Security Command Center è il database di sicurezza e rischi per Google Cloud. Security Command Center include una dashboard dei rischi e un sistema di analisi per visualizzare, comprendere e correggere i rischi per la sicurezza e i dati in un'organizzazione.Google Cloud
Google Cloud Armor è integrato automaticamente con Security Command Center ed esporta due risultati nella dashboard di Security Command Center: Picco di traffico consentito e Aumento del rapporto di negazione. Questa guida descrive i risultati e come interpretarli.
Se non hai ancora abilitato Cloud Armor in Security Command Center, consulta Configurazione di Security Command Center. Visualizzi i risultati in Security Command Center solo per i progetti per i quali è stato abilitato Security Command Center a livello di organizzazione.
Ricerca di picchi di traffico consentiti
Il traffico consentito è costituito da richieste HTTP(S) ben formate destinate a raggiungere i tuoi servizi di backend dopo l'applicazione di un criterio di sicurezza Cloud Armor.
Il risultato Picco di traffico consentito ti avvisa di un picco di traffico consentito in base al servizio di backend. Un risultato viene generato quando si verifica un aumento improvviso del numero consentito di richieste al secondo (RPS) rispetto al volume normale osservato nella cronologia recente. L'RPS che ha costituito il picco e l'RPS della cronologia recente sono forniti nell'ambito del risultato.
Caso d'uso: potenziali attacchi L7
Gli attacchi Distributed Denial of Service (DDoS) si verificano quando gli autori degli attacchi inviano grandi volumi di richieste per sovraccaricare un servizio di destinazione. Il traffico di attacchi DDoS di livello 7 in genere presenta un picco nel numero di richieste al secondo.
Un risultato Picco di traffico consentito identifica il servizio di backend a cui è diretto il picco di RPS e fornisce le caratteristiche del traffico che hanno indotto Cloud Armor a classificarlo come picco di RPS. Utilizza queste informazioni per determinare quanto segue:
- Se è in corso un potenziale attacco DDoS di livello 7.
- Il servizio di destinazione.
- Le azioni che puoi intraprendere per mitigare il potenziale attacco.
Di seguito è riportato uno screenshot di un esempio di risultato Picco di traffico consentito nella dashboard di Security Command Center.
Google Cloud calcola i valori Long_Term_Allowed_RPS e Short_Term_Allowed_RPS in base alle informazioni storiche di Cloud Armor.
Aumento del rapporto di rifiuto
Il risultato Aumento del rapporto di negazione ti avvisa che si è verificato un aumento del rapporto di traffico bloccato da Cloud Armor a causa di una regola configurata dall'utente in un criterio di sicurezza. Sebbene il rifiuto sia previsto e non influisca sul servizio di backend, questo risultato ti avvisa di un aumento del traffico indesiderato e potenzialmente dannoso che ha come target le tue applicazioni. Le richieste al secondo (RPS) del traffico rifiutato e il traffico in entrata totale sono forniti come parte del risultato.
Caso d'uso: mitigazione degli attacchi L7
Un risultato Aumento del rapporto di rifiuto ti consente di visualizzare sia l'impatto delle mitigazioni riuscite sia le variazioni significative nel comportamento dei client dannosi. Il risultato identifica il backend a cui è stato indirizzato il traffico rifiutato e fornisce le caratteristiche del traffico che hanno indotto Cloud Armor a generare il risultato. Utilizza queste informazioni per valutare se il traffico rifiutato deve essere studiato in dettaglio per rafforzare ulteriormente le tue mitigazioni.
Di seguito è riportato uno screenshot di un esempio di risultato Aumento del rapporto di negazione nella dashboard di Security Command Center.
Google Cloud calcola i valori Long_Term_Denied_RPS e Long_Term_Incoming_RPS in base alle informazioni storiche di Cloud Armor.
Google Cloud Armor Adaptive Protection
Adaptive Protection invia dati di telemetria a Security Command Center. Per ulteriori informazioni sui risultati di Adaptive Protection, consulta Monitoraggio, avvisi e logging nella panoramica di Adaptive Protection.
Protezione DDoS di rete avanzata
La protezione DDoS di rete avanzata invia la telemetria a Security Command Center. Per ulteriori informazioni sui risultati della protezione DDoS di rete avanzata, consulta Risultati di Security Command Center.
Dopo che il traffico è tornato alla normalità
I risultati di Security Command Center sono notifiche che indicano che è stato osservato un determinato comportamento in un momento specifico. Non viene inviata alcuna notifica quando il comportamento viene cancellato.
Potrebbero essere presenti aggiornamenti ai risultati esistenti se le caratteristiche del traffico attuale aumentano in modo sostanziale rispetto a quelle esistenti. Se non viene rilevato alcun problema di follow-up, il comportamento è stato risolto o il volume di traffico non è aumentato (consenti o nega) in modo sostanziale dopo la generazione del problema iniziale.