Security Command Center 是 Google Cloud的安全性和風險資料庫。Security Command Center 內含風險資訊主頁和分析系統,可顯示、瞭解及修正整個機構的安全性與資料風險。Google Cloud
Google Cloud Armor 會自動與 Security Command Center 整合,並將「允許的流量尖峰」和「拒絕率提高」這兩項發現項目匯出至 Security Command Center 資訊主頁。本指南將說明這些發現項目,以及如何解讀。
如果尚未在 Security Command Center 中啟用 Cloud Armor,請參閱「設定 Security Command Center」。只有在組織層級啟用 Security Command Center 的專案,才會在 Security Command Center 中顯示發現項目。
允許的流量暴增
允許的流量包含格式正確的 HTTP(S) 要求,這些要求在 Cloud Armor 安全性政策強制執行後,會傳送至後端服務。
「允許的流量暴增」發現項目會通知您每個後端服務允許的流量暴增。如果每秒允許的要求數突然增加,超過近期觀察到的正常量,系統就會產生發現項目。發現項目會提供構成尖峰的 RPS,以及近期記錄的 RPS。
用途:可能遭受第 7 層攻擊
分散式阻斷服務 (DDoS) 攻擊是指攻擊者傳送大量要求,導致目標服務過載。第 7 層 DDoS 攻擊流量通常會造成每秒要求數急遽增加。
「允許的流量尖峰」調查結果會找出 RPS 尖峰流量導向的後端服務,並提供導致 Cloud Armor 將其分類為 RPS 尖峰流量的流量特徵。請使用這項資訊判斷下列事項:
- 潛在的第 7 層 DDoS 攻擊是否正在進行中。
- 目標服務。
- 您可以採取哪些行動來防範潛在攻擊。
以下螢幕截圖顯示 Security Command Center 資訊主頁上的「允許的流量突然增加」發現項目範例。
Google Cloud 根據 Cloud Armor 歷來資訊計算 Long_Term_Allowed_RPS 和 Short_Term_Allowed_RPS 值。
拒絕率提高
「拒絕率提高」發現項目會通知您,Cloud Armor 封鎖的流量比例增加,這是因為安全性政策中含有使用者設定的規則。雖然拒絕是預期行為,且不會影響後端服務,但這項發現項目有助於提醒您,應用程式可能遭到不當或惡意流量攻擊。這項發現項目會提供遭拒流量的 RPS,以及傳入流量總計。
用途:減輕第 7 層攻擊
「拒絕率提高」調查結果可讓您瞭解成功緩解攻擊的影響,以及惡意用戶行為的重大變化。這項發現項目會指出遭拒絕的流量導向哪個後端,並提供導致 Cloud Armor 提出這項發現項目的流量特徵。您可以根據這項資訊評估是否需要詳細研究遭拒絕的流量,進一步強化緩解措施。
以下是 Security Command Center 資訊主頁上「拒絕率增加」發現項目的螢幕截圖範例。
Google Cloud 根據 Cloud Armor 歷來資訊計算 Long_Term_Denied_RPS 和 Long_Term_Incoming_RPS 值。
Google Cloud Armor Adaptive Protection
Adaptive Protection 會將遙測資料傳送至 Security Command Center。如要進一步瞭解自動調整式防護機制發現的結果,請參閱自動調整式防護機制總覽中的「監控、快訊和記錄」。
進階的網路分散式阻斷服務防護功能
進階網路 DDoS 防護功能會將遙測資料傳送至 Security Command Center。如要進一步瞭解進階網路 DDoS 防護發現項目,請參閱「Security Command Center 發現項目」。
流量恢復正常後
Security Command Center 發現項目是通知,指出系統在特定時間點觀察到特定行為。行為清除後,系統不會發送通知。
如果目前的流量特徵與現有特徵相比大幅增加,現有調查結果可能會更新。如果沒有後續調查結果,表示該行為已清除,或是在產生初始調查結果後,流量並未大幅增加 (允許或拒絕)。