Questo documento presenta alcuni casi d'uso comuni per Google Cloud Armor Adaptive Protection.
Rilevamento e protezione dagli attacchi DDoS di livello 7
Il caso d'uso più comune per Adaptive Protection è il rilevamento e la risposta agli attacchi DDoS di livello 7, come gli attacchi con flood di richieste HTTP GET e POST o altre attività HTTP ad alta frequenza. Gli attacchi DDoS L7 spesso iniziano in modo relativamente lento e aumentano di intensità nel tempo. Quando gli esseri umani o i meccanismi di rilevamento automatico dei picchi rilevano un attacco, è probabile che sia ad alta intensità e stia già avendo un forte impatto negativo sull'applicazione. È fondamentale sottolineare che, sebbene sia possibile osservare l'aumento del traffico in forma aggregata, è molto più difficile distinguere in tempo reale la natura dannosa delle singole richieste, perché appaiono come richieste normali e complete. Analogamente, poiché le origini dell'attacco sono distribuite tra botnet o altri gruppi di client dannosi di dimensioni variabili da migliaia a milioni, diventa sempre più difficile mitigare un attacco in corso identificando e bloccando sistematicamente i client dannosi in base al solo IP. Nel caso di DDoS, l'attacco riesce così a rendere non disponibile il servizio colpito per alcuni o tutti gli utenti regolari.
Per rilevare e rispondere rapidamente agli attacchi DDoS di livello 7, il proprietario del progetto o della policy di sicurezza può abilitare la protezione Adaptive Protection in base alla singola policy di sicurezza nel progetto. Dopo almeno un'ora di addestramento e osservazione dei normali pattern di traffico, Adaptive Protection sarà in grado di rilevare rapidamente e con precisione un attacco nelle prime fasi del suo ciclo di vita e suggerirà regole WAF per bloccare l'attacco in corso senza influire sugli utenti normali.
Le notifiche di potenziali attacchi e la firma identificata del traffico sospetto vengono inviate a Logging, dove il messaggio di log può attivare una policy di avviso personalizzata, essere analizzato e archiviato o essere inviato a una soluzione SIEM (Security Information and Event Management) o di gestione dei log downstream. Consulta la documentazione di Logging per saperne di più su come integrare SIEM o la gestione dei log downstream.
Rilevamento e risposta alla firma dell'attacco
È fondamentale non solo rilevare e segnalare tempestivamente potenziali attacchi, ma anche essere in grado di intervenire in base all'avviso e rispondere in tempo per mitigarli. Gli addetti alla risposta agli incidenti di un'azienda devono dedicare minuti e ore cruciali a investigare, analizzando spesso i log e monitorando i sistemi per raccogliere informazioni sufficienti a sviluppare una risposta a un attacco in corso. Successivamente, prima di eseguire il deployment della mitigazione, il piano deve essere convalidato per assicurarsi che non abbia un impatto indesiderato o negativo sui workload di produzione.
Con Adaptive Protection, gli addetti alla risposta agli incidenti hanno tutto ciò che serve per analizzare rapidamente un attacco DDoS di livello 7 in corso e rispondere immediatamente dopo aver ricevuto l'avviso. L'avviso di Adaptive Protection include la firma del traffico ritenuto coinvolto nel potenziale attacco. I contenuti della firma includono metadati relativi al traffico in entrata, tra cui l'insieme di intestazioni delle richieste HTTP dannose, le aree geografiche dei client e così via. L'avviso include anche una regola corrispondente alla firma dell'attacco che può essere applicata in Cloud Armor per bloccare immediatamente il traffico dannoso.
L'evento Adaptive Protection fornisce un punteggio di confidenza e un tasso di impatto sulla base di riferimento previsto associato alla regola suggerita per facilitare la convalida. Ogni componente della firma ha anche misure per la probabilità di attacco e la proporzione di attacco per consentire agli addetti alla risposta agli incidenti di perfezionare e restringere o ampliare l'ambito della risposta.
Personalizzazione del modello e segnalazione degli errori degli eventi
I modelli di rilevamento degli attacchi di Adaptive Protection vengono addestrati su un set di dati prodotto artificialmente per mostrare le caratteristiche del traffico legittimo e dannoso. Di conseguenza, è possibile che Adaptive Protection identifichi un potenziale attacco che, dopo ulteriori indagini, verrà considerato non tale dall'addetto alla risposta agli incidenti o dal proprietario dell'applicazione. Adaptive Protection è in grado di apprendere dal contesto e dai pattern di traffico unici di ogni applicazione protetta.
Puoi segnalare singoli avvisi come falsi positivi per aiutare ulteriormente Adaptive Protection ad addestrare e personalizzare i modelli di rilevamento. Grazie alle segnalazioni dei falsi positivi, i modelli di Adaptive Protection avranno meno probabilità di inviare avvisi sul traffico con caratteristiche e attributi simili in futuro. Nel tempo, i modelli di rilevamento di Adaptive Protection saranno più in sintonia con le caratteristiche specifiche del traffico in ogni policy di sicurezza protetta. I passaggi per segnalare eventi di falsi positivi sono descritti in Monitoraggio, feedback e segnalazione di errori degli eventi.