Questa pagina descrive le funzionalità di rilevamento e protezione che Cloud SQL fornisce per proteggere le tue istanze da tentativi di accesso di tipo brute force che mirano a ottenere l'accesso non autorizzato e come proteggere la tua istanza da questi tentativi.
La protezione da attacchi di forza bruta è una funzionalità di sicurezza integrata che aiuta a proteggere le tue istanze da tentativi di accesso di forza bruta impedendo l'accesso non autorizzato alle tue risorse Cloud SQL. I tentativi di accesso con attacco di forza bruta si verificano quando malintenzionati provano sistematicamente diverse combinazioni di nome utente e password per automatizzare i tentativi di accesso ripetuti e ottenere l'accesso al tuo database.
Cloud SQL offre le seguenti opzioni per proteggere i database dai tentativi di accesso con attacco di forza bruta:
Rilevamento dell'accesso con attacco di forza bruta: Cloud SQL monitora continuamente i tentativi di accesso non riusciti per ogni istanza e rileva il primo accesso riuscito. Se il numero di tentativi di accesso consecutivi supera la soglia definita da Cloud SQL, Cloud SQL genera un messaggio di avviso nei log dell'istanza. Questo messaggio di log identifica il tentativo di accesso con attacco di tipo brute force, insieme all'indirizzo IP e al nome utente associati.
Il rilevamento dell'accesso di tipo brute force è disponibile per tutte le versioni di Cloud SQL.
Protezione dall'accesso con attacchi di tipo brute force: quando Cloud SQL rileva un tentativo di accesso con attacco di tipo brute force, rallenta automaticamente i tentativi di accesso aggiungendo un ritardo alla risposta di accesso e limitandola in tempo reale. Se Cloud SQL identifica una connessione come un tentativo di accesso brute force e questa connessione porta a un accesso riuscito, Cloud SQL la limita e genera un evento di log per identificare questo accesso riuscito. Questo evento di log identifica il tentativo di accesso brute force, insieme all'indirizzo IP e al nome utente associati.
La protezione dall'accesso con attacchi di tipo brute force è disponibile solo per la versione Cloud SQL Enterprise Plus.
Fornendo rilevamento e protezione dell'accesso di forza bruta per le tue istanze, Cloud SQL aiuta a identificare l'origine e a mitigare i rischi causati da questi tentativi di accesso di forza bruta. Utilizza gli indirizzi IP e i nomi utente identificati in questi tentativi di accesso di forza bruta per proteggere la tua istanza e proteggerla da futuri tentativi di accesso di forza bruta. Per identificare i tentativi di attacco di tipo brute force per la tua istanza, consulta Visualizzare i log per i tentativi di attacco di tipo brute force.
Visualizza i log per i tentativi di accesso con attacco di forza bruta
Quando Cloud SQL rileva un tentativo di accesso con attacco di tipo brute force, registra
un evento nei log dell'istanza,
con un testo che indica an anomaly was found. I log di Cloud SQL
registrano i seguenti eventi dettagliati:
| Evento | Descrizione |
|---|---|
| Rilevamento del tentativo di accesso con attacco di forza bruta | Tentativo di accesso non riuscito all'account user
dall'IP IP. È stata rilevata un'anomalia, tentativi di accesso non riusciti ripetuti
da questo IP. |
| Limitazione automatica per ridurre il tentativo di accesso con attacco di tipo brute force (solo Enterprise Plus Edition) | Tentativo di accesso non riuscito all'account user dall'IP
IP. È stata rilevata un'anomalia, tentativi di accesso non riusciti ripetuti
da questo IP. Cloud SQL ha limitato la risposta per mitigare un
potenziale tentativo di attacco di tipo brute force. |
| Rilevamento del primo accesso riuscito dopo ripetuti errori di accesso | È stata rilevata un'anomalia. Accesso riuscito all'account user
dall'IP IP dopo ripetuti tentativi di accesso non riusciti. Ti
consigliamo di cambiare la password dell'utente se questa attività è inattesa. |
| Limitazione automatica del primo accesso riuscito dopo ripetuti tentativi di accesso non riusciti (solo versione Enterprise Plus) | È stata rilevata un'anomalia, accesso riuscito all'account
user dall'IP IP dopo ripetuti tentativi di accesso
non riusciti. Cloud SQL ha limitato la risposta per mitigare un
potenziale tentativo di attacco di tipo brute force. Modifica la password
dell'utente se questa attività è imprevista. |
Per visualizzare i dettagli di questi tentativi di attacco di tipo brute force,
visualizza i log della tua istanza e cerca
An anomaly was found nel testo di ogni log.
Configura una policy di avviso basata su log
Puoi configurare un criterio di avviso basato su log per ricevere una notifica quando viene rilevato o limitato un tentativo di accesso di tipo brute force per le tue istanze Cloud SQL. Per ulteriori informazioni su come configurare questo avviso, vedi Configura la criterio di avviso basata su log utilizzando Esplora log.
