Security Command Center 是 Google Cloud的安全性和風險資料庫。Security Command Center 包含風險資訊主頁和分析系統,可顯示、瞭解及修復機構中的Google Cloud 安全性和資料風險。
Google Cloud Armor 會自動與 Security Command Center 整合,並將兩項發現項目匯出至 Security Command Center 資訊主頁:允許的流量激增和拒絕比率增加。本指南將說明研究結果,以及如何解讀這些結果。
如果您尚未在 Security Command Center 中啟用 Google Cloud Armor,請參閱「設定 Security Command Center」。只有在機構層級啟用 Security Command Center 的專案,才能在 Security Command Center 中查看發現項目。
允許的流量尖峰偵測
允許的流量包含格式正確的 HTTP(S) 要求,這些要求會在 Google Cloud Armor 安全性政策套用後,傳送至您的後端服務。
「允許的流量激增」檢測結果會針對每個後端服務通知您允許的流量激增情形。如果每秒允許的請求數 (RPS) 突然增加,相較於最近記錄中觀察到的正常量,系統就會產生這項檢測結果。這項檢測結果會提供構成尖峰的 RPS,以及近期記錄的 RPS。
用途:潛在的 L7 攻擊
當攻擊者傳送大量要求,導致目標服務超載時,就會發生分散式阻斷服務 (DDoS) 攻擊。第 7 層 DDoS 攻擊流量通常會導致每秒要求數出現尖峰。
「允許的流量尖峰」檢測結果會指出 RPS 尖峰的後端服務,並提供導致 Google Cloud Armor 將其歸類為 RPS 尖峰的流量特徵。您可以利用這項資訊判斷下列事項:
- 是否正在進行潛在的第 7 層 DDoS 攻擊。
- 指定的服務。
- 您可以採取哪些行動來減輕潛在攻擊的影響。
以下是 Security Command Center 資訊主頁上「允許的流量激增」發現項目範例的螢幕截圖。
Google Cloud 會根據 Google Cloud Armor 的歷來資料,計算 Long_Term_Allowed_RPS 和 Short_Term_Allowed_RPS 的值。
拒登比率上升
「拒絕率上升」檢測結果會通知您,由於使用者在安全性政策中設定的規則,Google Cloud Armor 封鎖的流量比率有所增加。雖然拒絕是預期的結果,且不會影響後端服務,但這項檢測結果有助於提醒您,應用程式遭到鎖定的不當流量和潛在惡意流量有增加的趨勢。拒絕流量的 RPS 和總流量會列入這項檢測結果。
用途:緩解 L7 攻擊
透過「拒絕率增加」檢測結果,您可以瞭解成功緩解措施的影響,以及惡意用戶端行為的重大變化。這項發現會指出遭拒絕的流量會導向哪個後端,並提供導致 Google Cloud Armor 提出這項發現的流量特性。您可以根據這項資訊評估是否需要進一步深入研究遭拒絕的流量,以便進一步強化因應措施。
以下是 Security Command Center 資訊主頁上「Increasing deny ratio」發現項目的螢幕截圖。
Google Cloud 會根據 Google Cloud Armor 的歷來資料,計算 Long_Term_Denied_RPS 和 Long_Term_Incoming_RPS 的值。
Google Cloud Armor Adaptive Protection
Adaptive Protection 會將遙測資料傳送至 Security Command Center。如要進一步瞭解自動調整式防護機制的發現項目,請參閱自動調整式防護機制總覽中的「監控、警示和記錄」。
進階的網路分散式阻斷服務防護功能
進階網路 DDoS 防護功能會將遙測資料傳送至 Security Command Center。如要進一步瞭解進階網路分散式阻斷服務防護功能的發現項目,請參閱 Security Command Center 發現項目。
流量恢復正常後
Security Command Center 發現項目是通知,指出系統在某個時間點觀察到特定行為。行為清除後,系統不會傳送通知。
如果目前的流量特徵與現有特徵相比大幅增加,現有發現可能會更新。如果沒有後續發現事項,表示行為已清除,或是在產生初始發現事項後,流量量並未大幅增加 (允許或拒絕)。