Auf dieser Seite werden die Erkennungs- und Schutzfunktionen beschrieben, die Cloud SQL bietet, um Ihre Instanzen vor Brute-Force-Zugriffsversuchen zu schützen, die auf unbefugten Zugriff abzielen. Außerdem wird beschrieben, wie Sie Ihre Instanz vor diesen Versuchen schützen können.
Der Brute-Force-Schutz ist eine integrierte Sicherheitsfunktion, die Ihre Instanzen vor Brute-Force-Zugriffsversuchen schützt, indem sie unbefugten Zugriff auf Ihre Cloud SQL-Ressourcen verhindert. Brute-Force-Zugriffsversuche erfolgen, wenn böswillige Akteure systematisch verschiedene Kombinationen aus Nutzernamen und Passwort ausprobieren, um wiederholte Anmeldeversuche zu automatisieren und Zugriff auf Ihre Datenbank zu erhalten.
Cloud SQL bietet die folgenden Optionen, um Ihre Datenbanken vor Brute-Force-Zugriffsversuchen zu schützen:
Erkennung von Brute-Force-Zugriffen: Cloud SQL überwacht kontinuierlich fehlgeschlagene Anmeldeversuche für jede Instanz und erkennt die erste erfolgreiche Anmeldung. Wenn die Anzahl der aufeinanderfolgenden Anmeldeversuche den von Cloud SQL definierten Grenzwert überschreitet, wird in den Instanzlogs eine Warnmeldung generiert. Diese Log-Meldung gibt den Brute-Force-Zugriffsversuch sowie die zugehörige IP-Adresse und den Nutzernamen an.
Die Erkennung von Brute-Force-Zugriff ist für alle Cloud SQL-Versionen verfügbar.
Schutz vor Brute-Force-Angriffen: Wenn Cloud SQL einen Brute-Force-Angriff erkennt, werden Anmeldeversuche automatisch verlangsamt, indem der Anmeldeantwort eine Verzögerung hinzugefügt und sie in Echtzeit gedrosselt wird. Wenn Cloud SQL eine Verbindung als Brute-Force-Zugriffsversuch identifiziert und diese Verbindung zu einer erfolgreichen Anmeldung führt, wird sie von Cloud SQL gedrosselt und es wird ein Logereignis generiert, um diese erfolgreiche Anmeldung zu identifizieren. Dieses Log-Ereignis gibt den Brute-Force-Zugriffsversuch sowie die zugehörige IP-Adresse und den Nutzernamen an.
Der Schutz vor Brute-Force-Angriffen ist nur für Cloud SQL Enterprise Plus verfügbar.
Cloud SQL bietet Erkennung und Schutz vor Brute-Force-Angriffen für Ihre Instanzen. So können Sie die Quelle dieser Angriffe identifizieren und die damit verbundenen Risiken minimieren. Verwenden Sie die IP-Adressen und Nutzernamen, die bei diesen Brute-Force-Zugriffsversuchen ermittelt wurden, um Ihre Instanz zu schützen und sie vor zukünftigen Brute-Force-Zugriffsversuchen zu schützen. Informationen zum Erkennen von Brute-Force-Angriffen für Ihre Instanz finden Sie unter Logs für Brute-Force-Angriffe ansehen.
