الحماية من هجمات تعطيل الخدمة في Edge

يتم الآن عرض مستندات Apigee Edge.
انتقِل إلى مستندات Apigee X. المعلومات

أصبحت هجمات الحرمان من الخدمات الموزعة (DDoS) أكبر حجمًا وأكثر شيوعًا. وشهدت الهجمات الأخيرة مستويات قياسية لعدد الزيارات، كما أن التوقّعات ستستمر في الازدياد سوءًا. أدى الحجم الهائل لهذه الهجمات إلى إعادة تقييم دفاعات الجميع. أصبحت هجمات الحرمان من الخدمات الموزعة الآن أكبر بكثير مما كان ممكنًا في السابق باستخدام أجهزة إنترنت الأشياء (IoT) المخترقة.

الهدف من دفاعات DDoS مع Apigee هو حماية واجهات برمجة التطبيقات للعميل في مركز بيانات كل عميل. تم تصميم Apigee Edge Cloud لقبول أعداد كبيرة من الزيارات لتكون الفلتر الذي يحافظ على تدفّق الطلبات الفعلية إلى مركز بيانات العملاء وواجهات برمجة التطبيقات الخاصة بهم، وفي الوقت نفسه تجاهل حركة المرور الضارة، ومراقبة الارتفاعات، وإدارة الحدّ من المعدّل، والحفاظ على اتصال العملاء بالإنترنت خلال الهجوم.

يمكن لخدمة Apigee اكتشاف الارتفاعات في عدد الزيارات، ولكن لا يمكننا تحديد ما إذا كان هذا الارتفاع هو هجوم، أو حملة ناجحة، أو تطبيقًا جديدًا تم طرحه للمستخدمين النهائيين. لا ينظر Apigee بشكل نشط في طلبات البيانات من واجهة برمجة التطبيقات لتحديد الطلبات المشروعة وتلك التي من المحتمل أن تكون هجمات. يمكنك النظر في طلبات البيانات من واجهة برمجة التطبيقات، إلا أنّ إجراء ذلك ليس جزءًا من عمليات Apigee العادية. لا نراجع حمولات العملاء، لأنّ ذلك يمثّل انتهاكًا للخصوصية لدى معظم الزيارات والعملاء والمستخدمين. لا يعرف Apigee ما إذا كان الارتفاع المفاجئ بشكل معين بعد ظهر الثلاثاء هو نتيجة لهجوم أو استخدام مفاجئ وناجح لتطبيق العملاء وخدماتهم. يمكن أن تلاحظ Apigee هذا الارتفاع، ولكن بدون تفاصيل وسياق إضافيَين يتضح للعملاء ولكنّها غير متوفرة لخدمة Apigee، لن نتمكّن من الاستجابة لذلك. والسيناريو الأسوأ هو إذا حظرت Apigee هجومًا فقط لتكتشف أنها حققت نجاحًا تسويقيًا كبيرًا أدت إلى قتله للتو من خلال حظر التطبيق خلال الفترة الحارة.

كيف تتعامل Apigee مع الدفاع ضد الحرمان من الخدمات الموزعة؟

Apigee Edge هي أداة في صندوق أدوات الأمان. يمكن للعميل ضبط الأداة حسب الحاجة لحظر حركة المرور الضارة أو الحدّ من عدد الزيارات الصالحة إلا إذا كانت زائدة عن الحد أو يتم تحميل العمليات بشكل أسرع مما يمكن أن تستجيب الواجهة الخلفية للعميل ومنع إرهاق مركز بيانات العميل. توفّر Apigee Edge إمكانيات تتيح لعملائنا إنشاء سياسات أمان محدّدة للغاية للدفاع عن خدمات واجهات برمجة التطبيقات الفعلية التي يستند إليها Apigee. وتُعدّ طبقة Edge عبارة عن طبقة دفاعية يمكن توسيعها حسب الحاجة لاستيعاب الزيادة الكبيرة في عدد الزيارات (مثل هجوم الحرمان من الخدمات الموزعة) مع الحد من تأثيرها على الخلفية (مراكز بيانات العملاء).

