Google Cloud Armor Enterprise ti consente di utilizzare Cloud Logging e Cloud Monitoring per analizzare gli attacchi DDoS e le relative origini.
Google Cloud Armor rileva e mitiga automaticamente gli attacchi a livello di rete (livello 3) e a livello di trasporto (livello 4), eseguendo la mitigazione prima di applicare i criteri di sicurezza e valutando solo le richieste ben formate in base alle regole dei criteri di sicurezza. Pertanto, il traffico diminuito a causa della protezione DDoS sempre attiva non viene visualizzato nella telemetria per le norme di sicurezza o i backend.
Al contrario, le metriche di Cloud Logging e Cloud Monitoring per gli eventi di mitigazione DDoS fanno parte della visibilità degli attacchi DDoS, una funzionalità disponibile esclusivamente per gli abbonati a Google Cloud Armor Enterprise. Le sezioni seguenti spiegano come utilizzare Logging e Monitoring per analizzare gli attacchi DDoS e le relative origini. La visibilità degli attacchi DDoS è disponibile per i seguenti tipi di bilanciatori del carico:
- Bilanciatore del carico delle applicazioni esterno globale
- Bilanciatore del carico delle applicazioni classico
Se utilizzi il riferimento ai servizi tra progetti, puoi visualizzare solo la telemetria e la registrazione associate alla visibilità dell'attacco DDoS nel progetto host o di servizio che include il frontend e la mappa URL del bilanciatore del carico. Non puoi visualizzare la telemetria e la registrazione nel progetto di servizio che include i servizi di backend.
Per garantire il corretto logging e reporting, Cloud Armor richiede l'accesso ai seguenti log. Questi devono essere archiviati in Cloud Logging o indirizzati a un bucket di logging a cui Cloud Armor può accedere.
networksecurity.googleapis.com/dos_attacknetworksecurity.googleapis.com/network_dos_attacknetworksecurity.googleapis.com/network_dos_attack_mitigations
Log degli eventi di mitigazione degli attacchi di Cloud Logging
Cloud Armor genera tre tipi di voci di log degli eventi durante la mitigazione degli attacchi DDoS. I formati dei log includono analisi degli indirizzi IP di origine e delle aree geografiche, se possibile. Le sezioni seguenti forniscono esempi del formato del log per ogni tipo di log eventi:
Migrazione avviata
{
"id": "20220101_1235_mitigiation_1.2.3.4",
"mitigationType": "MITIGATION_STARTED",
"targetVip": "1.2.3.4",
"totalVolume": {
"pps": "1234000",
"bps": "9876000000"
},
"started": {
"totalAttackVolume": {
"pps": "1000000",
"bps": "9000000000"
},
"topSourceIp": [
{
"ipAddress": "1.2.3.4",
"volume": {
"pps": "10000",
"bps": "2000000"
}
},
{
"ipAddress": "2.3.4.5",
"volume": {
"pps": "5000",
"bps": "1000000"
}
}
],
"topSourceGeo": [
{
"geo": "US",
"volume": {
"pps": "100000",
"bps": "20000000"
}
}
]
}
}
Migrazione in corso
{
"id": "20220101_1235_mitigiation_1.2.3.4",
"mitigationType": "MITIGATION_ONGOING",
"targetVip": "1.2.3.4",
"totalVolume": {
"pps": "1234000",
"bps": "9876000000"
},
"ongoing": {
"totalAttackVolume": {
"pps": "1000000",
"bps": "9000000000"
},
"topSourceIp": [
{
"ipAddress": "1.2.3.4",
"volume": {
"pps": "10000",
"bps": "2000000"
}
},
{
"ipAddress": "2.3.4.5",
"volume": {
"pps": "5000",
"bps": "1000000"
}
}
],
"topSourceGeo": [
{
"geo": "US",
"volume": {
"pps": "100000",
"bps": "20000000"
}
}
]
}
}
Mitigazione terminata
{
"id": "20220101_1235_mitigiation_1.2.3.4",
"mitigationType": "MITIGATION_ENDED",
"targetVip": "1.2.3.4",
"totalVolume": {
"pps": "2314000",
"bps": "9768000000"
},
"ended": {
"attackDurationSeconds": 345
}
}
Nella console Google Cloud , vai alla pagina Esplora log e visualizza la risorsa
ProtectedEndpoint.
In alternativa, puoi visualizzare il nome del log network_dos_attack_mitigations.
Metriche di Cloud Monitoring
Le metriche di telemetria di mitigazione DDoS sono visibili nella risorsa
Endpoint di rete protetto (ProtectedEndpoint), esclusiva degli
indirizzi IP virtuali a livello di applicazione (livello 7) registrati in
Google Cloud Armor Enterprise. Le metriche disponibili sono le seguenti:
- Byte in entrata (
/dos/ingress_bytes) - Pacchetti in entrata (
/dos/ingress_packets)
Puoi raggruppare e filtrare le metriche precedenti in base alle seguenti etichette:
| Etichetta | Valore |
|---|---|
project_id |
L'ID del tuo progetto registrato in Cloud Armor Enterprise. |
location |
La posizione dell'endpoint protetto. |
vip |
L'indirizzo IP virtuale dell'endpoint protetto. |
drop_status |
Valori possibili:
|
Nella console Google Cloud , vai alla pagina Metrics Explorer.
Interpretazione delle metriche di telemetria per gli indirizzi IP virtuali con volumi di traffico ridotti
Per gli indirizzi IP virtuali (VIP) che ricevono meno di 100.000 pacchetti al secondo, ti consigliamo di utilizzare un intervallo di tempo più lungo per visualizzare le metriche in Cloud Monitoring. Ad esempio, se un VIP con un volume di traffico più elevato potrebbe utilizzare un
ALIGN_RATE di un minuto, noi consigliamo invece un ALIGN_RATE di 10 minuti.
L'utilizzo di una finestra temporale più lunga contribuisce a ridurre il volume di artefatti risultanti da
un rapporto segnale/rumore scarso.
Inoltre, alcuni componenti della velocità con cui Cloud Armor elimina il traffico (il tasso di eliminazione) vengono dedotti con mezzi statistici e potrebbero essere meno accurati per i VIP a basso traffico. Ciò significa che durante un attacco DDoS, il tasso di perdita segnalato da Cloud Monitoring potrebbe essere leggermente inferiore al tasso di perdita effettivo. Ciò riduce gli artefatti statistici che possono portare a una sovrastima del volume di traffico eliminato, in particolare per i VIP che ricevono un basso volume di traffico e non sono sotto attacco.