הגנה מפני ניסיונות פריצה היא תכונת אבטחה מובנית שמגנה על המכונות שלכם מפני ניסיונות גישה בכוח, על ידי מניעת גישה לא מורשית למשאבי Cloud SQL. ניסיונות גישה בכוח מתרחשים כשגורמים זדוניים מנסים באופן שיטתי שילובים שונים של שמות משתמשים וסיסמאות כדי לאוטומט ניסיונות כניסה חוזרים ולקבל גישה למסד הנתונים.
Cloud SQL מספק את האפשרויות הבאות להגנה על מסדי הנתונים מפני ניסיונות גישה בכוח:
זיהוי גישה בכוח: Cloud SQL עוקב באופן רציף אחרי ניסיונות כניסה שנכשלו לכל מופע, ומזהה את הכניסה הראשונה שהצליחה. אם מספר ניסיונות ההתחברות הרצופים חורג מהסף שמוגדר ב-Cloud SQL, Cloud SQL יוצר הודעת אזהרה ביומני המכונה. הודעת היומן הזו מזהה את ניסיון הגישה בכוח, כולל כתובת ה-IP ושם המשתמש שמשויכים לניסיון הגישה.
זיהוי גישה בכוח זמין בכל מהדורות Cloud SQL.
הגנה מפני ניסיונות גישה בכוח: כש-Cloud SQL מזהה ניסיון גישה בכוח, הוא מאט אוטומטית את ניסיונות הכניסה על ידי הוספת עיכוב לתגובה של הכניסה והגבלת הקצב שלה בזמן אמת. אם Cloud SQL מזהה חיבור כניסיון גישה בכוח ברוטלי, והחיבור הזה מוביל להתחברות מוצלחת, Cloud SQL מגביל את החיבור הזה ויוצר אירוע ביומן כדי לזהות את ההתחברות המוצלחת הזו. אירוע היומן הזה מזהה את ניסיון הגישה בכוח, לצד כתובת ה-IP ושם המשתמש שמשויכים אליו.
הגנה מפני גישה בכוח זמינה רק במהדורת Cloud SQL Enterprise Plus.
Cloud SQL מספק זיהוי של ניסיונות גישה בכוח וגם הגנה על המופעים שלכם, ועוזר לזהות את המקור של ניסיונות הגישה האלה ולצמצם את הסיכונים שנובעים מהם. כדאי להשתמש בכתובות ה-IP ובשמות המשתמשים שזוהו בניסיונות הגישה האלה בכוח כדי לאבטח את המופע ולהגן עליו מפני ניסיונות גישה בכוח בעתיד. כדי לזהות ניסיונות של מתקפת כוח בשרת, אפשר לעיין במאמר בנושא צפייה ביומנים של ניסיונות מתקפת כוח בשרת.
צפייה ביומנים של ניסיונות גישה בכוח
כש-Cloud SQL מזהה ניסיון גישה בכוח, הוא רושם אירוע ביומני המכונה, עם הטקסט an anomaly was found. ב-Cloud SQL מתועדים האירועים המפורטים הבאים:
| אירוע | תיאור |
|---|---|
| זיהוי של ניסיון גישה בכוח | ניסיון כניסה לחשבון user נכשל
מכתובת ה-IP IP. זוהתה אנומליה. היו ניסיונות כניסה חוזרים שנכשלו מכתובת ה-IP הזו. |
| הגבלת קצב אוטומטית כדי לצמצם ניסיונות גישה בכוח (רק ב-Enterprise Plus Edition) | ניסיון כניסה לחשבון user נכשל מכתובת ה-IP
IP. זוהתה אנומליה: ניסיונות כניסה חוזרים שנכשלו מכתובת ה-IP הזו. מערכת Cloud SQL הגבילה את התגובה כדי למנוע ניסיון פוטנציאלי של מתקפת כוח ברוטלי. |
| זיהוי של התחברות ראשונה מוצלחת אחרי ניסיונות התחברות חוזרים שנכשלו | זוהתה אנומליה: התחברות מוצלחת לחשבון user
מכתובת ה-IP IP אחרי ניסיונות התחברות חוזרים שנכשלו. מומלץ לשנות את סיסמת המשתמש אם הפעילות הזו לא צפויה. |
| הגבלת קצב אוטומטית של ההתחברות הראשונה אחרי ניסיונות התחברות חוזרים שנכשלו (מהדורת Enterprise Plus בלבד) | זוהתה אנומליה: התחברות מוצלחת לחשבון user מכתובת ה-IP IP אחרי ניסיונות התחברות חוזרים שנכשלו. מערכת Cloud SQL הגבילה את התגובה כדי למנוע ניסיון פוטנציאלי של מתקפת כוח ברוטלי. אם הפעילות הזו לא צפויה, צריך לשנות את הסיסמה של המשתמש. |
כדי לראות פרטים על ניסיונות הפריצה האלה,
מעיינים ביומנים של המופע ומחפשים את An anomaly was found בטקסט של כל יומן.
