En esta página, se describen las funciones de detección y protección que proporciona Cloud SQL para proteger tus instancias de los intentos de acceso por fuerza bruta que buscan el acceso no autorizado, y cómo proteger tu instancia de estos intentos.
La protección contra ataques de fuerza bruta es una función de seguridad integrada que ayuda a proteger tus instancias de los intentos de acceso por fuerza bruta, ya que impide el acceso no autorizado a tus recursos de Cloud SQL. Los intentos de acceso por fuerza bruta se producen cuando los actores maliciosos prueban sistemáticamente diferentes combinaciones de nombres de usuario y contraseñas para automatizar los intentos de acceso repetidos y obtener acceso a tu base de datos.
Cloud SQL proporciona las siguientes opciones para proteger tus bases de datos contra intentos de acceso por fuerza bruta:
Detección de acceso por fuerza bruta: Cloud SQL supervisa de forma continua los intentos de acceso fallidos para cada instancia y detecta el primer acceso exitoso. Si la cantidad de intentos de acceso consecutivos supera el umbral definido por Cloud SQL, Cloud SQL genera un mensaje de advertencia en los registros de la instancia. Este mensaje de registro identifica el intento de acceso por fuerza bruta, junto con la dirección IP y el nombre de usuario asociados.
La detección de acceso por fuerza bruta está disponible para todas las ediciones de Cloud SQL.
Protección contra acceso por fuerza bruta: Cuando Cloud SQL detecta un intento de acceso por fuerza bruta, automáticamente ralentiza los intentos de acceso agregando una demora a la respuesta de acceso y limitándola en tiempo real. Si Cloud SQL identifica una conexión como un intento de acceso por fuerza bruta y esa conexión conduce a un acceso exitoso, Cloud SQL la limita y genera un evento de registro para identificar este acceso exitoso. Este evento de registro identifica el intento de acceso por fuerza bruta, junto con la dirección IP y el nombre de usuario asociados.
La protección contra acceso por fuerza bruta solo está disponible para la edición Enterprise Plus de Cloud SQL.
Cloud SQL proporciona detección y protección contra el acceso por fuerza bruta para tus instancias, lo que ayuda a identificar la fuente de los riesgos causados por estos intentos de acceso y a mitigarlos. Usa las direcciones IP y los nombres de usuario identificados en estos intentos de acceso por fuerza bruta para proteger tu instancia y evitar futuros intentos de acceso por fuerza bruta. Para identificar los intentos de fuerza bruta en tu instancia, consulta Cómo ver los registros de intentos de fuerza bruta.
Visualiza los registros de intentos de acceso por fuerza bruta
Cuando Cloud SQL detecta un intento de acceso por fuerza bruta, registra un evento en los registros de la instancia, con un texto que indica an anomaly was found. Cloud SQL registra los siguientes eventos detallados:
| Evento | Descripción |
|---|---|
| Detección de intento de acceso por fuerza bruta | Se produjo un intento fallido de acceder a la cuenta user
desde la IP IP. Se detectó una anomalía: se repitieron los intentos de acceso fallidos desde esta IP. |
| Limitación automática para mitigar los intentos de acceso por fuerza bruta (solo en la edición Enterprise Plus) | Se produjo un intento fallido de acceder a la cuenta user desde la IP IP. Se detectó una anomalía: se repitieron los intentos de acceso fallidos desde esta IP. Cloud SQL limitó la respuesta para mitigar un posible intento de ataque de fuerza bruta. |
| Detección del primer acceso exitoso después de repetidos intentos fallidos | Se detectó una anomalía: Se accedió correctamente a la cuenta user
desde la IP IP después de varios intentos de acceso fallidos. Se recomienda cambiar la contraseña del usuario si esta actividad es inesperada. |
| Limitación automática del primer acceso exitoso después de repetidos errores de acceso (solo para la edición Enterprise Plus) | Se detectó una anomalía: Se accedió correctamente a la cuenta user desde la IP IP después de varios intentos de acceso fallidos. Cloud SQL limitó la respuesta para mitigar un posible intento de ataque de fuerza bruta. Cambia la contraseña del usuario si esta actividad es inesperada. |
Para ver detalles sobre estos intentos de fuerza bruta, consulta los registros de tu instancia y busca An anomaly was found en el texto de cada registro.
Configura una política de alertas basada en registros
Puedes configurar una política de alertas basada en registros para recibir notificaciones cuando se detecte o limite un intento de acceso por fuerza bruta a tus instancias de Cloud SQL. Para obtener más información sobre cómo configurar esta alerta, consulta Configura una política de alertas basada en registros con el Explorador de registros.
Por ejemplo, puedes usar la siguiente consulta en la política de alertas para identificar los registros de intentos de acceso por fuerza bruta exitosos:
resource.type="cloudsql_database"
textPayload =~ "An anomaly was found, successful login into the account"
Protege tu instancia
Cloud SQL recomienda proteger tu instancia si se identifican intentos de acceso por fuerza bruta. Para ver los posibles intentos de acceso por fuerza bruta, consulta Cómo ver los registros de intentos de acceso por fuerza bruta.
