Security Command Center הוא מסד הנתונים של האבטחה והסיכונים ב- Google Cloud. Security Command Center כולל מרכז בקרה לסיכונים ומערכת ניתוח נתונים שמאפשרים לזהות, להבין ולתקןGoogle Cloud סיכוני אבטחה וסיכונים שקשורים לנתונים בארגון.
Google Cloud Armor משולב אוטומטית עם Security Command Center ומייצא שני ממצאים ללוח הבקרה של Security Command Center: Allowed traffic spike ו-Increasing deny ratio. במדריך הזה מתוארים הממצאים ומוסבר איך לפרש אותם.
אם עדיין לא הפעלתם את Cloud Armor ב-Security Command Center, כדאי לעיין במאמר בנושא הגדרת Security Command Center. ממצאים מוצגים ב-Security Command Center רק לגבי פרויקטים שבהם Security Command Center מופעל ברמת הארגון.
התרת זיהוי של עליות חדות בתנועה
תעבורה מותרת מורכבת מבקשות HTTP(S) תקינות שמיועדות להגיע לשירותים לקצה העורפי אחרי שמדיניות האבטחה של Cloud Armor נאכפת.
הממצא Allowed traffic spike (עלייה חדה בתנועה המותרת) מודיע לכם על עלייה חדה בתנועה המותרת, על בסיס כל שירות backend. ממצא נוצר כשיש עלייה פתאומית במספר המותר של בקשות לשנייה (RPS) בהשוואה לנפח הרגיל שנצפה בהיסטוריה האחרונה. ה-RPS שהיווה את נקודת השיא וה-RPS של ההיסטוריה האחרונה מסופקים כחלק מהממצא.
תרחיש שימוש: התקפות פוטנציאליות ברמה 7
התקפות מניעת שירות מבוזרות (DDoS) מתרחשות כשהתוקפים שולחים נפחים גדולים של בקשות כדי ליצור עומס יתר על שירות יעד. בדרך כלל, תנועה של מתקפת DDoS בשכבה 7 מציגה עלייה חדה במספר הבקשות בשנייה.
ממצא מסוג Allowed traffic spike (עלייה חדה בתנועה שמותרת) מזהה את שירות לקצה העורפי שאליו מופנית העלייה החדה ב-RPS, ומספק את מאפייני התנועה שגרמו ל-Cloud Armor לסווג אותה כעלייה חדה ב-RPS. המידע הזה יעזור לכם לקבוע את הפרטים הבאים:
- האם מתבצעת מתקפת DDoS פוטנציאלית בשכבה 7.
- השירות שמטורגט.
- הפעולות שאפשר לבצע כדי לצמצם את הסיכון להתקפה.
בצילום המסך הבא אפשר לראות דוגמה לממצא Allowed traffic spike בלוח הבקרה של Security Command Center.
Google Cloud חישוב הערכים Long_Term_Allowed_RPS ו-Short_Term_Allowed_RPS על סמך מידע היסטורי של Cloud Armor.
הגדלת היחס בין בקשות שנדחו ממצא
הממצא Increasing deny ratio (עלייה בשיעור הדחיות) מודיע לכם על עלייה בשיעור התעבורה ש-Cloud Armor חוסם בגלל כלל שהוגדר על ידי משתמש במדיניות אבטחה. למרות שהדחייה צפויה ולא משפיעה על שירות לקצה העורפי, הממצא הזה עוזר לכם לקבל התראה על עלייה בתנועה לא רצויה ועל תנועה שעלולה להיות זדונית שמכוונת לאפליקציות שלכם. ה-RPS של התנועה שנדחתה ושל התנועה הנכנסת הכוללת מסופקים כחלק מהממצא.
תרחיש לדוגמה: צמצום של מתקפות ברמה 7
התובנה שיעור הדחיות עולה מאפשרת לכם לראות גם את ההשפעה של צעדי המיתון המוצלחים וגם שינויים משמעותיים בהתנהגות של לקוחות זדוניים. הממצא מזהה את ה-backend שאליו הופנתה התנועה שנדחתה, ומספק את מאפייני התנועה שגרמו ל-Cloud Armor להציג את הממצא. אפשר להשתמש במידע הזה כדי להעריך אם צריך לבחון את התנועה שנדחתה בפירוט כדי לשפר את אמצעי ההגנה.
בצילום המסך הבא אפשר לראות דוגמה לממצא Increasing deny ratio בלוח הבקרה של Security Command Center.
Google Cloud מחשבת את הערכים Long_Term_Denied_RPS ו-Long_Term_Incoming_RPS על סמך מידע היסטורי של Cloud Armor.
Google Cloud Armor Adaptive Protection
התכונה 'הגנה דינמית' שולחת טלמטריה ל-Security Command Center. מידע נוסף על ממצאים של הגנה דינמית זמין במאמר מעקב, התראות ורישום ביומן בסקירה הכללית על הגנה דינמית.
הגנה מתקדמת מפני התקפות DDoS ברשת
הגנה מתקדמת מפני DDoS ברשת שולחת נתוני טלמטריה ל-Security Command Center. מידע נוסף על ממצאים מתקדמים של הגנה מפני מתקפות DDoS ברשת זמין במאמר בנושא ממצאים של Security Command Center.
אחרי שהתנועה תחזור למצב הרגיל
הממצאים ב-Security Command Center הם התראות על התנהגות מסוימת שנצפתה בנקודת זמן מסוימת. לא נשלחת התראה כשההתנהגות מפסיקה.
יכול להיות שיהיו עדכונים לממצאים קיימים אם מאפייני התנועה הנוכחיים יגדלו באופן משמעותי בהשוואה למאפיינים הקיימים. אם לא נמצאו ממצאים נוספים, המשמעות היא שההתנהגות נעלמה או שנפח התנועה לא גדל באופן משמעותי (לא אושר ולא נדחה) אחרי יצירת הממצא הראשוני.