Google Cloud Armor Adaptive Protection 應用實例

本文說明 Google Cloud Armor Adaptive Protection 的幾種常見用途。

偵測及防護第 7 層 DDoS 攻擊

Adaptive Protection 最常見的用途是偵測及回應 L7 DDoS 攻擊，例如 HTTP GET 洪水攻擊、HTTP POST 洪水攻擊或其他高頻率 HTTP 活動。L7 DDoS 攻擊通常一開始相對緩慢，但強度會隨著時間增加。等到人為或自動尖峰偵測機制偵測到攻擊時，攻擊強度可能已很高，且已對應用程式造成嚴重負面影響。請注意，雖然可以觀察到流量總量暴增，但由於個別要求看起來正常且完整，因此很難即時判斷是否為惡意要求。同樣地，由於攻擊來源分散在機器人網路或其他惡意用戶端群組中，大小從數千到數百萬不等，因此光靠 IP 系統性地識別及封鎖不良用戶端，越來越難以減輕持續進行的攻擊。DDoS 攻擊成功後，目標服務會無法為部分或所有一般使用者提供服務。

如要快速偵測及回應第 7 層分散式阻斷服務攻擊，專案或安全性政策擁有者可以在專案中，針對個別安全性政策啟用自動調整式防護機制。經過至少一小時的訓練並觀察正常流量模式後，自動調節防護功能就能在攻擊生命週期的早期快速準確地偵測到攻擊，並建議 WAF 規則來封鎖持續進行的攻擊，同時不影響正常使用者。

系統會將潛在攻擊和可疑流量的已識別簽章通知傳送至 Logging，記錄訊息可觸發自訂快訊政策、進行分析和儲存，或傳送至下游安全資訊與事件管理 (SIEM) 或記錄管理解決方案。如要進一步瞭解如何整合下游 SIEM 或記錄管理系統，請參閱 Logging 說明文件。

偵測及回應攻擊特徵

因此，除了及早偵測潛在攻擊並發出警報，還必須能夠根據警報採取行動，及時應對並減輕攻擊影響。企業的事件應變人員必須花費寶貴的時間調查，經常分析記錄和監控系統，以收集足夠的資訊來應對持續進行的攻擊。接下來，在部署緩解措施前，必須先驗證該計畫，確保不會對實際工作負載造成非預期或負面影響。

有了自動調整式防護機制，事件應變人員在收到警示時，就能立即分析及回應持續進行的第 7 層分散式阻斷服務攻擊。自我調適防護快訊會包含判定為參與潛在攻擊的流量簽章。簽章內容會包含傳入流量的中繼資料，包括一組惡意 HTTP 要求標頭、來源地理位置等。這項快訊也會包含與攻擊簽章相符的規則，可在 Cloud Armor 中套用，立即封鎖惡意流量。

「Adaptive Protection」事件會提供建議規則的信賴分數和預估影響基準率，協助您進行驗證。簽章的每個元件也都有攻擊可能性和攻擊比例的指標，可供事件應變人員微調，以及縮小或擴大應變範圍。

自訂模型及回報事件錯誤

Adaptive Protection 攻擊偵測模型會以人工產生的資料集進行訓練，這些資料集會呈現良好和惡意流量的特徵。因此，Adaptive Protection 可能會識別出潛在攻擊，但經過進一步調查後，事件回應人員或應用程式擁有者會判斷這並非攻擊。自動防護功能會根據每個受保護應用程式的專屬背景脈絡和流量模式進行學習。

您可以將個別警示回報為誤判，進一步協助 Adaptive Protection 訓練及自訂偵測模型。如果出現誤報，Adaptive Protection 模型日後就不太可能對具有類似特徵和屬性的流量發出警報。隨著時間推移，Adaptive Protection 偵測模型會更瞭解各受保護安全性政策的流量特徵，如要回報誤判事件，請參閱「監控、意見回饋和回報事件錯誤」一文。

後續步驟

• 進一步瞭解 Google Cloud Armor 自動調整式防護機制。