Google Cloud Armor Enterprise vous permet d'utiliser Cloud Logging et Cloud Monitoring pour analyser les attaques DDoS et leurs sources.
Google Cloud Armor détecte et atténue automatiquement les attaques de couche réseau (couche 3) et de couche transport (couche 4). Il effectue l'atténuation avant d'appliquer les stratégies de sécurité et n'évalue que les requêtes correctement formulées par rapport à vos règles de stratégie de sécurité. Par conséquent, la baisse du trafic due à la protection DDoS permanente n'apparaît pas dans la télémétrie pour les règles de sécurité ni les backends.
Au lieu de cela, les métriques Cloud Logging et Cloud Monitoring pour les événements d'atténuation des attaques DDoS font partie de la visibilité des attaques DDoS, une fonctionnalité disponible exclusivement pour les abonnés à Google Cloud Armor Enterprise. Les sections suivantes expliquent comment utiliser Logging et Monitoring pour analyser les attaques DDoS et leurs sources. La visibilité des attaques DDoS est disponible pour les types d'équilibreurs de charge suivants:
- Équilibreur de charge d'application externe mondial
- Équilibreur de charge d'application classique
Si vous utilisez le référencement de services interprojets, vous ne pouvez afficher que la télémétrie et la journalisation associées à la visibilité des attaques DDoS dans le projet hôte ou de service qui inclut l'interface et le mappage d'URL de votre équilibreur de charge. Vous ne pouvez pas afficher la télémétrie et la journalisation dans le projet de service qui inclut les services backend.
Journaux Cloud Logging des événements de protection contre les attaques
Google Cloud Armor génère trois types d'entrées de journal d'événements lors de l'atténuation des attaques DDoS. Les formats de journal incluent des analyses des adresses IP et des géographies sources, lorsque cela est possible. Les sections suivantes fournissent des exemples de format de journal pour chaque type de journal d'événements:
Atténuation démarrée
{
"id": "20220101_1235_mitigiation_1.2.3.4",
"mitigationType": "MITIGATION_STARTED",
"targetVip": "1.2.3.4",
"totalVolume": {
"pps": "1234000",
"bps": "9876000000"
},
"started": {
"totalAttackVolume": {
"pps": "1000000",
"bps": "9000000000"
},
"topSourceIp": [
{
"ipAddress": "1.2.3.4",
"volume": {
"pps": "10000",
"bps": "2000000"
}
},
{
"ipAddress": "2.3.4.5",
"volume": {
"pps": "5000",
"bps": "1000000"
}
}
],
"topSourceGeo": [
{
"geo": "US",
"volume": {
"pps": "100000",
"bps": "20000000"
}
}
]
}
}
Atténuation en cours
{
"id": "20220101_1235_mitigiation_1.2.3.4",
"mitigationType": "MITIGATION_ONGOING",
"targetVip": "1.2.3.4",
"totalVolume": {
"pps": "1234000",
"bps": "9876000000"
},
"ongoing": {
"totalAttackVolume": {
"pps": "1000000",
"bps": "9000000000"
},
"topSourceIp": [
{
"ipAddress": "1.2.3.4",
"volume": {
"pps": "10000",
"bps": "2000000"
}
},
{
"ipAddress": "2.3.4.5",
"volume": {
"pps": "5000",
"bps": "1000000"
}
}
],
"topSourceGeo": [
{
"geo": "US",
"volume": {
"pps": "100000",
"bps": "20000000"
}
}
]
}
}
Mitigation ended (atténuation terminée)
{
"id": "20220101_1235_mitigiation_1.2.3.4",
"mitigationType": "MITIGATION_ENDED",
"targetVip": "1.2.3.4",
"totalVolume": {
"pps": "2314000",
"bps": "9768000000"
},
"ended": {
"attackDurationSeconds": 345
}
}
Dans la console Google Cloud, accédez à la page Explorateur de journaux et affichez la ressource ProtectedEndpoint.
Accéder à l'explorateur de journaux
Vous pouvez également afficher le nom du journal network_dos_attack_mitigations.
Métriques Cloud Monitoring
Les métriques de télémétrie de mitigation des attaques DDoS sont visibles sous la ressource Point de terminaison réseau protégé (ProtectedEndpoint), qui est réservée aux adresses IP virtuelles de couche application (couche 7) enregistrées dans Google Cloud Armor Enterprise. Les métriques disponibles sont les suivantes:
- Octets d'Ingress (
/dos/ingress_bytes) - Paquets d'Ingress (
/dos/ingress_packets)
Vous pouvez regrouper et filtrer les métriques précédentes en fonction des libellés suivants:
| Libellé | Valeur |
|---|---|
project_id |
ID de votre projet enregistré dans Cloud Armor Enterprise. |
location |
Emplacement de votre point de terminaison protégé. |
vip |
Adresse IP virtuelle du point de terminaison protégé. |
drop_status |
Valeurs possibles :
|
Dans la console Google Cloud, accédez à la page "Explorateur de métriques".
Accéder à l'explorateur de métriques
Interpréter les métriques de télémétrie pour les adresses IP virtuelles avec de faibles volumes de trafic
Pour les adresses IP virtuelles (VIP) qui reçoivent moins de 100 000 paquets par seconde, nous vous recommandons d'utiliser une période plus longue pour afficher les métriques dans Cloud Monitoring. Par exemple, si un VIP avec un trafic plus élevé peut utiliser une ALIGN_RATE d'une minute, nous vous recommandons plutôt une ALIGN_RATE de 10 minutes.
L'utilisation d'une période plus longue permet de réduire le volume d'artefacts résultant d'un mauvais rapport signal/bruit.
De plus, certains composants du taux auquel Google Cloud Armor interrompt le trafic (taux de perte) sont inférés par des moyens statistiques et peuvent être moins précis pour les VIP à faible trafic. Cela signifie que lors d'une attaque DDoS, le taux de baisse indiqué par Cloud Monitoring peut être légèrement inférieur au taux de baisse réel. Cela réduit les artefacts statistiques qui peuvent entraîner une surestimation du volume de trafic abandonné, en particulier pour les VIP qui reçoivent un faible volume de trafic et ne sont pas attaqués.