Google Cloud Armor Enterprise te permite usar Cloud Logging y Cloud Monitoring para analizar los ataques DDoS y sus fuentes.
Google Cloud Armor detecta y mitiga automáticamente los ataques de capa de red (capa 3) y de capa de transporte (capa 4), y lleva a cabo la mitigación antes de aplicar las políticas de seguridad y evaluar solo las solicitudes correctas en función de las reglas de la política de seguridad. Por lo tanto, el tráfico que se ha reducido como resultado de la protección contra DDoS siempre activa no aparece en la telemetría de las políticas de seguridad ni de los back-ends.
En su lugar, las métricas de Cloud Logging y Cloud Monitoring de los eventos de mitigación de DDoS forman parte de la visibilidad de los ataques DDoS, una función disponible exclusivamente para los suscriptores de Google Cloud Armor Enterprise. En las siguientes secciones se explica cómo usar Logging y Monitoring para analizar los ataques DDoS y sus fuentes. La visibilidad de los ataques DDoS está disponible para los siguientes tipos de balanceadores de carga:
- Balanceador de carga de aplicación externo global
- Balanceador de carga de aplicación clásico
Si usas la referencia de servicio entre proyectos, solo puedes ver la telemetría y el registro asociados a la visibilidad de los ataques DDoS en el proyecto de host o de servicio que incluya el frontend y el mapa de URLs de tu balanceador de carga. No puedes ver la telemetría ni los registros del proyecto de servicio que incluye los servicios de backend.
Para que los registros y los informes sean correctos, Cloud Armor necesita acceder a los siguientes registros. Deben almacenarse en Cloud Logging o enrutarse a un segmento de registro al que pueda acceder Cloud Armor.
networksecurity.googleapis.com/dos_attacknetworksecurity.googleapis.com/network_dos_attacknetworksecurity.googleapis.com/network_dos_attack_mitigations
Registros de eventos de mitigación de ataques de Cloud Logging
Cloud Armor genera tres tipos de entradas de registro de eventos cuando mitiga ataques DDoS. Los formatos de registro incluyen análisis de las direcciones IP de origen y de las ubicaciones geográficas, cuando es posible. En las siguientes secciones se proporcionan ejemplos del formato de registro de cada tipo de registro de eventos:
Mitigación iniciada
{
"id": "20220101_1235_mitigiation_1.2.3.4",
"mitigationType": "MITIGATION_STARTED",
"targetVip": "1.2.3.4",
"totalVolume": {
"pps": "1234000",
"bps": "9876000000"
},
"started": {
"totalAttackVolume": {
"pps": "1000000",
"bps": "9000000000"
},
"topSourceIp": [
{
"ipAddress": "1.2.3.4",
"volume": {
"pps": "10000",
"bps": "2000000"
}
},
{
"ipAddress": "2.3.4.5",
"volume": {
"pps": "5000",
"bps": "1000000"
}
}
],
"topSourceGeo": [
{
"geo": "US",
"volume": {
"pps": "100000",
"bps": "20000000"
}
}
]
}
}
Mitigación en curso
{
"id": "20220101_1235_mitigiation_1.2.3.4",
"mitigationType": "MITIGATION_ONGOING",
"targetVip": "1.2.3.4",
"totalVolume": {
"pps": "1234000",
"bps": "9876000000"
},
"ongoing": {
"totalAttackVolume": {
"pps": "1000000",
"bps": "9000000000"
},
"topSourceIp": [
{
"ipAddress": "1.2.3.4",
"volume": {
"pps": "10000",
"bps": "2000000"
}
},
{
"ipAddress": "2.3.4.5",
"volume": {
"pps": "5000",
"bps": "1000000"
}
}
],
"topSourceGeo": [
{
"geo": "US",
"volume": {
"pps": "100000",
"bps": "20000000"
}
}
]
}
}
Mitigación finalizada
{
"id": "20220101_1235_mitigiation_1.2.3.4",
"mitigationType": "MITIGATION_ENDED",
"targetVip": "1.2.3.4",
"totalVolume": {
"pps": "2314000",
"bps": "9768000000"
},
"ended": {
"attackDurationSeconds": 345
}
}
En la Google Cloud consola, ve a la página Explorador de registros y consulta el recurso ProtectedEndpoint.
También puedes ver el nombre del registro network_dos_attack_mitigations.
Métricas de Cloud Monitoring
Las métricas de telemetría de mitigación de DDoS se pueden ver en el recurso Endpoint de red protegido (ProtectedEndpoint), que es exclusivo de las direcciones IP virtuales de capa de aplicación (capa 7) registradas en Google Cloud Armor Enterprise. Las métricas disponibles son las siguientes:
- Bytes de entrada (
/dos/ingress_bytes) - Paquetes de entrada (
/dos/ingress_packets)
Puedes agrupar y filtrar las métricas anteriores en función de las siguientes etiquetas:
| Etiqueta | Valor |
|---|---|
project_id |
El ID de tu proyecto registrado en Cloud Armor Enterprise. |
location |
La ubicación de tu endpoint protegido. |
vip |
Dirección IP virtual del endpoint protegido. |
drop_status |
Posibles valores:
|
En la Google Cloud consola, ve a la página Explorador de métricas.
Interpretar las métricas de telemetría de las direcciones IP virtuales con volúmenes de tráfico bajos
En el caso de las direcciones IP virtuales (VIPs) que reciben menos de 100.000 paquetes por segundo, le recomendamos que utilice un periodo más largo para ver las métricas en Cloud Monitoring. Por ejemplo, si un VIP con más tráfico puede usar un ALIGN_RATE de un minuto, nosotros recomendamos un ALIGN_RATE de 10 minutos.
Usar una ventana temporal más larga ayuda a reducir el volumen de artefactos que se producen debido a una relación señal/ruido deficiente.
Además, algunos componentes de la tasa a la que Cloud Armor rechaza el tráfico (la tasa de rechazo) se infieren por medios estadísticos y pueden ser menos precisos en el caso de los VIPs con poco tráfico. Esto significa que, durante un ataque DDoS, la tasa de abandono que informa Cloud Monitoring puede ser ligeramente inferior a la tasa de abandono real. De esta forma, se reducen los artefactos estadísticos que pueden provocar una sobreestimación del volumen de tráfico descartado, especialmente en el caso de los VIPs que reciben un volumen de tráfico bajo y no están sufriendo ataques.