Com o Google Cloud Armor Enterprise, é possível usar o Cloud Logging e o Cloud Monitoring para analisar ataques DDoS e suas origens.
O Google Cloud Armor detecta e mitiga automaticamente ataques à camada de rede (Camada 3) e à camada de transporte (Camada 4), realizando a mitigação antes de aplicar políticas de segurança e avaliando apenas solicitações bem formadas em relação às regras da política de segurança. Portanto, o tráfego descartado como resultado da proteção contra DDoS sempre ativada não aparece na telemetria para políticas de segurança ou back-ends.
Em vez disso, as métricas do Cloud Logging e do Cloud Monitoring para eventos de mitigação de DDoS fazem parte da visibilidade de ataques DDoS, um recurso disponível exclusivamente para assinantes do Google Cloud Armor Managed Protection Plus. Nas seções a seguir, explicamos como usar o Logging e o Monitoring para analisar ataques DDoS e suas origens. A visibilidade de ataques DDoS está disponível para os seguintes tipos de balanceadores de carga:
- Balanceador de carga de aplicativo externo global
- Balanceador de carga de aplicativo clássico
Se você usar a referência de serviço entre projetos, só poderá visualizar a telemetria e os registros associados à visibilidade do ataque DDoS no projeto host ou de serviço que inclui o front-end e o mapa de URL do balanceador de carga. Não é possível visualizar a telemetria e os registros no projeto de serviço que inclui os serviços de back-end.
Para garantir o registro e a geração de relatórios adequados, o Cloud Armor exige acesso aos seguintes registros. Eles precisam ser armazenados no Cloud Logging ou roteados para um bucket de registros que o Cloud Armor possa acessar.
networksecurity.googleapis.com/dos_attacknetworksecurity.googleapis.com/network_dos_attacknetworksecurity.googleapis.com/network_dos_attack_mitigations
Registros de eventos de mitigação de ataques do Cloud Logging
O Google Cloud Armor gera três tipos de entradas de registro de eventos ao mitigar ataques DDoS. Os formatos de registro incluem análises de geografia e endereços IP de origem, quando possível. As seguintes seções oferecem exemplos do formato de log de cada tipo de log de eventos:
Mitigação iniciada
{
"id": "20220101_1235_mitigiation_1.2.3.4",
"mitigationType": "MITIGATION_STARTED",
"targetVip": "1.2.3.4",
"totalVolume": {
"pps": "1234000",
"bps": "9876000000"
},
"started": {
"totalAttackVolume": {
"pps": "1000000",
"bps": "9000000000"
},
"topSourceIp": [
{
"ipAddress": "1.2.3.4",
"volume": {
"pps": "10000",
"bps": "2000000"
}
},
{
"ipAddress": "2.3.4.5",
"volume": {
"pps": "5000",
"bps": "1000000"
}
}
],
"topSourceGeo": [
{
"geo": "US",
"volume": {
"pps": "100000",
"bps": "20000000"
}
}
]
}
}
Mitigação em andamento
{
"id": "20220101_1235_mitigiation_1.2.3.4",
"mitigationType": "MITIGATION_ONGOING",
"targetVip": "1.2.3.4",
"totalVolume": {
"pps": "1234000",
"bps": "9876000000"
},
"ongoing": {
"totalAttackVolume": {
"pps": "1000000",
"bps": "9000000000"
},
"topSourceIp": [
{
"ipAddress": "1.2.3.4",
"volume": {
"pps": "10000",
"bps": "2000000"
}
},
{
"ipAddress": "2.3.4.5",
"volume": {
"pps": "5000",
"bps": "1000000"
}
}
],
"topSourceGeo": [
{
"geo": "US",
"volume": {
"pps": "100000",
"bps": "20000000"
}
}
]
}
}
Mitigação finalizada
{
"id": "20220101_1235_mitigiation_1.2.3.4",
"mitigationType": "MITIGATION_ENDED",
"targetVip": "1.2.3.4",
"totalVolume": {
"pps": "2314000",
"bps": "9768000000"
},
"ended": {
"attackDurationSeconds": 345
}
}
No console do Google Cloud , acesse a página "Análise de registros" e confira o recurso
ProtectedEndpoint.
Acessar a Análise de registros
Como alternativa, é possível visualizar o nome do registro network_dos_attack_mitigations.
Métricas do Cloud Monitoring
As métricas da telemetria de mitigação de DDoS são visíveis no recurso
de endpoint de rede protegida (ProtectedEndpoint), que é exclusivo para
endereços IP virtuais da camada de aplicativo (Camada 7) registrados
no Google Cloud Armor Managed Protection Plus. As métricas disponíveis são as seguintes:
- Bytes de entrada
- Pacotes de entrada (
/dos/ingress_packets)
É possível agrupar e filtrar as métricas anteriores com base nos seguintes rótulos:
| Rótulo | Valor |
|---|---|
project_id |
O ID do projeto inscrito no Cloud Armor Enterprise. |
location |
O local do endpoint protegido. |
vip |
O endereço IP virtual do endpoint protegido. |
drop_status |
Valores possíveisprocessed: o tráfego não foi negado pela
proteção contra DDoS sempre ativada do Google Cloud Armor, o que significa que
ele foi avaliado em relação às políticas de segurança.blocked: o tráfego foi negado pela proteção contra DDoS sempre ativada
do Google Cloud Armor e descartado antes de ser avaliado
em relação às políticas de segurança. |
No console Google Cloud , acesse a página do Metrics explorer:
Como interpretar métricas de telemetria de endereços IP virtuais com baixo volume de tráfego
Para endereços IP virtuais (VIPs) que recebem menos de 100.000 pacotes por
segundo, recomendamos o uso de uma janela de tempo maior para visualizar as métricas no
Cloud Monitoring. Por exemplo, quando um VIP de tráfego maior usa um ALIGN_RATE de um minuto, nossa recomendação é utilizar um ALIGN_RATE de 10 minutos.
Usar uma janela de tempo maior ajuda a reduzir o volume de artefatos resultantes de
uma proporção ruim de sinal para ruído.
Além disso, alguns componentes da taxa em que o Google Cloud Armor descarta o tráfego (a taxa de descarte) são inferidos por meios estatísticos e podem ser menos precisos para VIPs de baixo tráfego. Isso significa que, durante um ataque DDoS, a taxa de descarte dos relatórios do Cloud Monitoring pode ser um pouco menor do que a taxa de descarte real. Isso reduz os artefatos estatísticos que podem levar a uma superestimação do volume de tráfego descartado, especialmente para VIPs que recebem um baixo volume de tráfego e não estão sendo atacados.