Security Command Center הוא מסד הנתונים של האבטחה והסיכונים ב- Google Cloud. Security Command Center כולל מרכז בקרה לסיכונים ומערכת ניתוח נתונים שמאפשרים לזהות, להבין ולתקןGoogle Cloud סיכוני אבטחה וסיכונים שקשורים לנתונים בארגון.
Google Cloud Armor משולב אוטומטית עם Security Command Center ומייצא שתי תוצאות ללוח הבקרה של Security Command Center: Allowed traffic spike ו-Increasing deny ratio. במדריך הזה מוסבר על התוצאות ואיך לפרש אותן.
אם עדיין לא הפעלתם את Cloud Armor ב-Security Command Center, כדאי לעיין במאמר בנושא הגדרת Security Command Center. ממצאים מוצגים ב-Security Command Center רק לגבי פרויקטים שבהם Security Command Center מופעל ברמת הארגון.
התרת זיהוי של עליות חדות בתנועה
תעבורה מותרת מורכבת מבקשות HTTP(S) תקינות שמיועדות להגיע לשירותים לקצה העורפי אחרי שמדיניות האבטחה של Cloud Armor נאכפת.
התגלית Allowed traffic spike (עלייה חדה בתנועה המותרת) מודיעה לכם על עלייה חדה בתנועה המותרת, על בסיס כל שירות קצה עורפי. התגלית נוצרת כשיש עלייה פתאומית במספר המותר של בקשות לשנייה (RPS) בהשוואה לנפח הרגיל שנצפה בהיסטוריה האחרונה. ה-RPS שהיווה את העלייה החדה וה-RPS של ההיסטוריה האחרונה מסופקים כחלק מהתגלית.
תרחיש לדוגמה: התקפות פוטנציאליות ברמה 7
התקפות מניעת שירות מבוזרת (DDoS) מתרחשות כשתוקפים שולחים נפחים גדולים של בקשות כדי להעמיס יתר על המידה על שירות יעד. תנועה של התקפות DDoS בשכבה 7 בדרך כלל מציגה עלייה חדה במספר הבקשות לשנייה.
ממצא מסוג Allowed traffic spike (עלייה חדה בתנועה שמותרת) מזהה את שירות לקצה העורפי שאליו מופנית העלייה החדה ב-RPS, ומספק את מאפייני התנועה שגרמו ל-Cloud Armor לסווג אותה כעלייה חדה ב-RPS. אפשר להשתמש במידע הזה כדי לקבוע את הפרטים הבאים:
- אם מתבצעת מתקפת DDoS פוטנציאלית בשכבה 7.
- השירות שמטורגט.
- הפעולות שאתם יכולים לבצע כדי לצמצם את הסיכון להתקפה.
בצילום המסך הבא אפשר לראות דוגמה לממצא Allowed traffic spike בלוח הבקרה של Security Command Center.
Google Cloud מחשבת את הערכים Long_Term_Allowed_RPS ו-Short_Term_Allowed_RPS על סמך מידע היסטורי של Cloud Armor.
שיפור היכולת למצוא יחס דחייה
התוצאה Increasing deny ratio (עלייה ביחס הדחייה) מודיעה לכם שיש עלייה ביחס של תעבורת הנתונים ש-Cloud Armor חוסם בגלל כלל שהוגדר על ידי המשתמש במדיניות אבטחה. למרות שהדחייה צפויה ולא משפיעה על שירות לקצה העורפי, התוצאה הזו עוזרת לכם לקבל התראה על עלייה בתעבורת נתונים לא רצויה וזדונית פוטנציאלית שמכוונת לאפליקציות שלכם. התוצאה כוללת את ה-RPS של תעבורת הנתונים שנדחתה ואת סך תעבורת הנתונים הנכנסת.
תרחיש לדוגמה: צמצום ההשפעה של מתקפות ברמה 7
ממצא מסוג Increasing deny ratio מאפשר לכם לראות את ההשפעה של פעולות מוצלחות לצמצום הסיכון ושינויים משמעותיים בהתנהגות של לקוחות זדוניים. הממצא מזהה את ה-backend שאליו הופנתה התנועה שנחסמה, ומספק את מאפייני התנועה שגרמו ל-Cloud Armor להציג את הממצא. תוכלו להשתמש במידע הזה כדי להעריך אם צריך לבדוק את התנועה שנחסמה בפירוט כדי לשפר את פעולות צמצום הסיכון.
בצילום המסך הבא אפשר לראות דוגמה לממצא Increasing deny ratio בלוח הבקרה של Security Command Center.
Google Cloud מחשבת את הערכים Long_Term_Denied_RPS ו-Long_Term_Incoming_RPS על סמך מידע היסטורי של Cloud Armor.
Google Cloud Armor Adaptive Protection
התכונה 'הגנה דינמית' שולחת טלמטריה ל-Security Command Center. מידע נוסף על הממצאים של Adaptive Protection מופיע במאמר מעקב, התראות ורישום ביומן בסקירה הכללית על Adaptive Protection.
הגנה מתקדמת מפני התקפות DDoS ברשת
ההגנה המתקדמת מפני DDoS ברשת שולחת טלמטריה ל-Security Command Center. מידע נוסף על ממצאים מתקדמים של הגנה מפני מתקפות DDoS ברשת זמין במאמר ממצאים במרכז הבקרה לאבטחה.
אחרי שהתנועה תחזור למצב הרגיל
ממצאים ב-Security Command Center הם התראות על התנהגות מסוימת שנצפתה בנקודת זמן מסוימת. לא נשלחת התראה כשההתנהגות מפסיקה.
יכול להיות שיהיו עדכונים לממצאים קיימים אם מאפייני התנועה הנוכחיים יגדלו באופן משמעותי בהשוואה למאפיינים הקיימים. אם לא נמצאו ממצאים נוספים, המשמעות היא שההתנהגות נעלמה או שנפח התנועה לא גדל באופן משמעותי (אישור או דחייה) אחרי שהממצא הראשוני נוצר.