciona las características del tráfico que han provocado que Cloud Armor lo clasifique como un pico de RPS. Usa esta información para determinar lo siguiente:
- Indica si se está produciendo un posible ataque DDoS de capa 7.
- El servicio al que se dirige.
- Las medidas que puedes tomar para mitigar el posible ataque.
A continuación se muestra una captura de pantalla de un ejemplo de resultado de Pico de tráfico permitido en el panel de control de Security Command Center.
Google Cloud calcula los valores Long_Term_Allowed_RPS y Short_Term_Allowed_RPS en función del historial de Cloud Armor.
Aumentar la proporción de denegaciones
La detección Aumento de la proporción de denegaciones te avisa de que ha aumentado la proporción de tráfico que Cloud Armor bloquea debido a una regla configurada por el usuario en una política de seguridad. Aunque el rechazo es esperado y no afecta al servicio backend, esta detección te ayuda a estar al tanto de los aumentos de tráfico no deseado y potencialmente malicioso dirigido a tus aplicaciones. El RPS del tráfico rechazado y el tráfico entrante total se proporcionan como parte del resultado.
Caso práctico: mitigar ataques de capa 7
Si se detecta un aumento de la proporción de denegaciones, podrá ver tanto el impacto de las mitigaciones correctas como los cambios significativos en el comportamiento de los clientes maliciosos. La detección identifica el backend al que se dirigió el tráfico rechazado y proporciona las características del tráfico que provocaron que Cloud Armor generara la detección. Usa esta información para evaluar si el tráfico denegado debe estudiarse en detalle para reforzar aún más tus mitigaciones.
A continuación se muestra una captura de pantalla de un ejemplo de resultado de Aumento de la proporción de denegaciones en el panel de control de Security Command Center.
Google Cloud calcula los valores Long_Term_Denied_RPS y Long_Term_Incoming_RPS en función del historial de Cloud Armor.
Google Cloud Armor Adaptive Protection
Adaptive Protection envía telemetría a Security Command Center. Para obtener más información sobre los resultados de Adaptive Protection, consulta Monitorización, alertas y registros en la descripción general de Adaptive Protection.
Protección de red avanzada contra DDoS
La protección de red avanzada contra DDoS envía telemetría a Security Command Center. Para obtener más información sobre los resultados de la protección de red avanzada contra DDoS, consulta el artículo sobre los resultados de Security Command Center.
Cuando el tráfico vuelva a la normalidad
Los resultados de Security Command Center son notificaciones que indican que se ha observado un comportamiento concreto en un momento dado. No se envía ninguna notificación cuando se borra el comportamiento.
Es posible que se actualicen las conclusiones si las características del tráfico actual aumentan considerablemente en comparación con las características actuales. Si no se detecta ningún problema de seguimiento, significa que el comportamiento se ha corregido o que el volumen de tráfico no ha aumentado (permitir o denegar) de forma significativa después de que se haya generado el problema inicial.