Google Cloud Armor服务以机器学习防御第7层DDoS攻击

Google本周宣布网页防火墙（Web Application Firewall, WAF）暨DDoS缓解服务Cloud Armor将加入机器学习（machine learning）功能，强化对第7层DDoS攻击的防御力。

Cloud Armor新增的适应性防护（Adaptive Protection）结合Google资料中心为网络攻击而发展出的机器学习技术。Google表示，适应性防护使用多种机器学习模式来分析每项Web服务内的安全讯号，以侦测可能的Web攻击。

这项功能可侦测大规模的应用层，即第7层DDoS攻击。应用层DDoS攻击通常锁定动态网页如搜寻结果，或是Web应用的报告，以便耗光服务器资源。适应性防护功能的机器学习平日即从大量流量资料学习到各种因素、属性，了解何为“常态”，并在侦测到异常时发出警示。Google强调，不同于传统阀域值（threshold）为基础的侦测技术的告警信心水准太低，需要管理人员介入调查，适应性防护的警示信心水准更高，还能提供它判定的理由，借此加速攻击发生时的回应速度。

Cloud Armor适应性防护近期内将以公开预览版上线。

此外Google也宣布防火墙新管理服务Firewall Insights。这项服务中一项称为覆盖规则侦测（shadowed rule detection）的功能，可辨识出防火墙规则相互冲突时，一些较低优先性的规则遭高优先性者覆盖掉的漏洞，可协助侦测防火墙规则重复、传输埠或IP开启的问题，以强化安全管理。它的报表功能也可显示防火墙规则开启频率，包括时间点，确保有计划性地使用防火墙提供防护。

其他Google Cloud新增功能还包括阶层式防火墙政策（Hierarchical Firewall Policies）功能，可根据组织的安全管理层级来部署相应的防火墙规则到所有VM中。封包映射（Packet Mirroring）功能则允许企业将虚拟私有云（VPC）的网络流量映射到第三方网络监控服务，以便用第三方工具也能管理Google Kubernetes Engine (GKE)和Compute Engine上执行的应用及作业。

Firewall Insights、阶层式防火墙政策、封包映射新增功能，都会于近期内正式上线。