Kasus penggunaan Perlindungan Adaptif Google Cloud Armor

Dokumen ini menyajikan beberapa kasus penggunaan umum untuk Perlindungan Adaptif Google Cloud Armor.

Deteksi dan perlindungan terhadap serangan DDoS L7

Kasus penggunaan paling umum untuk Perlindungan Adaptif adalah mendeteksi dan merespons serangan DDoS L7 seperti banjir HTTP GET, banjir HTTP POST, atau aktivitas HTTP frekuensi tinggi lainnya. Serangan DDoS L7 sering kali dimulai dengan kecepatan yang relatif lambat dan intensitasnya meningkat seiring waktu. Pada saat mekanisme deteksi lonjakan otomatis atau manual mendeteksi serangan, intensitasnya kemungkinan tinggi dan sudah berdampak negatif yang kuat pada aplikasi. Yang penting, meskipun lonjakan traffic secara keseluruhan dapat diamati, akan jauh lebih sulit untuk membedakan, secara real time, apakah setiap permintaan bersifat berbahaya atau tidak karena permintaan tersebut tampak normal dan terbentuk sepenuhnya. Demikian pula, karena sumber serangan didistribusikan di antara botnet atau grup klien berbahaya lainnya yang berukuran mulai dari ribuan hingga jutaan, semakin sulit untuk memitigasi serangan yang sedang berlangsung dengan mengidentifikasi dan memblokir klien berbahaya secara sistematis hanya berdasarkan IP. Dalam kasus DDoS, akibatnya adalah serangan berhasil membuat layanan yang ditargetkan tidak tersedia bagi sebagian atau semua pengguna reguler.

Ilustrasi serangan DDoS L7 (banjir HTTP GET). Serangan yang berhasil dapat membebani aplikasi yang ditargetkan dan mencegah pengguna yang sah mengakses layanan.
Ilustrasi serangan DDoS L7 (banjir HTTP GET). Serangan yang berhasil dapat membebani aplikasi yang ditargetkan dan mencegah pengguna yang sah mengakses layanan. (klik untuk memperbesar)

Untuk mendeteksi dan merespons serangan DDoS L7 dengan cepat, pemilik project atau kebijakan keamanan dapat mengaktifkan perlindungan Perlindungan Adaptif berdasarkan per kebijakan keamanan dalam project mereka. Setelah minimal satu jam pelatihan dan mengamati pola traffic normal, Perlindungan Adaptif akan siap mendeteksi serangan dengan cepat dan akurat di awal siklus prosesnya serta menyarankan aturan WAF untuk memblokir serangan yang sedang berlangsung tanpa memengaruhi pengguna normal.

Perlindungan Adaptif mengidentifikasi dan memitigasi serangan DDoS L7, sehingga pengguna yang sah dapat mengakses aplikasi.
Perlindungan Adaptif mengidentifikasi dan memitigasi serangan DDoS L7, sehingga pengguna yang sah dapat mengakses aplikasi. (klik untuk memperbesar)

Notifikasi potensi serangan dan signature yang teridentifikasi dari traffic yang mencurigakan dikirim ke Logging, tempat pesan log dapat memicu Kebijakan Pemberitahuan kustom, dianalisis dan disimpan, atau dikirim ke solusi pengelolaan log atau informasi keamanan dan manajemen peristiwa (SIEM) downstream. Lihat dokumentasi Logging untuk mengetahui informasi selengkapnya tentang cara mengintegrasikan SIEM atau pengelolaan log downstream.

Deteksi dan respons terhadap tanda serangan

Penting untuk tidak hanya mendeteksi dan memberikan peringatan dini tentang potensi serangan, tetapi juga dapat menindaklanjuti peringatan tersebut dan merespons tepat waktu untuk memitigasi serangan. Tim respons insiden perusahaan harus menghabiskan waktu berharga untuk melakukan investigasi, sering kali menganalisis log dan memantau sistem untuk mengumpulkan informasi yang cukup guna mengembangkan respons terhadap serangan yang sedang berlangsung. Selanjutnya, sebelum men-deploy mitigasi, rencana tersebut harus divalidasi untuk memastikan tidak akan berdampak negatif atau tidak diinginkan pada workload produksi.

Alur kerja umum untuk proses respons insiden perusahaan.
Alur kerja umum untuk proses respons insiden perusahaan. (klik untuk memperbesar)

Dengan Perlindungan Adaptif, responder insiden memiliki semua yang dibutuhkan untuk menganalisis dan merespons serangan DDoS L7 yang sedang berlangsung dengan cepat saat mereka menerima pemberitahuan. Peringatan Perlindungan Adaptif mencakup signature traffic yang ditentukan berpartisipasi dalam potensi serangan. Isi signature mencakup metadata tentang traffic masuk, termasuk serangkaian header permintaan HTTP berbahaya, geografi sumber, dll. Pemberitahuan juga mencakup aturan yang cocok dengan tanda serangan yang dapat diterapkan di Cloud Armor untuk segera memblokir traffic berbahaya.

Peristiwa Perlindungan Adaptif memberikan skor keyakinan dan perkiraan kapasitas dasar yang terpengaruh yang terkait dengan aturan yang disarankan untuk membantu validasi. Setiap komponen signature juga memiliki ukuran untuk kemungkinan serangan dan proporsi serangan guna memungkinkan responder insiden menyetel dan mempersempit atau memperluas cakupan respons.

Menyesuaikan model dan melaporkan error peristiwa

Model deteksi serangan Perlindungan Adaptif dilatih pada set data yang dibuat secara artifisial untuk menunjukkan karakteristik traffic yang baik dan berbahaya. Akibatnya, Perlindungan Adaptif mungkin mengidentifikasi potensi serangan yang, setelah penyelidikan lebih lanjut, akan ditentukan oleh responder insiden atau pemilik aplikasi sebagai bukan serangan. Perlindungan Adaptif dapat mempelajari konteks dan pola traffic unik dari setiap aplikasi yang dilindungi.

Contoh signature potensi serangan.
Contoh signature potensi serangan. (klik untuk memperbesar)

Anda dapat melaporkan setiap pemberitahuan sebagai positif palsu untuk lebih membantu Perlindungan Adaptif melatih dan menyesuaikan model deteksi. Dengan laporan positif palsu, model Perlindungan Adaptif cenderung tidak akan memberikan peringatan pada traffic dengan karakteristik dan atribut serupa di masa mendatang. Seiring waktu, model deteksi Perlindungan Adaptif akan lebih disesuaikan dengan karakteristik spesifik traffic di setiap kebijakan keamanan yang dilindungi. Langkah untuk melaporkan peristiwa positif palsu dijelaskan dalam Memantau, memberikan masukan, dan melaporkan error peristiwa.

Langkah berikutnya