وبما أنّ Apigee لا تدير وتحقّق من حمولة كل مكالمة لكل عميل، فإن القدرة على تحديد الهجوم على العميل تقع على عاتق العميل. في المقابل، يجب تنسيق الاستجابة للهجوم مع كل من العميل وApigee. ويمكن أن تستعين Apigee أيضًا بمقدم خدمات السحابة الإلكترونية (GCP أو AWS) إذا لزم الأمر.

لن تؤدّي خدمات Apigee وGCP وAWS إلى إخفاء عدد الزيارات الموجّهة إلى العميل. وإذا رصدت Apigee أنّ حركة المرور ضارة، سنتواصل مع العميل ونعرض عنها المساعدة. ومع ذلك، ونظرًا لحجم Apigee Edge، فإنّ الحجم البسيط لحركة المرور لا يؤدي إلى حظر حركة المرور.

يمكن للعملاء استخدام Edge لإنشاء السياسات التي تحمي من الهجمات (بما في ذلك هجمات الحرمان من الخدمات الموزعة). ولا تكون هذه السياسات معدّة مسبقًا. وهذا يعني أنّه لا تتوفر معلومات فريدة حول واجهات برمجة التطبيقات أو البيانات أو الخدمات لكل عميل. لا يمكن لخدمة Apigee تفعيل هذه السياسات بدون الحصول على أي ملاحظات من العميل. وهذا يعني أنّ Apigee تراجع بيانات العميل وتتّخذ قرارات بشأن البيانات الصالحة وغير الصالحة.

يمكن استخدام Edge، وهي أداة يمكن استخدامها لتنفيذ المهام التي يحتاجها العملاء لحماية واجهات برمجة التطبيقات الخاصة بهم. لكن الدفاع عن واجهة برمجة التطبيقات يتطلب بعض العمل من قبل العميل.

والهدف من ذلك هو حماية خدمات واجهة برمجة التطبيقات للعملاء. وهذه إحدى ميزات وإمكانات Edge Cloud.

يتعلق الأمر بحظر أنواع مختلفة من حركة بيانات الحرمان من الخدمات الموزعة بعيدًا عن واجهات برمجة التطبيقات الفعلية قدر الإمكان:

  • حظر حزم الشبكة غير الصحيحة على شبكة السحابة
  • امتصاص تدفق فيضان من الحزم ذات تكوين سليمة ولكنها غير مكتملة في طبقة النظام الأساسي Edge
  • إفلات طلبات البيانات غير الصحيحة من واجهة برمجة التطبيقات في طبقة Edge
  • حظر المكالمات التي تم تكوينها بشكل صحيح ولكن غير مصرح بها داخل Edge
  • حظر المكالمات التي تم تكوينها بشكل صحيح ومرخَّصة باستخدامها ولكن بشكلٍ زائد مع Edge
  • استخدام Sense لرصد المفاتيح الصالحة التي تم تكوينها بشكل صحيح وطلبات البيانات من واجهة برمجة التطبيقات الصالحة خارج نطاق وصولك المتوقّع أو المسموح به
  • تمرير استدعاءات واجهة برمجة التطبيقات الصالحة والمرخَّصة والمقبولة، ضمن الحدود المسموح بها، إلى مركز بيانات العملاء

أسئلة شائعة أخرى

هل يمكن لخدمة Apigee إنشاء قائمة حظر لـ (ip|country|url)؟

نعم، إذا تم إنشاء السياسة وضبطها وتفعيلها في Edge ضمن مؤسسة العميل الخاصة بخدمة Edge.

هل يمكن لخدمة Apigee رصد برامج التتبُّع أو الأنشطة الضارة المماثلة؟

توفّر Apigee خدمة رصد برامج تتبُّع تُسمى Sense.

