Google Cloud Armor Enterprise memungkinkan Anda menggunakan Cloud Logging dan Cloud Monitoring untuk menganalisis serangan DDoS dan sumbernya.
Google Cloud Armor secara otomatis mendeteksi dan memitigasi serangan terhadap lapisan jaringan (Lapisan 3) dan lapisan transpor (Lapisan 4), melakukan mitigasi sebelum menerapkan kebijakan keamanan, dan hanya mengevaluasi permintaan yang dibentuk dengan baik berdasarkan aturan kebijakan keamanan Anda. Oleh karena itu, traffic yang menurun akibat perlindungan DDoS yang selalu aktif tidak muncul dalam telemetri untuk kebijakan keamanan atau backend.
Namun, metrik Cloud Logging dan Cloud Monitoring untuk peristiwa mitigasi DDoS adalah bagian dari visibilitas serangan DDoS, sebuah fitur yang tersedia secara eksklusif untuk pelanggan Google Cloud Armor Enterprise. Bagian berikut menjelaskan cara menggunakan Logging dan Monitoring untuk menganalisis serangan DDoS dan sumbernya. Visibilitas serangan DDoS tersedia untuk jenis load balancer berikut:
- Load Balancer Aplikasi eksternal global
- Load Balancer Aplikasi klasik
Jika Anda menggunakan referensi layanan lintas project, Anda hanya dapat melihat telemetri dan logging yang terkait dengan visibilitas serangan DDoS di project host atau layanan yang mencakup frontend dan peta URL load balancer Anda. Anda tidak dapat melihat telemetri dan logging di project layanan yang mencakup layanan backend.
Untuk memastikan pelaporan dan logging yang tepat, Cloud Armor memerlukan akses ke log berikut. Log ini harus disimpan di Cloud Logging, atau dirutekan ke bucket logging yang dapat diakses Cloud Armor.
networksecurity.googleapis.com/dos_attacknetworksecurity.googleapis.com/network_dos_attacknetworksecurity.googleapis.com/network_dos_attack_mitigations
Log peristiwa mitigasi serangan Cloud Logging
Cloud Armor membuat tiga jenis entri log peristiwa saat memitigasi serangan DDoS. Format log mencakup analisis alamat IP sumber dan geografi jika memungkinkan. Bagian berikut memberikan contoh format log untuk setiap jenis log peristiwa:
Mitigasi dimulai
{
"id": "20220101_1235_mitigiation_1.2.3.4",
"mitigationType": "MITIGATION_STARTED",
"targetVip": "1.2.3.4",
"totalVolume": {
"pps": "1234000",
"bps": "9876000000"
},
"started": {
"totalAttackVolume": {
"pps": "1000000",
"bps": "9000000000"
},
"topSourceIp": [
{
"ipAddress": "1.2.3.4",
"volume": {
"pps": "10000",
"bps": "2000000"
}
},
{
"ipAddress": "2.3.4.5",
"volume": {
"pps": "5000",
"bps": "1000000"
}
}
],
"topSourceGeo": [
{
"geo": "US",
"volume": {
"pps": "100000",
"bps": "20000000"
}
}
]
}
}
Mitigasi sedang berlangsung
{
"id": "20220101_1235_mitigiation_1.2.3.4",
"mitigationType": "MITIGATION_ONGOING",
"targetVip": "1.2.3.4",
"totalVolume": {
"pps": "1234000",
"bps": "9876000000"
},
"ongoing": {
"totalAttackVolume": {
"pps": "1000000",
"bps": "9000000000"
},
"topSourceIp": [
{
"ipAddress": "1.2.3.4",
"volume": {
"pps": "10000",
"bps": "2000000"
}
},
{
"ipAddress": "2.3.4.5",
"volume": {
"pps": "5000",
"bps": "1000000"
}
}
],
"topSourceGeo": [
{
"geo": "US",
"volume": {
"pps": "100000",
"bps": "20000000"
}
}
]
}
}
Mitigasi berakhir
{
"id": "20220101_1235_mitigiation_1.2.3.4",
"mitigationType": "MITIGATION_ENDED",
"targetVip": "1.2.3.4",
"totalVolume": {
"pps": "2314000",
"bps": "9768000000"
},
"ended": {
"attackDurationSeconds": 345
}
}
Di konsol Google Cloud , buka halaman Logs Explorer dan lihat resource
ProtectedEndpoint.
Atau, Anda dapat melihat nama log network_dos_attack_mitigations.
Metrik Cloud Monitoring
Metrik telemetri mitigasi DDoS ditampilkan di bagian resource
Protected Network Endpoint (ProtectedEndpoint), yang eksklusif untuk
alamat IP virtual lapisan aplikasi (Lapisan 7) yang terdaftar di
Google Cloud Armor Enterprise. Metrik yang tersedia adalah sebagai berikut:
- Byte ingress (
/dos/ingress_bytes) - Paket ingress (
/dos/ingress_packets)
Anda dapat mengelompokkan dan memfilter metrik sebelumnya berdasarkan label berikut:
| Label | Nilai |
|---|---|
project_id |
ID project Anda yang terdaftar di Cloud Armor Enterprise. |
location |
Lokasi endpoint yang dilindungi. |
vip |
Alamat IP virtual endpoint yang dilindungi. |
drop_status |
Nilai yang mungkin:
|
Di konsol Google Cloud , buka halaman Metrics Explorer.
Menafsirkan metrik telemetri untuk alamat IP virtual dengan volume traffic rendah
Untuk alamat IP virtual (VIP) yang menerima kurang dari 100.000 paket per
detik, sebaiknya gunakan jangka waktu yang lebih panjang untuk melihat metrik di
Cloud Monitoring. Misalnya, jika VIP dengan traffic lebih tinggi dapat menggunakan
ALIGN_RATE satu menit, sebaiknya gunakan ALIGN_RATE 10 menit.
Menggunakan jangka waktu yang lebih panjang akan membantu mengurangi volume artefak yang dihasilkan dari
rasio sinyal terhadap derau yang buruk.
Selain itu, beberapa komponen kecepatan Cloud Armor menghentikan traffic (kecepatan penghentian) disimpulkan dengan cara statistik, dan mungkin kurang akurat untuk VIP dengan traffic rendah. Artinya, selama serangan DDoS, kecepatan penghentian yang dilaporkan Cloud Monitoring mungkin sedikit lebih rendah daripada kecepatan penghentian yang sebenarnya. Hal ini mengurangi artefak statistik yang dapat menyebabkan estimasi berlebihan terhadap volume traffic yang dihentikan, terutama untuk VIP yang menerima volume traffic rendah dan tidak diserang.