Este documento apresenta alguns exemplos de utilização comuns para a proteção adaptativa do Google Cloud Armor.
Deteção e proteção contra ataques DDoS de camada 7
O exemplo de utilização mais comum da proteção adaptativa é a deteção e a resposta a ataques DDoS de camada 7, como inundações de HTTP GET, inundações de HTTP POST ou outras atividades HTTP de alta frequência. Os ataques DDoS de camada 7 começam frequentemente de forma relativamente lenta e aumentam de intensidade ao longo do tempo. Quando os humanos ou os mecanismos de deteção de picos automáticos detetam um ataque, é provável que este seja de alta intensidade e já esteja a ter um forte impacto negativo na aplicação. É fundamental referir que, embora seja possível observar o aumento repentino do tráfego de forma agregada, é muito mais difícil diferenciar, em tempo real, os pedidos individuais como maliciosos ou não, porque aparecem como pedidos normais e totalmente formados. Da mesma forma, uma vez que as origens do ataque estão distribuídas entre botnets ou outros grupos de clientes maliciosos que variam em tamanho de milhares a milhões, torna-se cada vez mais difícil mitigar um ataque em curso identificando e bloqueando sistematicamente clientes inadequados com base apenas no IP. No caso de DDoS, o resultado é que o ataque é bem-sucedido em tornar o serviço alvo indisponível para alguns ou todos os utilizadores normais.
Para detetar e responder rapidamente a ataques DDoS de camada 7, o proprietário do projeto ou da política de segurança pode ativar a proteção adaptativa com base em cada política de segurança no respetivo projeto. Após, pelo menos, uma hora de preparação e observação dos padrões de tráfego normais, a proteção adaptável está pronta para detetar de forma rápida e precisa um ataque no início do respetivo ciclo de vida e sugerir regras de WAF para bloquear o ataque em curso, sem afetar os utilizadores normais.
As notificações de potenciais ataques e a assinatura identificada do tráfego suspeito são enviadas para o Registo, onde a mensagem de registo pode acionar uma política de alertas personalizada, ser analisada e armazenada, ou ser enviada para uma solução de gestão de eventos e informações de segurança (SIEM) ou de gestão de registos a jusante. Consulte a documentação de registo para mais informações sobre como integrar a gestão de registos ou o SIEM a jusante.
Deteção e resposta a assinaturas de ataques
É fundamental não só detetar e alertar sobre potenciais ataques antecipadamente, mas também poder agir em função desse alerta e responder a tempo de mitigar os ataques. Os responsáveis pela resposta a incidentes de uma empresa têm de dedicar minutos e horas importantes à investigação, analisando frequentemente os registos e os sistemas de monitorização para reunir informações suficientes para desenvolver uma resposta a um ataque em curso. Em seguida, antes de implementar a mitigação, esse plano tem de ser validado para garantir que não tem um impacto não intencional ou negativo nas cargas de trabalho de produção.
Com a proteção adaptativa, os responsáveis pela resposta a incidentes têm tudo o que precisam para analisar e responder rapidamente a um ataque DDoS de camada 7 em curso no momento em que recebem o alerta. O alerta de proteção adaptativa inclui a assinatura do tráfego determinado como participante no potencial ataque. O conteúdo da assinatura inclui metadados sobre o tráfego recebido, incluindo o conjunto de cabeçalhos de pedidos HTTP maliciosos, geografias de origem, etc. O alerta também inclui uma regra que corresponde à assinatura do ataque que pode ser aplicada no Cloud Armor para bloquear imediatamente o tráfego malicioso.
O evento de proteção adaptativa fornece uma classificação de confiança e uma taxa de base afetada projetada associada à regra sugerida para ajudar na validação. Cada componente da assinatura também tem medidas para a probabilidade de ataque e a proporção de ataque para permitir que os responsáveis pela resposta a incidentes ajustem e restrinjam ou alarguem o âmbito da resposta.
Personalizar o modelo e comunicar erros de eventos
Os modelos de deteção de ataques da proteção adaptativa são preparados num conjunto de dados produzido artificialmente para apresentar as caraterísticas do tráfego bom e malicioso. Como resultado, é possível que a Proteção adaptativa identifique um potencial ataque que, após uma investigação adicional, o responsável pela resposta a incidentes ou o proprietário da aplicação determine que não se tratava de um ataque. A proteção adaptável consegue aprender com o contexto e os padrões de tráfego únicos de cada aplicação protegida.
Pode denunciar alertas individuais como falsos positivos para ajudar ainda mais a proteção adaptativa a formar e personalizar os modelos de deteção. Com relatórios de falsos positivos, os modelos de proteção adaptável têm menor probabilidade de emitir alertas sobre tráfego com características e atributos semelhantes no futuro. Ao longo do tempo, os modelos de deteção da proteção adaptativa vão estar mais sintonizados com as características específicas do tráfego em cada política de segurança protegida. Os passos para comunicar eventos falsos positivos foram descritos no artigo Monitorização, feedback e comunicação de erros de eventos.