Google Cloud Armor Enterprise te permite usar Cloud Logging y Cloud Monitoring para para analizar los ataques DSD y sus fuentes.
Google Cloud Armor detecta y mitiga automáticamente la capa de red (capa 3) de transporte público y de transporte (capa 4), realizando la mitigación antes aplicar políticas de seguridad y evaluar solo las solicitudes con formato correcto para las reglas de tu política de seguridad. Por lo tanto, el tráfico disminuyó como resultado de la función siempre activa La protección contra DSD no aparece en la telemetría de las políticas de seguridad ni los backends.
En cambio, las métricas de Cloud Logging y Cloud Monitoring para DSD de los eventos de mitigación son parte de la visibilidad de los ataques DSD, una función exclusivamente para Suscriptores de Google Cloud Armor Enterprise. En las siguientes secciones, se explica cómo usar Logging Monitoring para analizar los ataques DSD y sus fuentes. ataque DSD La visibilidad está disponible para los siguientes tipos de balanceador de cargas:
- Balanceador de cargas de aplicaciones externo global
- Balanceador de cargas de aplicaciones clásico
Si usas referencia de servicios entre proyectos solo puedes ver la telemetría y los registros asociados con el ataque DSD en el proyecto host o de servicio que incluye la balanceador de cargas de frontend y mapa de URL. No puedes ver la telemetría ni el registro en la proyecto de servicio que incluye los servicios de backend.
Registros de eventos de mitigación de ataques de Cloud Logging
Google Cloud Armor genera tres tipos de entradas de registro de eventos cuando se mitiga ataques DSD. Los formatos de registro incluyen análisis de las direcciones IP de origen y y ubicaciones geográficas cuando sea posible. En las siguientes secciones, se proporcionan ejemplos del registro para cada tipo de registro de eventos:
Se inició la mitigación
{
"id": "20220101_1235_mitigiation_1.2.3.4",
"mitigationType": "MITIGATION_STARTED",
"targetVip": "1.2.3.4",
"totalVolume": {
"pps": "1234000",
"bps": "9876000000"
},
"started": {
"totalAttackVolume": {
"pps": "1000000",
"bps": "9000000000"
},
"topSourceIp": [
{
"ipAddress": "1.2.3.4",
"volume": {
"pps": "10000",
"bps": "2000000"
}
},
{
"ipAddress": "2.3.4.5",
"volume": {
"pps": "5000",
"bps": "1000000"
}
}
],
"topSourceGeo": [
{
"geo": "US",
"volume": {
"pps": "100000",
"bps": "20000000"
}
}
]
}
}
Mitigación en curso
{
"id": "20220101_1235_mitigiation_1.2.3.4",
"mitigationType": "MITIGATION_ONGOING",
"targetVip": "1.2.3.4",
"totalVolume": {
"pps": "1234000",
"bps": "9876000000"
},
"ongoing": {
"totalAttackVolume": {
"pps": "1000000",
"bps": "9000000000"
},
"topSourceIp": [
{
"ipAddress": "1.2.3.4",
"volume": {
"pps": "10000",
"bps": "2000000"
}
},
{
"ipAddress": "2.3.4.5",
"volume": {
"pps": "5000",
"bps": "1000000"
}
}
],
"topSourceGeo": [
{
"geo": "US",
"volume": {
"pps": "100000",
"bps": "20000000"
}
}
]
}
}
Finalizó la mitigación
{
"id": "20220101_1235_mitigiation_1.2.3.4",
"mitigationType": "MITIGATION_ENDED",
"targetVip": "1.2.3.4",
"totalVolume": {
"pps": "2314000",
"bps": "9768000000"
},
"ended": {
"attackDurationSeconds": 345
}
}
En la consola de Google Cloud, ve a la página Explorador de registros y consulta el
ProtectedEndpoint recurso.
Como alternativa, puedes ver el nombre de registro network_dos_attack_mitigations.
Métricas de Cloud Monitoring
Las métricas de telemetría de mitigación de DSD se pueden ver en el recurso
Protected Network Endpoint (ProtectedEndpoint), que es exclusivo para
direcciones IP virtuales de la capa de aplicación (capa 7) inscritas
Google Cloud Armor Enterprise Las métricas disponibles son las siguientes:
- Bytes de entrada (
/dos/ingress_bytes) - Paquetes de entrada (
/dos/ingress_packets)
Puedes agrupar y filtrar las métricas anteriores según las siguientes etiquetas:
| Etiqueta | Valor |
|---|---|
project_id |
El ID de tu proyecto que está inscrito en Cloud Armor Enterprise. |
location |
La ubicación del extremo protegido. |
vip |
La dirección IP virtual del extremo protegido. |
drop_status |
Valores posibles:
|
En la consola de Google Cloud, ve a la página Explorador de métricas.
Interpreta las métricas de telemetría de direcciones IP virtuales con volúmenes de tráfico bajos
En el caso de las direcciones IP virtuales (VIP) que reciben menos de 100,000 paquetes por segundo, te recomendamos que uses un período más largo para ver las métricas en Cloud Monitoring. Por ejemplo, donde una VIP de mayor tráfico podría usar una
ALIGN_RATE de un minuto. En cambio, recomendamos una ALIGN_RATE de 10 minutos.
Usar una ventana de tiempo más larga ayuda a reducir el volumen de artefactos que resultan de
una mala relación señal-ruido.
Además, algunos componentes de la velocidad de caída de Google Cloud Armor el tráfico (la tasa de disminución) se infiere por medios estadísticos, y es posible que sea menor precisa para las VIP con poco tráfico. Esto significa que, durante un ataque DSD, tasa de que los informes de Cloud Monitoring sean ligeramente más bajos que los valores reales porcentaje de caídas. Esto reduce los artefactos estadísticos que pueden conducir a una sobreestimación. del volumen de tráfico descartado, en especial para las VIP que reciben un volumen bajo de tráfico y no están bajo ataque.