הגדרת מדיניות התראות שמבוססת על יומנים
אתם יכולים להגדיר מדיניות התראות שמבוססת על יומן כדי לקבל התראה כשמזוהה ניסיון גישה בכוח או כשניסיון כזה מוגבל במופעים של Cloud SQL. מידע נוסף על הגדרת ההתראה הזו מופיע במאמר הגדרת מדיניות התראות מבוססת-יומן באמצעות Logs Explorer.
לדוגמה, אפשר להשתמש בשאילתה הבאה במדיניות ההתראות כדי לזהות יומנים של ניסיונות גישה בכוח שבוצעו בהצלחה:
resource.type="cloudsql_database"
textPayload =~ "An anomaly was found, successful login into the account"
אבטחת המופע
אם מזוהים ניסיונות גישה בכוח, מומלץ לאבטח את המופע. כדי לראות ניסיונות פוטנציאליים לגישת כוח ברוטלי, אפשר לעיין במאמר צפייה ביומנים של ניסיונות גישה בכוח ברוטלי.
אם Cloud SQL מזהה ניסיון גישה בכוח למכונה שלכם, צריך לבצע את הפעולות הבאות:
- אם Cloud SQL מזהה ניסיון גישה בכוח, אבל הכניסה נכשלה, צריך להסיר את כתובות ה-IP שזוהו מהרשתות המורשות כדי למנוע ניסיונות כניסה עתידיים מכתובות ה-IP האלה. כדי לעשות זאת, משתמשים בטווחי IP מצומצמים ברשתות המורשות של המופע, או מסירים את כתובת ה-IP מרשימת הרשתות המורשות.
- אם Cloud SQL מזהה ניסיון גישה בכוח ומתקבלת כניסה מוצלחת מכתובת ה-IP ושם המשתמש שזוהו, צריך לשנות את הסיסמה של חשבון המשתמש ולהסיר את כתובת ה-IP מהרשימה של הרשתות המורשות.
בנוסף, אפשר גם להשתמש בשרת proxy ל-Auth או במחברי שפה של Cloud SQL כדי להתחבר למכונה במקום ברשתות מורשות. שרת ה-Proxy ל-Auth ומחברי השפה של Cloud SQL משתמשים באימות של ניהול זהויות והרשאות גישה (IAM) כדי לנהל את החיבורים למופע. כך מתקבל חיבור מאובטח יותר ולא צריך להוסיף כתובות IP ספציפיות לרשימת הרשתות המורשות של המופע.
כדי להגן על מכונות Cloud SQL, מומלץ להשתמש בכתובת IP פרטית במקום בכתובת IP ציבורית, ובאימות מסד נתונים מבוסס IAM במקום באימות מבוסס שם משתמש וסיסמה.
