Halaman ini menjelaskan fitur deteksi dan perlindungan yang disediakan Cloud SQL untuk melindungi instance Anda dari upaya akses brute force yang bertujuan untuk mendapatkan akses tidak sah, dan cara mengamankan instance Anda dari upaya tersebut.
Perlindungan serangan brute force adalah fitur keamanan bawaan yang membantu melindungi instance Anda dari upaya akses brute force dengan mencegah akses yang tidak sah ke resource Cloud SQL Anda. Upaya akses brute force terjadi saat aktor jahat secara sistematis mencoba berbagai kombinasi nama pengguna dan sandi untuk mengotomatiskan upaya login berulang dan mendapatkan akses ke database Anda.
Cloud SQL menyediakan opsi berikut untuk melindungi database Anda dari upaya akses brute force:
Deteksi akses brute force: Cloud SQL terus memantau upaya login yang gagal untuk setiap instance dan mendeteksi login pertama yang berhasil. Jika jumlah upaya login berturut-turut melebihi nilai minimum yang ditentukan oleh Cloud SQL, maka Cloud SQL akan membuat pesan peringatan di log instance. Pesan log ini mengidentifikasi upaya akses brute force, beserta alamat IP dan nama pengguna terkait.
Deteksi akses brute force tersedia untuk semua edisi Cloud SQL.
Perlindungan akses brute force: Saat mendeteksi upaya akses brute force, Cloud SQL akan otomatis memperlambat upaya login dengan menambahkan penundaan pada respons login dan membatasi frekuensinya secara real-time. Jika Cloud SQL mengidentifikasi koneksi sebagai upaya akses brute force dan koneksi tersebut menyebabkan login berhasil, maka Cloud SQL akan membatasi koneksi tersebut dan membuat peristiwa log untuk mengidentifikasi login yang berhasil ini. Peristiwa log ini mengidentifikasi upaya akses brute force, beserta alamat IP dan nama pengguna terkait.
Perlindungan akses brute force hanya tersedia untuk edisi Cloud SQL Enterprise Plus.
Dengan menyediakan deteksi dan perlindungan akses brute force untuk instance Anda, Cloud SQL membantu mengidentifikasi sumber dan memitigasi risiko yang disebabkan oleh upaya akses brute force ini. Gunakan alamat IP dan nama pengguna yang diidentifikasi dalam upaya akses brute force ini untuk mengamankan instance Anda dan melindunginya dari upaya akses brute force pada masa mendatang. Untuk mengidentifikasi upaya serangan brute force pada instance Anda, lihat Melihat log untuk upaya serangan brute force.
Melihat log untuk upaya akses brute force
Saat mendeteksi upaya akses brute force, Cloud SQL akan mencatat
peristiwa dalam log instance Anda,
dengan teks yang menyatakan an anomaly was found. Cloud SQL mencatat peristiwa mendetail berikut:
| Acara | Deskripsi |
|---|---|
| Deteksi upaya akses brute force | Upaya login yang gagal ke akun user
dari IP IP. Anomali ditemukan, upaya login
gagal berulang dari IP ini. |
| Pembatasan otomatis untuk memitigasi upaya akses brute force (Khusus Edisi Enterprise Plus) | Upaya login yang gagal ke akun user dari IP
IP. Anomali ditemukan, upaya login gagal berulang kali
dari IP ini. Cloud SQL membatasi respons untuk memitigasi potensi upaya brute force. |
| Deteksi login pertama yang berhasil setelah kegagalan login berulang | Anomali ditemukan, login berhasil ke akun user
dari IP IP setelah upaya login berulang kali gagal. Sebaiknya ubah sandi pengguna jika aktivitas ini tidak terduga. |
| Pembatasan otomatis login berhasil pertama setelah kegagalan login berulang (khusus Edisi Enterprise Plus) | Anomali ditemukan, login berhasil ke akun
user dari IP IP setelah upaya login gagal berulang kali. Cloud SQL membatasi respons untuk memitigasi potensi upaya brute force. Ubah sandi pengguna jika aktivitas ini tidak terduga. |
Untuk melihat detail tentang upaya serangan brute force ini, lihat log instance Anda dan cari An anomaly was found dalam teks untuk setiap log.
Menyiapkan kebijakan pemberitahuan berbasis log
Anda dapat menyiapkan kebijakan pemberitahuan berbasis log untuk menerima notifikasi saat upaya akses brute force terdeteksi atau dibatasi untuk instance Cloud SQL Anda. Untuk mengetahui informasi selengkapnya tentang cara menyiapkan pemberitahuan ini, lihat Mengonfigurasi kebijakan pemberitahuan berbasis log menggunakan Logs Explorer.
Misalnya, Anda dapat menggunakan kueri berikut dalam kebijakan pemberitahuan untuk mengidentifikasi log upaya akses brute force yang berhasil:
resource.type="cloudsql_database"
textPayload =~ "An anomaly was found, successful login into the account"
Mengamankan instance Anda
Cloud SQL merekomendasikan pengamanan instance Anda jika upaya akses brute force teridentifikasi. Untuk melihat potensi upaya akses brute-force, lihat Melihat log untuk upaya akses brute-force.
