Google Cloud Armor 自動調整式防護機制會自動偵測第 7 層 (L7) 分散式阻斷服務 (DDoS) 攻擊和濫用流量模式。本文說明自動調整式防護機制的常見用途,包括使用機器學習技術及早偵測、套用建議的網頁應用程式防火牆 (WAF) 規則來降低風險,以及自訂模型。瞭解這些用途有助於確保服務可用性,並盡量減少手動事件應變作業。
偵測及防護第 7 層 DDoS 攻擊
Adaptive Protection 最常見的用途是偵測及因應 L7 DDoS 攻擊,例如 HTTP GET 洪水攻擊、HTTP POST 洪水攻擊,或其他高頻率的 HTTP 活動。L7 DDoS 攻擊通常一開始強度較低,但會隨著時間增強。等到人類或自動尖峰偵測機制偵測到攻擊時,攻擊強度可能已經很高,且對應用程式造成嚴重負面影響。此外,雖然可以觀察到流量尖峰,但要即時區分個別要求是否為惡意,則困難得多,因為這些要求看起來是正常且完整的。同樣地,由於攻擊來源分散在殭屍網路或其他惡意用戶端群組中,大小從數千到數百萬不等,因此要根據 IP 系統性地識別及封鎖不良用戶端,以減輕持續進行的攻擊,就變得越來越困難。在 DDoS 攻擊的情況下,攻擊會成功導致目標服務無法供部分或所有一般使用者使用。
如要快速偵測及因應 L7 DDoS 攻擊,專案或安全政策擁有者可以在專案中,針對每項安全政策啟用 Adaptive Protection 防護功能。經過至少一小時的訓練並觀察正常流量模式後,Adaptive Protection 就能在攻擊生命週期的早期階段,快速且準確地偵測到攻擊,並建議 WAF 規則來封鎖持續進行的攻擊,同時不影響正常使用者。
系統會將潛在攻擊的通知和可疑流量的識別簽章傳送至 Logging,記錄訊息可觸發自訂快訊政策、進行分析和儲存,或傳送至下游安全資訊與事件管理 (SIEM) 或記錄管理解決方案。如要進一步瞭解如何整合下游 SIEM 或記錄管理系統,請參閱 Logging 說明文件。
偵測及回應攻擊簽章
及早偵測潛在攻擊並發出警報至關重要,但更重要的是,要能根據警報採取行動,及時回應並減輕攻擊造成的影響。企業的事件應變人員必須花費寶貴的時間調查,經常分析記錄和監控系統,以收集足夠的資訊來制定應對持續攻擊的措施。接下來,在部署緩解措施之前,必須先驗證該計畫,確保不會對生產工作負載造成非預期的負面影響。
有了自動調整式防護機制,事件應變人員在收到警示時,就能立即分析及回應持續進行的第 7 層 DDoS 攻擊。自我調適防護警示會包含判定為參與潛在攻擊的流量簽章。簽章內容會包含傳入流量的中繼資料,包括惡意 HTTP 要求標頭集、用戶端地理位置等。這項快訊也會包含與攻擊簽章相符的規則,可在 Google Cloud Armor 中套用,立即封鎖惡意流量。
「自我調整式防護」事件會提供信心分數,以及與建議規則相關聯的預估受影響基準率,協助您進行驗證。簽章的每個元件也都有攻擊可能性和攻擊比例的指標,方便事件應變人員微調及縮小或擴大應變範圍。
自訂模型及回報事件錯誤
Adaptive Protection 攻擊偵測模型會根據人工產生的資料集進行訓練,這些資料集會呈現良好和惡意流量的特徵。因此,Adaptive Protection 可能會識別出潛在攻擊,但經過進一步調查後,事件回應人員或應用程式擁有者會判斷這並非攻擊。Adaptive Protection 能夠從每個受保護應用程式的獨特情境和流量模式中學習。
您可以將個別快訊回報為偽陽性,進一步協助 Adaptive Protection 訓練及自訂偵測模型。如果系統收到誤判回報,日後就不太可能對具有類似特徵和屬性的流量發出警報。隨著時間推移,Adaptive Protection 偵測模型會更瞭解各受保護安全性政策的流量特徵,如要回報誤判事件,請參閱「監控、意見回饋和回報事件錯誤」一文中的步驟。