Ad esempio, puoi utilizzare la seguente query nel criterio di avviso per identificare i log dei tentativi di accesso con attacco di tipo brute force riusciti:
resource.type="cloudsql_database"
textPayload =~ "An anomaly was found, successful login into the account"
Proteggi l'istanza
Cloud SQL consiglia di proteggere l'istanza se vengono rilevati tentativi di accesso brute force. Per visualizzare i potenziali tentativi di accesso brute force, consulta Visualizza i log per i tentativi di accesso brute force.
Se Cloud SQL identifica un tentativo di accesso con attacco di tipo brute force alla tua istanza, fai quanto segue:
- Se Cloud SQL rileva un tentativo di accesso di forza bruta, ma l'accesso non è riuscito, rimuovi gli indirizzi IP identificati dalle reti autorizzate per impedire futuri tentativi di accesso da questi IP. Per farlo, utilizza intervalli IP ristretti nelle reti autorizzate per la tua istanza oppure rimuovi l'indirizzo IP dall'elenco delle reti autorizzate.
- Se Cloud SQL rileva un tentativo di accesso con attacco di tipo brute force e un accesso riuscito è il risultato dell'indirizzo IP e del nome utente identificati, allora modifica la password dell'account utente e rimuovi l'IP dall'elenco delle reti autorizzate.
In alternativa, puoi utilizzare il proxy di autenticazione o i connettori dei linguaggi di Cloud SQL per connetterti all'istanza anziché alle reti autorizzate. Il proxy di autenticazione e i connettori dei linguaggi Cloud SQL utilizzano l'autenticazione Identity and Access Management per gestire le connessioni all'istanza, il che fornisce una connessione più sicura e non richiede l'aggiunta di indirizzi IP specifici all'elenco delle reti autorizzate dell'istanza.
Per proteggere ulteriormente le istanze Cloud SQL, utilizza l'IP privato anziché l'IP pubblico e utilizza l'autenticazione del database basata su IAM anziché l'autenticazione basata su nome utente e password.
Monitorare i tentativi di accesso con attacchi di tipo brute force
Per monitorare i tentativi di accesso con attacco di tipo brute force, Cloud SQL conteggia il numero di occorrenze di ogni tipo di evento di connessione all'istanza utilizzando la metrica /database/network/connection_attempt_count. Questa metrica utilizza
i seguenti campi per determinare se una connessione è un tentativo di accesso
brute force:
login_status: monitora se la connessione ha portato a un accesso riuscito.anomaly_detected: monitora se la connessione è un tentativo di accesso con attacco di tipo brute force in base al superamento o meno della soglia di tentativi di accesso impostata da Cloud SQL.anomalous_connection_throttled: monitora se la connessione del tentativo di accesso con attacco di tipo brute force è limitata.
Puoi monitorare questa metrica per identificare il conteggio di ogni tipo di evento di connessione. La tabella seguente mostra gli eventi di connessione monitorati dalla metrica e i relativi valori dei campi:
| Evento | Descrizione |
|---|---|
| Accesso riuscito | Un accesso riuscito all'istanza senza rilevare tentativi di accesso
brute force. Valori dei campi monitorati: login_status: succeeded
anomaly_detected: none
anomalous_connection_throttled: false
|
| Accesso non riuscito | È stato rilevato un tentativo di accesso non riuscito all'istanza senza accesso di tipo brute force. Valori dei campi monitorati: login_status: failed
anomaly_detected: none
anomalous_connection_throttled: false
|
| Tentativo di accesso con attacco di forza bruta rilevato (non limitato) | Un tentativo di accesso non riuscito identificato come tentativo di accesso
brute force perché supera la soglia di tentativi di accesso impostata da
Cloud SQL. La connessione non è stata limitata. Valori dei campi monitorati: login_status: failed
anomaly_detected: brute-force login
anomalous_connection_throttled: false
|
| Tentativo di accesso con attacco di forza bruta rilevato e limitato | Un tentativo di accesso non riuscito identificato come tentativo di accesso forzato
in quanto supera la soglia di tentativi di accesso impostata da
Cloud SQL e viene limitato per impedire l'accesso.
Valori dei campi monitorati: login_status: failed
anomaly_detected: brute-force login
anomalous_connection_throttled: true
|
| Accesso riuscito dopo il rilevamento di un tentativo di accesso con attacco di forza bruta (non limitato) | Un accesso riuscito all'istanza dopo che la connessione è stata identificata
come tentativo di accesso con attacco di tipo brute force. La connessione non è stata limitata.
Valori dei campi monitorati: login_status: succeeded
anomaly_detected: brute-force login
anomalous_connection_throttled: false
|
| Accesso riuscito dopo il rilevamento e la limitazione di un tentativo di accesso con attacco di forza bruta | Un accesso riuscito all'istanza dopo che la connessione è stata identificata
come tentativo di accesso con attacco di forza bruta e limitata.
Valori dei campi monitorati: login_status: succeeded
anomaly_detected: brute-force login
anomalous_connection_throttled: true
|
Limitazioni
- La protezione da attacchi di forza bruta richiede una versione di manutenzione minima di
MYSQL_$version.R20250531.01_23. Per saperne di più, consulta Esegui la manutenzione self-service. - La protezione da attacchi di tipo brute force è disponibile solo per MySQL versione 5.7 e successive.