O Google Cloud Armor Enterprise permite-lhe usar o Cloud Logging e o Cloud Monitoring para analisar ataques DDoS e as respetivas origens.
O Google Cloud Armor deteta e mitiga automaticamente ataques na camada de rede (camada 3) e na camada de transporte (camada 4), realizando a mitigação antes de aplicar políticas de segurança e avaliar apenas pedidos bem formados em função das regras da sua política de segurança. Por conseguinte, o tráfego rejeitado como resultado da proteção contra DDoS sempre ativada não aparece na telemetria para políticas de segurança ou back-ends.
Em alternativa, as métricas do Cloud Logging e do Cloud Monitoring para eventos de mitigação de DDoS fazem parte da visibilidade de ataques DDoS, uma funcionalidade disponível exclusivamente para subscritores do Google Cloud Armor Enterprise. As secções seguintes explicam como usar o registo e a monitorização para analisar ataques DDoS e as respetivas origens. A visibilidade dos ataques DDoS está disponível para os seguintes tipos de equilibradores de carga:
- Balanceador de carga de aplicações externo global
- Balanceador de carga de aplicações clássico
Se usar a referência de serviços entre projetos, só pode ver a telemetria e o registo associados à visibilidade do ataque DDoS no projeto anfitrião ou de serviço que inclui o front-end e o mapa de URLs do seu balanceador de carga. Não pode ver a telemetria nem o registo no projeto de serviço que inclui os serviços de back-end.
Para garantir o registo e os relatórios adequados, o Cloud Armor requer o acesso aos seguintes registos. Estes têm de ser armazenados nos Registos na nuvem ou encaminhados para um contentor de registos ao qual o Cloud Armor possa aceder.
networksecurity.googleapis.com/dos_attacknetworksecurity.googleapis.com/network_dos_attacknetworksecurity.googleapis.com/network_dos_attack_mitigations
Registos de eventos de mitigação de ataques do Cloud Logging
O Cloud Armor gera três tipos de entradas de registo de eventos quando mitiga ataques DDoS. Os formatos de registo incluem análises de endereços IP de origem e geografias, quando possível. As secções seguintes fornecem exemplos do formato de registo para cada tipo de registo de eventos:
Mitigação iniciada
{
"id": "20220101_1235_mitigiation_1.2.3.4",
"mitigationType": "MITIGATION_STARTED",
"targetVip": "1.2.3.4",
"totalVolume": {
"pps": "1234000",
"bps": "9876000000"
},
"started": {
"totalAttackVolume": {
"pps": "1000000",
"bps": "9000000000"
},
"topSourceIp": [
{
"ipAddress": "1.2.3.4",
"volume": {
"pps": "10000",
"bps": "2000000"
}
},
{
"ipAddress": "2.3.4.5",
"volume": {
"pps": "5000",
"bps": "1000000"
}
}
],
"topSourceGeo": [
{
"geo": "US",
"volume": {
"pps": "100000",
"bps": "20000000"
}
}
]
}
}
Mitigação em curso
{
"id": "20220101_1235_mitigiation_1.2.3.4",
"mitigationType": "MITIGATION_ONGOING",
"targetVip": "1.2.3.4",
"totalVolume": {
"pps": "1234000",
"bps": "9876000000"
},
"ongoing": {
"totalAttackVolume": {
"pps": "1000000",
"bps": "9000000000"
},
"topSourceIp": [
{
"ipAddress": "1.2.3.4",
"volume": {
"pps": "10000",
"bps": "2000000"
}
},
{
"ipAddress": "2.3.4.5",
"volume": {
"pps": "5000",
"bps": "1000000"
}
}
],
"topSourceGeo": [
{
"geo": "US",
"volume": {
"pps": "100000",
"bps": "20000000"
}
}
]
}
}
Mitigação terminada
{
"id": "20220101_1235_mitigiation_1.2.3.4",
"mitigationType": "MITIGATION_ENDED",
"targetVip": "1.2.3.4",
"totalVolume": {
"pps": "2314000",
"bps": "9768000000"
},
"ended": {
"attackDurationSeconds": 345
}
}
Na Google Cloud consola, aceda à página Explorador de registos e veja o recurso
ProtectedEndpoint.
Aceda ao Explorador de registos
Em alternativa, pode ver o network_dos_attack_mitigations nome do registo.
Métricas do Cloud Monitoring
As métricas de telemetria de mitigação de DDoS são visíveis no recurso
Ponto final de rede protegido (ProtectedEndpoint), que é exclusivo dos
endereços IP virtuais da camada de aplicação (camada 7) inscritos no
Google Cloud Armor Enterprise. As métricas disponíveis são as seguintes:
- Bytes de entrada (
/dos/ingress_bytes) - Pacotes de entrada (
/dos/ingress_packets)
Pode agrupar e filtrar as métricas anteriores com base nas seguintes etiquetas:
| Etiqueta | Valor |
|---|---|
project_id |
O ID do seu projeto inscrito no Cloud Armor Enterprise. |
location |
A localização do seu ponto final protegido. |
vip |
O endereço IP virtual do ponto final protegido. |
drop_status |
Valores possíveis:
|
Na Google Cloud consola, aceda à página Explorador de métricas.
Interpretar métricas de telemetria para endereços IP virtuais com volumes de tráfego baixos
Para endereços IP virtuais (VIPs) que recebem menos de 100 000 pacotes por segundo, recomendamos que use um período mais longo para ver as métricas no Cloud Monitoring. Por exemplo, quando um visitante VIP com maior tráfego pode usar um ALIGN_RATE de um minuto, recomendamos um ALIGN_RATE de 10 minutos.
A utilização de um período mais longo ajuda a reduzir o volume de artefactos resultantes de uma relação sinal/ruído fraca.
Além disso, alguns componentes da taxa à qual o Cloud Armor rejeita o tráfego (a taxa de rejeição) são inferidos por meios estatísticos e podem ser menos precisos para VIPs com pouco tráfego. Isto significa que, durante um ataque DDoS, a taxa de rejeição comunicada pelo Cloud Monitoring pode ser ligeiramente inferior à taxa de rejeição verdadeira. Isto reduz os artefactos estatísticos que podem levar a uma sobrestimação do volume de tráfego rejeitado, especialmente para IPs VIPs que recebem um volume de tráfego baixo e não estão sob ataque.