מעקב אחרי ניסיונות גישה בכוח
כדי לעקוב אחרי ניסיונות גישה בכוח, Cloud SQL סופר את מספר המקרים של כל סוג של אירוע חיבור למכונה באמצעות המדד /database/network/connection_attempt_count. המדד הזה משתמש בשדות הבאים כדי לקבוע אם החיבור הוא ניסיון גישה בכוח:
-
login_status: מעקב אחרי אם החיבור הוביל לכניסה מוצלחת. -
anomaly_detected: מעקב אחרי ניסיון גישה בכוח, על סמך חריגה של החיבור מסף ניסיונות הכניסה שהוגדר על ידי Cloud SQL. -
anomalous_connection_throttled: מעקב אחרי הגבלת קצב הבקשות של ניסיון גישה בכוח.
אתם יכולים לעקוב אחרי המדד הזה כדי לזהות את מספר האירועים של כל סוג של אירוע חיבור. בטבלה הבאה מוצגים אירועי החיבור שנמדדים על ידי המדד וערכי השדות התואמים:
| אירוע | תיאור |
|---|---|
| התבצעה כניסה | התבצעה כניסה מוצלחת למופע שלכם ולא זוהה ניסיון גישה בכוח. ערכי השדות שמתבצע אחריהם מעקב: login_status: succeeded
anomaly_detected: none
anomalous_connection_throttled: false
|
| ההתחברות נכשלה | ניסיון כניסה כושל למופע שלכם ללא זיהוי ניסיון גישה בכוח. ערכי השדות שמתבצע אחריהם מעקב: login_status: failed
anomaly_detected: none
anomalous_connection_throttled: false
|
| זוהה ניסיון התחברות בכוח (לא הוגבלה מהירות הניסיון) | ניסיון התחברות כושל שמזוהה כניסיון גישה בכוח כי הוא חורג מסף ניסיונות ההתחברות שהוגדר על ידי Cloud SQL. החיבור לא הוגבל. ערכי השדות שמתבצע אחריהם מעקב: login_status: failed
anomaly_detected: brute-force login
anomalous_connection_throttled: false
|
| זוהה ניסיון התחברות בכוח והוא הוגבל | ניסיון כניסה כושל שמזוהה כניסיון גישה בכוח כי הוא חורג מסף ניסיונות הכניסה שנקבע על ידי Cloud SQL, והוא מוגבל כדי למנוע כניסה.
ערכי השדות שמתבצע אחריהם מעקב: login_status: failed
anomaly_detected: brute-force login
anomalous_connection_throttled: true
|
| התבצעה כניסה אחרי שזוהה ניסיון גישה בכוח (לא הוגבלה) | התחברות מוצלחת למופע אחרי שהחיבור זוהה כניסיון גישה בכוח. החיבור לא הוגבל.
ערכי השדות שמתבצע אחריהם מעקב: login_status: succeeded
anomaly_detected: brute-force login
anomalous_connection_throttled: false
|
| התבצעה כניסה אחרי שזוהה ניסיון גישה בכוח והוא הוגבל | התחברות מוצלחת למופע אחרי שהחיבור זוהה כניסיון גישה בכוח והוגבלה הגישה אליו.
ערכי השדות שמתבצע אחריהם מעקב: login_status: succeeded
anomaly_detected: brute-force login
anomalous_connection_throttled: true
|
מגבלות
- כדי להשתמש בהגנה מפני התקפות ברוט פורס, נדרשת גרסת תחזוקה מינימלית של
POSTGRES_$version.R20250727.00_14. מידע נוסף מופיע במאמר בנושא ביצוע תחזוקה בשירות עצמי. - הגנה מפני התקפות ברוט פורס זמינה רק לניסיונות חיבור ישירים, ולא חלה על חיבורים באמצעות שרת proxy ל-Cloud SQL Auth או מחברי שפה ל-Cloud SQL. החיבורים האלה משתמשים בהרשאות IAM, שמספקות הגנה טובה יותר מאשר חיבורים שדורשים שם משתמש וסיסמה.