Jika Cloud SQL mengidentifikasi upaya akses brute force ke instance Anda, lakukan hal berikut:
- Jika Cloud SQL mendeteksi upaya akses brute force, tetapi login gagal, hapus alamat IP yang teridentifikasi dari jaringan yang diizinkan untuk mencegah upaya login di masa mendatang dari IP ini. Untuk melakukannya, gunakan rentang IP yang sempit di jaringan yang diizinkan untuk instance Anda, atau hapus alamat IP dari daftar jaringan yang diizinkan.
- Jika Cloud SQL mendeteksi upaya akses brute force dan login berhasil dari alamat IP dan nama pengguna yang teridentifikasi, maka ubah sandi untuk akun pengguna dan hapus IP dari daftar jaringan yang diizinkan Anda.
Selain itu, Anda juga dapat menggunakan Proxy Auth atau konektor bahasa Cloud SQL untuk terhubung ke instance Anda, bukan jaringan yang diizinkan. Proxy Auth dan Konektor Bahasa Cloud SQL menggunakan autentikasi Identity and Access Management untuk mengelola koneksi ke instance Anda, yang memberikan koneksi yang lebih aman dan tidak mengharuskan Anda menambahkan alamat IP tertentu ke daftar jaringan yang diizinkan instance Anda.
Untuk melindungi instance Cloud SQL lebih lanjut, gunakan IP pribadi, bukan IP publik, dan gunakan autentikasi database berbasis IAM bukan autentikasi berbasis nama pengguna dan sandi.
Memantau upaya akses brute force
Untuk memantau upaya akses brute force, Cloud SQL menghitung
jumlah kemunculan setiap jenis peristiwa koneksi ke instance Anda menggunakan
metrik /database/network/connection_attempt_count. Metrik ini menggunakan
kolom berikut untuk menentukan apakah koneksi merupakan upaya akses brute force:
login_status: melacak apakah koneksi menyebabkan login berhasil.anomaly_detected: melacak apakah koneksi merupakan upaya akses brute force berdasarkan apakah koneksi melampaui batas upaya login yang ditetapkan oleh Cloud SQL.anomalous_connection_throttled: melacak apakah koneksi upaya akses brute force dibatasi.
Anda dapat memantau metrik ini untuk mengidentifikasi jumlah setiap jenis peristiwa koneksi. Tabel berikut menunjukkan peristiwa koneksi yang dilacak oleh metrik dan nilai kolom yang sesuai:
| Acara | Deskripsi |
|---|---|
| Login berhasil | Login yang berhasil ke instance Anda tanpa terdeteksi upaya akses brute-force. Nilai kolom yang dilacak: login_status: succeeded
anomaly_detected: none
anomalous_connection_throttled: false
|
| Login gagal | Login yang gagal ke instance Anda tanpa upaya akses brute force
terdeteksi. Nilai kolom yang dilacak: login_status: failed
anomaly_detected: none
anomalous_connection_throttled: false
|
| Upaya login brute force terdeteksi (tidak dibatasi) | Upaya login yang gagal yang diidentifikasi sebagai upaya akses brute force karena melebihi batas upaya login yang ditetapkan oleh Cloud SQL. Koneksi tidak dibatasi. Nilai kolom yang dilacak: login_status: failed
anomaly_detected: brute-force login
anomalous_connection_throttled: false
|
| Upaya login brute force terdeteksi dan dibatasi | Upaya login yang gagal yang diidentifikasi sebagai upaya akses brute force karena melebihi batas upaya login yang ditetapkan oleh Cloud SQL dan dibatasi untuk mencegah login.
Nilai kolom yang dilacak: login_status: failed
anomaly_detected: brute-force login
anomalous_connection_throttled: true
|
| Login berhasil setelah upaya akses brute force terdeteksi (tidak dibatasi) | Login yang berhasil ke instance Anda setelah koneksi diidentifikasi
sebagai upaya akses brute force. Koneksi tidak dibatasi.
Nilai kolom yang dilacak: login_status: succeeded
anomaly_detected: brute-force login
anomalous_connection_throttled: false
|
| Login berhasil setelah upaya akses brute force terdeteksi dan dibatasi | Login yang berhasil ke instance Anda setelah koneksi diidentifikasi
sebagai upaya akses brute force dan dibatasi.
Nilai kolom yang dilacak: login_status: succeeded
anomaly_detected: brute-force login
anomalous_connection_throttled: true
|
Batasan
- Perlindungan serangan brute force memerlukan versi pemeliharaan minimum
MYSQL_$version.R20250531.01_23. Untuk mengetahui informasi selengkapnya, lihat Melakukan pemeliharaan mandiri. - Perlindungan serangan brute force hanya tersedia untuk MySQL versi 5.7 dan yang lebih baru.