Google Cloud Armor Enterprise vous permet d'utiliser Cloud Logging et Cloud Monitoring pour analyser les attaques DDoS et leurs sources.
Google Cloud Armor détecte et atténue automatiquement les attaques de couche réseau (couche 3) et de couche transport (couche 4). L'atténuation est effectuée avant l'application des stratégies de sécurité. Seules les requêtes bien formées sont évaluées par rapport aux règles de vos stratégies de sécurité. Par conséquent, le trafic abandonné en raison de la protection DDoS permanente n'apparaît pas dans la télémétrie des règles de sécurité ni des backends.
En revanche, les métriques Cloud Logging et Cloud Monitoring pour les événements d'atténuation des attaques DDoS font partie de la visibilité sur les attaques DDoS, une fonctionnalité disponible exclusivement pour les abonnés Google Cloud Armor Enterprise. Les sections suivantes expliquent comment utiliser Logging et Monitoring pour analyser les attaques DDoS et leurs sources. La visibilité des attaques DDoS est disponible pour les types d'équilibreurs de charge suivants :
- Équilibreur de charge d'application externe global
- Équilibreur de charge d'application classique
Si vous utilisez le référencement de services entre projets, vous ne pouvez afficher la télémétrie et la journalisation associées à la visibilité des attaques DDoS que dans le projet hôte ou de service qui inclut l'interface et le mappage d'URL de votre équilibreur de charge. Vous ne pouvez pas afficher la télémétrie ni la journalisation dans le projet de service qui inclut les services de backend.
Pour assurer une journalisation et des rapports appropriés, Cloud Armor nécessite d'accéder aux journaux suivants. Ils doivent être stockés dans Cloud Logging ou acheminés vers un bucket de journaux auquel Cloud Armor peut accéder.
networksecurity.googleapis.com/dos_attacknetworksecurity.googleapis.com/network_dos_attacknetworksecurity.googleapis.com/network_dos_attack_mitigations
Journaux Cloud Logging des événements de protection contre les attaques
Cloud Armor génère trois types d'entrées de journal d'événements lors de l'atténuation des attaques DDoS. Les formats de journaux incluent des analyses des adresses IP et des zones géographiques sources, lorsque cela est possible. Les sections suivantes fournissent des exemples de format de journal pour chaque type de journal d'événements :
Atténuation démarrée
{
"id": "20220101_1235_mitigiation_1.2.3.4",
"mitigationType": "MITIGATION_STARTED",
"targetVip": "1.2.3.4",
"totalVolume": {
"pps": "1234000",
"bps": "9876000000"
},
"started": {
"totalAttackVolume": {
"pps": "1000000",
"bps": "9000000000"
},
"topSourceIp": [
{
"ipAddress": "1.2.3.4",
"volume": {
"pps": "10000",
"bps": "2000000"
}
},
{
"ipAddress": "2.3.4.5",
"volume": {
"pps": "5000",
"bps": "1000000"
}
}
],
"topSourceGeo": [
{
"geo": "US",
"volume": {
"pps": "100000",
"bps": "20000000"
}
}
]
}
}
Atténuation en cours
{
"id": "20220101_1235_mitigiation_1.2.3.4",
"mitigationType": "MITIGATION_ONGOING",
"targetVip": "1.2.3.4",
"totalVolume": {
"pps": "1234000",
"bps": "9876000000"
},
"ongoing": {
"totalAttackVolume": {
"pps": "1000000",
"bps": "9000000000"
},
"topSourceIp": [
{
"ipAddress": "1.2.3.4",
"volume": {
"pps": "10000",
"bps": "2000000"
}
},
{
"ipAddress": "2.3.4.5",
"volume": {
"pps": "5000",
"bps": "1000000"
}
}
],
"topSourceGeo": [
{
"geo": "US",
"volume": {
"pps": "100000",
"bps": "20000000"
}
}
]
}
}
Mitigation ended (atténuation terminée)
{
"id": "20220101_1235_mitigiation_1.2.3.4",
"mitigationType": "MITIGATION_ENDED",
"targetVip": "1.2.3.4",
"totalVolume": {
"pps": "2314000",
"bps": "9768000000"
},
"ended": {
"attackDurationSeconds": 345
}
}
Dans la console Google Cloud , accédez à la page "Explorateur de journaux" et affichez la ressource ProtectedEndpoint.
Accéder à l'explorateur de journaux
Vous pouvez également afficher le nom du journal network_dos_attack_mitigations.
Métriques Cloud Monitoring
Les métriques de télémétrie de mitigation des attaques DDoS sont visibles sous la ressource Point de terminaison réseau protégé (ProtectedEndpoint), qui est réservée aux adresses IP virtuelles de la couche application (couche 7) enregistrées dans Google Cloud Armor Enterprise. Voici les métriques disponibles :
- Octets d'Ingress (
/dos/ingress_bytes) - Paquets d'Ingress (
/dos/ingress_packets)
Vous pouvez regrouper et filtrer les métriques précédentes en fonction des libellés suivants :
| Libellé | Valeur |
|---|---|
project_id |
ID de votre projet enregistré dans Cloud Armor Enterprise. |
location |
Emplacement de votre point de terminaison protégé. |
vip |
Adresse IP virtuelle du point de terminaison protégé. |
drop_status |
Valeurs possibles :
|
Dans la console Google Cloud , accédez à la page "Explorateur de métriques".
Accéder à l'explorateur de métriques
Interpréter les métriques de télémétrie pour les adresses IP virtuelles avec de faibles volumes de trafic
Pour les adresses IP virtuelles (VIP) qui reçoivent moins de 100 000 paquets par seconde, nous vous recommandons d'utiliser une période plus longue pour afficher les métriques dans Cloud Monitoring. Par exemple, alors qu'un VIP générant un trafic plus élevé peut utiliser un ALIGN_RATE d'une minute, nous recommandons plutôt un ALIGN_RATE de 10 minutes.
L'utilisation d'une fenêtre temporelle plus longue permet de réduire le volume d'artefacts résultant d'un mauvais rapport signal/bruit.
De plus, certains composants du taux auquel Cloud Armor abandonne le trafic (le taux d'abandon) sont déduits par des moyens statistiques et peuvent être moins précis pour les VIP à faible trafic. Cela signifie que pendant une attaque DDoS, le taux de perte signalé par Cloud Monitoring peut être légèrement inférieur au taux de perte réel. Cela réduit les artefacts statistiques qui peuvent entraîner une surestimation du volume de trafic abandonné, en particulier pour les VIP qui reçoivent un faible volume de trafic et ne sont pas attaqués.