Security Command Center è il database della sicurezza e dei rischi per Google Cloud. Security Command Center include una dashboard dei rischi e un sistema di analisi per rilevare, comprendere e correggere i rischi per la sicurezza e i datiGoogle Cloud in un'organizzazione.
Google Cloud Armor è integrato automaticamente con Security Command Center ed esporta due risultati nella dashboard di Security Command Center: Picco di traffico consentito e Aumento del rapporto di negazioni. Questa guida descrive i risultati e come interpretarli.
Se non hai ancora abilitato Cloud Armor in Security Command Center, consulta Configura Security Command Center. Vedrai i risultati in Security Command Center solo per i progetti con Security Command Center abilitato a livello di organizzazione.
Risultato Picco di traffico consentito
Il traffico consentito è costituito da richieste HTTP(S) in formato corretto destinate a raggiungere i tuoi servizi di backend dopo l'applicazione di una policy di sicurezza di Cloud Armor.
Il risultato Picco di traffico consentito ti avvisa di un picco di traffico consentito per singolo servizio di backend. Un risultato viene generato quando si verifica un aumento improvviso del numero consentito di richieste al secondo (RPS) rispetto al volume normale osservato nella cronologia recente. Nel risultato vengono indicati il numero di RPS che ha costituito il picco e il numero di RPS della cronologia recente.
Caso d'uso: potenziali attacchi L7
Gli attacchi Distributed Denial of Service (DDoS) si verificano quando i malintenzionati inviano grandi volumi di richieste per sovraccaricare un servizio oggetto dell'attacco. Il traffico di attacchi DDoS di livello 7 in genere presenta un picco nel numero di richieste al secondo.
Un risultato Picco di traffico consentito identifica il servizio di backend a cui è diretto il picco di RPS e fornisce le caratteristiche del traffico che hanno indotto Cloud Armor a classificarlo come picco di RPS. Utilizza queste informazioni per determinare quanto segue:
- Se è in corso un potenziale attacco DDoS di livello 7.
- Il servizio oggetto dell'attacco.
- Le azioni che puoi intraprendere per mitigare il potenziale attacco.
Di seguito è riportato uno screenshot di un esempio di risultato Picco di traffico consentito nella dashboard di Security Command Center.
Google Cloud calcola i valori Long_Term_Allowed_RPS e Short_Term_Allowed_RPS in base alle informazioni della cronologia di Cloud Armor.
Risultato Aumento del rapporto di negazioni
Il risultato Aumento del rapporto di negazioni ti avvisa che si è verificato un aumento del rapporto di traffico bloccato da Cloud Armor a causa di una regola configurata dall'utente in una policy di sicurezza. Sebbene la negazione sia prevista e non influisca sul servizio di backend, questo risultato contribuisce ad avvisarti di aumenti del traffico indesiderato e potenzialmente dannoso indirizzato alle tue applicazioni. Le richieste al secondo (RPS) del traffico negato e il traffico in entrata totale sono indicati nell'ambito del risultato.
Caso d'uso: mitigazione degli attacchi L7
Un risultato Aumento del rapporto di negazioni ti consente di osservare sia l'impatto delle mitigazioni riuscite sia le variazioni significative nel comportamento dei client dannosi. Il risultato identifica il backend a cui era indirizzato il traffico negato e fornisce le caratteristiche del traffico che hanno indotto Cloud Armor a generare il risultato. Utilizza queste informazioni per valutare se il traffico negato deve essere studiato in dettaglio per rafforzare ulteriormente le tue mitigazioni.
Di seguito è riportato uno screenshot di un esempio di risultato Aumento del rapporto di negazioni nella dashboard di Security Command Center.
Google Cloud calcola i valori Long_Term_Denied_RPS e Long_Term_Incoming_RPS in base alle informazioni della cronologia di Cloud Armor.
Google Cloud Armor Adaptive Protection
Adaptive Protection invia dati di telemetria a Security Command Center. Per saperne di più sui risultati di Adaptive Protection, consulta Monitoraggio, avvisi e logging nella panoramica di Adaptive Protection.
Protezione DDoS di rete avanzata
La protezione DDoS di rete avanzata invia la telemetria a Security Command Center. Per saperne di più sui risultati di protezione DDoS di rete avanzata, consulta Risultati di Security Command Center.
Dopo che il traffico torna alla normalità
I risultati di Security Command Center sono notifiche che indicano che è stato osservato un particolare comportamento in un determinato momento. Non viene inviata alcuna notifica quando il comportamento cessa.
Potrebbero esserci aggiornamenti dei risultati esistenti se le caratteristiche del traffico attuali aumentano in modo sostanziale rispetto a quelle esistenti. L'assenza di risultati successivi indica che il comportamento è stato risolto o il volume di traffico (consentito o negato) non è aumentato in modo sostanziale dopo la generazione del risultato iniziale.