Protokolle für Brute-Force-Zugriffsversuche ansehen
Wenn Cloud SQL einen Brute-Force-Zugriffsversuch erkennt, wird ein Ereignis in den Instanzlogs protokolliert, in dem an anomaly was found steht. Cloud SQL protokolliert die folgenden detaillierten Ereignisse:
| Ereignis | Beschreibung |
|---|---|
| Erkennung eines Brute-Force-Zugriffsversuchs | Fehlgeschlagener Anmeldeversuch im Konto user über die IP-Adresse IP. Es wurde eine Anomalie festgestellt: Wiederholte fehlgeschlagene Anmeldeversuche von dieser IP-Adresse. |
| Automatische Drosselung zur Eindämmung von Brute-Force-Zugriffsversuchen (nur Enterprise Plus-Version) | Fehler bei der Anmeldung im Konto user über die IP-Adresse IP. Es wurde eine Anomalie festgestellt: Wiederholte fehlgeschlagene Anmeldeversuche von dieser IP-Adresse. Cloud SQL hat die Antwort gedrosselt, um einen potenziellen Brute-Force-Angriff abzuwehren. |
| Erkennung der ersten erfolgreichen Anmeldung nach wiederholten Anmeldefehlern | Es wurde eine Anomalie festgestellt: Nach wiederholten fehlgeschlagenen Anmeldeversuchen wurde eine erfolgreiche Anmeldung im Konto user über die IP-Adresse IP registriert. Wenn diese Aktivität unerwartet ist, empfehlen wir, das Nutzerpasswort zu ändern. |
| Automatische Drosselung der ersten erfolgreichen Anmeldung nach wiederholten Anmeldefehlern (nur Enterprise Plus-Version) | Es wurde eine Anomalie festgestellt: Die Anmeldung im Konto user über die IP-Adresse IP war nach wiederholten fehlgeschlagenen Anmeldeversuchen erfolgreich. Cloud SQL hat die Antwort gedrosselt, um einen potenziellen Brute-Force-Angriff abzuwehren. Ändern Sie das Nutzerpasswort, wenn diese Aktivität unerwartet ist. |
Details zu diesen Brute-Force-Versuchen finden Sie in den Logs Ihrer Instanz . Suchen Sie in den Logs nach An anomaly was found.
Logbasierte Benachrichtigungsrichtlinie einrichten
Sie können eine logbasierte Benachrichtigungsrichtlinie einrichten, um benachrichtigt zu werden, wenn ein Brute-Force-Zugriffsversuch für Ihre Cloud SQL-Instanzen erkannt oder gedrosselt wird. Weitere Informationen zum Einrichten dieser Benachrichtigung finden Sie unter Logbasierte Benachrichtigungsrichtlinie mit dem Log-Explorer konfigurieren.
Mit der folgenden Abfrage in der Benachrichtigungsrichtlinie können Sie beispielsweise Logs für erfolgreiche Brute-Force-Zugriffsversuche ermitteln:
resource.type="cloudsql_database"
textPayload =~ "An anomaly was found, successful login into the account"
Instanz sichern
Cloud SQL empfiehlt, Ihre Instanz zu sichern, wenn Brute-Force-Zugriffsversuche erkannt werden. Informationen zum Aufrufen potenzieller Brute-Force-Zugriffsversuche finden Sie unter Logs für Brute-Force-Zugriffsversuche ansehen.
Wenn Cloud SQL einen Brute-Force-Zugriffsversuch auf Ihre Instanz erkennt, gehen Sie so vor:
- Wenn Cloud SQL einen Brute-Force-Zugriffsversuch erkennt, die Anmeldung jedoch fehlgeschlagen ist, entfernen Sie die ermittelten IP-Adressen aus Ihren autorisierten Netzwerken, um zukünftige Anmeldeversuche von diesen IP-Adressen zu verhindern. Verwenden Sie dazu enge IP-Bereiche in den autorisierten Netzwerken für Ihre Instanz oder entfernen Sie die IP-Adresse aus der Liste der autorisierten Netzwerke.
- Wenn Cloud SQL einen Brute-Force-Zugriffsversuch und eine erfolgreiche Anmeldung über die ermittelte IP-Adresse und den Nutzernamen erkennt, ändern Sie das Passwort für das Nutzerkonto und entfernen Sie die IP-Adresse aus der Liste der autorisierten Netzwerke.
Alternativ können Sie auch den Auth-Proxy oder die Cloud SQL-Sprach-Connectors verwenden, um eine Verbindung zu Ihrer Instanz herzustellen. Der Auth-Proxy und die Cloud SQL-Sprach-Connectors verwenden die IAM-Authentifizierung, um Verbindungen zu Ihrer Instanz zu verwalten. Dadurch wird eine sicherere Verbindung hergestellt und Sie müssen keine bestimmten IP-Adressen zur Liste der autorisierten Netzwerke Ihrer Instanz hinzufügen.
Um Ihre Cloud SQL-Instanzen zusätzlich zu schützen, verwenden Sie private IP anstelle von öffentlicher IP und IAM-basierte Datenbankauthentifizierung anstelle der Authentifizierung mit Nutzername und Passwort.