Si Cloud SQL identifica un intento de acceso por fuerza bruta a tu instancia, haz lo siguiente:
- Si Cloud SQL detecta un intento de acceso por fuerza bruta, pero el acceso falló, quita las direcciones IP identificadas de tus redes autorizadas para evitar futuros intentos de acceso desde esas IPs. Para ello, usa rangos de IP estrechos en las redes autorizadas de tu instancia o quita la dirección IP de la lista de redes autorizadas.
- Si Cloud SQL detecta un intento de acceso por fuerza bruta y se produjo un acceso exitoso desde la dirección IP y el nombre de usuario identificados, cambia la contraseña de la cuenta de usuario y quita la IP de la lista de redes autorizadas.
Además, también puedes usar el proxy de autenticación o los conectores de lenguaje de Cloud SQL para conectarte a tu instancia en lugar de usar redes autorizadas. El proxy de autenticación y los conectores de lenguaje de Cloud SQL usan la autenticación de Identity and Access Management para administrar las conexiones a tu instancia, lo que proporciona una conexión más segura y no requiere que agregues direcciones IP específicas a la lista de redes autorizadas de tu instancia.
Para proteger aún más tus instancias de Cloud SQL, usa IP privada en lugar de IP pública y usa la autenticación de bases de datos basada en IAM en lugar de la autenticación basada en nombre de usuario y contraseña.
Supervisa los intentos de acceso por fuerza bruta
Para supervisar los intentos de acceso por fuerza bruta, Cloud SQL cuenta la cantidad de ocurrencias de cada tipo de evento de conexión a tu instancia con la métrica /database/network/connection_attempt_count. Esta métrica usa los siguientes campos para determinar si una conexión es un intento de acceso por fuerza bruta:
login_status: Realiza un seguimiento de si la conexión generó un acceso exitoso.anomaly_detected: Realiza un seguimiento para determinar si la conexión es un intento de acceso por fuerza bruta según si la conexión superó el umbral de intentos de acceso establecido por Cloud SQL.anomalous_connection_throttled: Realiza un seguimiento de si se limita la conexión de intento de acceso por fuerza bruta.
Puedes supervisar esta métrica para identificar el recuento de cada tipo de evento de conexión. En la siguiente tabla, se muestran los eventos de conexión que rastrea la métrica y sus valores de campo correspondientes:
| Evento | Descripción |
|---|---|
| Se accedió correctamente | Se accedió correctamente a tu instancia sin que se detectara ningún intento de acceso por fuerza bruta. Valores de campo rastreados: login_status: succeeded
anomaly_detected: none
anomalous_connection_throttled: false
|
| Acceso fallido | Se produjo un error al acceder a tu instancia sin que se detectara un intento de acceso de fuerza bruta. Valores de campo rastreados: login_status: failed
anomaly_detected: none
anomalous_connection_throttled: false
|
| Se detectó un intento de acceso de fuerza bruta (no se limitó) | Un intento de acceso fallido que se identifica como un intento de acceso por fuerza bruta, ya que supera el umbral de intentos de acceso establecido por Cloud SQL. No se limitó la conexión. Valores de campo rastreados: login_status: failed
anomaly_detected: brute-force login
anomalous_connection_throttled: false
|
| Se detectó y limitó un intento de acceso de fuerza bruta | Un intento de acceso fallido que se identifica como un intento de acceso de fuerza bruta, ya que supera el umbral de intentos de acceso establecido por Cloud SQL y se limita para evitar el acceso.
Valores de campo rastreados: login_status: failed
anomaly_detected: brute-force login
anomalous_connection_throttled: true
|
| Acceso exitoso después de que se detectó un intento de acceso por fuerza bruta (no se limitó) | Accediste correctamente a tu instancia después de que se identificó la conexión como un intento de acceso por fuerza bruta. No se limitó la conexión.
Valores de campo rastreados: login_status: succeeded
anomaly_detected: brute-force login
anomalous_connection_throttled: false
|
| Acceso exitoso después de que se detectó y limitó un intento de acceso por fuerza bruta | Accediste correctamente a tu instancia después de que se identificó la conexión como un intento de acceso por fuerza bruta y se limitó.
Valores de campo rastreados: login_status: succeeded
anomaly_detected: brute-force login
anomalous_connection_throttled: true
|
Limitaciones
- La protección contra ataques de fuerza bruta requiere una versión de mantenimiento mínima de
MYSQL_$version.R20250531.01_23. Para obtener más información, consulta Cómo realizar el mantenimiento de autoservicio. - La protección contra ataques de fuerza bruta solo está disponible para la versión 5.7 de MySQL y versiones posteriores.