Brute-Force-Zugriffsversuche überwachen
Um Brute-Force-Zugriffsversuche zu überwachen, zählt Cloud SQL die Anzahl der Vorkommen der einzelnen Arten von Verbindungsereignissen zu Ihrer Instanz mit dem Messwert /database/network/connection_attempt_count. Für diesen Messwert werden die folgenden Felder verwendet, um festzustellen, ob es sich bei einer Verbindung um einen Brute-Force-Zugriffsversuch handelt:
login_status: Gibt an, ob die Verbindung zu einer erfolgreichen Anmeldung geführt hat.anomaly_detected: Gibt an, ob es sich bei der Verbindung um einen Brute-Force-Zugriffsversuch handelt. Dies wird anhand des von Cloud SQL festgelegten Grenzwerts für Anmeldeversuche ermittelt.anomalous_connection_throttled: Gibt an, ob die Verbindung für einen Brute-Force-Zugriffsversuch gedrosselt wird.
Sie können diesen Messwert im Blick behalten, um die Anzahl der einzelnen Arten von Verbindungsereignissen zu ermitteln. In der folgenden Tabelle sind die Verbindungsereignisse aufgeführt, die vom Messwert erfasst werden, sowie die entsprechenden Feldwerte:
| Ereignis | Beschreibung |
|---|---|
| Erfolgreiche Anmeldung | Eine erfolgreiche Anmeldung in Ihrer Instanz ohne erkannten Brute-Force-Zugriffsversuch. Erfasste Feldwerte: login_status: succeeded
anomaly_detected: none
anomalous_connection_throttled: false
|
| Fehler bei der Anmeldung | Ein fehlgeschlagener Login in Ihre Instanz, bei dem kein Brute-Force-Zugriffsversuch erkannt wurde. Erfasste Feldwerte: login_status: failed
anomaly_detected: none
anomalous_connection_throttled: false
|
| Brute-Force-Anmeldeversuch erkannt (nicht gedrosselt) | Ein fehlgeschlagener Anmeldeversuch, der als Brute-Force-Zugriffsversuch identifiziert wird, da er den von Cloud SQL festgelegten Grenzwert für Anmeldeversuche überschreitet. Die Verbindung wurde nicht gedrosselt. Erfasste Feldwerte: login_status: failed
anomaly_detected: brute-force login
anomalous_connection_throttled: false
|
| Brute-Force-Anmeldeversuch erkannt und gedrosselt | Ein fehlgeschlagener Anmeldeversuch, der als Brute-Force-Zugriffsversuch identifiziert wird, da er den von Cloud SQL festgelegten Grenzwert für Anmeldeversuche überschreitet und gedrosselt wird, um die Anmeldung zu verhindern.
Erfasste Feldwerte: login_status: failed
anomaly_detected: brute-force login
anomalous_connection_throttled: true
|
| Erfolgreiche Anmeldung nach erkanntem Brute-Force-Zugriffsversuch (nicht gedrosselt) | Eine erfolgreiche Anmeldung in Ihrer Instanz, nachdem die Verbindung als Brute-Force-Zugriffsversuch identifiziert wurde. Die Verbindung wurde nicht gedrosselt.
Erfasste Feldwerte: login_status: succeeded
anomaly_detected: brute-force login
anomalous_connection_throttled: false
|
| Erfolgreiche Anmeldung nach Erkennung und Drosselung eines Brute-Force-Zugriffsversuchs | Eine erfolgreiche Anmeldung in Ihrer Instanz, nachdem die Verbindung als Brute-Force-Zugriffsversuch erkannt und gedrosselt wurde.
Erfasste Feldwerte: login_status: succeeded
anomaly_detected: brute-force login
anomalous_connection_throttled: true
|
Beschränkungen
- Für den Schutz vor Brute-Force-Angriffen ist mindestens die Wartungsversion
MYSQL_$version.R20250531.01_23erforderlich. Weitere Informationen finden Sie unter Wartung im Self-Service durchführen. - Der Schutz vor Brute-Force-Angriffen ist nur für MySQL-Version 5.7 und höher verfügbar.