هل ستكون حركة المرور في Apigee مؤهِّلة بالنسبة إليّ؟

لن تراجع Apigee حركة المرور الموجّهة إلى العميل. إذا تمكّن Apigee من تحديد أن حركة المرور ضارة، سنتواصل مع العميل ونعرض المساعدة. ومع ذلك، ونظرًا لحجم Apigee Edge ومقدِّمي خدمات السحابة الإلكترونية (GCP وAWS)، لا يؤدي العدد الهائل من الزيارات إلى حظر الزيارات.

هل يتم احتساب هجمات الحرمان من الخدمات أو هجمات الحرمان من الخدمات الموزعة كطلبات بيانات تمت معالجتها من واجهة برمجة التطبيقات في برنامج Edge؟

Apigee Edge هو حلّ يساعد على منع إساءة استخدام الأنظمة الخلفية للعملاء. لذلك في حال حدوث هجوم، سيفرض متصفّح Edge الحماية من التهديدات المتعلّقة بالحصص أو إيقاف الإشعارات، أو تهديدات حماية البيانات، أو ما شابه من أجل استيعاب إساءة الاستخدام في طبقة Apigee Cloud، وذلك بناءً على الإعدادات. سيظل بإمكان أي مستخدم الوصول إلى واجهة برمجة التطبيقات هذه إذا كان يمتلك مفتاح واجهة برمجة تطبيقات صالحًا وكانت الحصة له أقل من الحد الأقصى للحصة. بالنسبة إلى أي طلب بيانات من واجهة برمجة التطبيقات تمت معالجته في طبقتنا، سيتم احتسابه على أنّه طلب تمت معالجته. Apigee Edge هي أداة في مجموعة أدوات الأمان مخصّصة للدفاع عن العملاء ضد الحرمان من الخدمات الموزعة وغيرها من أنواع الهجمات.

معلومات تفصيلية للدفاع عن الحرمان من الخدمات الموزعة

  1. يقدّم كل من GCP وAWS مساعدة DDoS على مستوى الشبكة عند الحاجة (وهو هجوم كبير جدًا).
    • تحتفظ Apigee بجهات اتصال متعلقة بالأمان في GCP وAWS لإجراء التصعيدات والاستجابة في حال الحاجة إلى مساعدة Google Cloud Platform أو AWS للاستجابة لهجوم.
  2. يمكن استخدام Apigee Edge لتنفيذ السياسات التي تحمي واجهات برمجة تطبيقات العميل من الهجوم.
    • تقييد المُعدَّل.
    • عمليات الاعتقال المفاجئة
    • رصد هجوم حمولة XML.
    • يمكن كتابة سياسات أخرى للحماية من هجمات معيّنة.
  3. يستخدم Edge التحجيم التلقائي كقدرة في الدفاع لدينا.
  4. تحتاج Apigee والعميل (وGCP أو AWS) إلى العمل معًا أثناء هجوم الحرمان من الخدمات الموزعة. وتمثل الاتصالات المفتوحة أهمية كبيرة، وتملك Apigee موارد أمان يتم استخدامها في مكالمات فريق الدعم في جميع الأوقات.

يتمثل الاستجابة الأولى لـ DDoS في استخدام Apigee Edge للمساعدة في الهجوم، وذلك من خلال تفعيل عمليات الإيقاف المفاجئ وفرض قيود على معدّل الزحف وحتى حظر عناوين IP المصدر. هناك العديد من الأدوات المتوفرة ضمن Edge للحماية من هجمات الحرمان من الخدمات الموزعة.

إذا كان الهجوم كبيرًا بما يكفي، يمكن لخدمة Apigee التعاون مع العميل لتصعيدها إلى مقدّم خدمات السحابة الإلكترونية المناسب من أجل "المساعدة في ما يتعلّق بالمبيعات". ونظرًا لأن كل هجوم الحرمان من الخدمات الموزعة فريد من نوعه، فسيتم تحديد الاستجابة أثناء الهجوم. ومع ذلك، يتم توثيق أفضل الممارسات والتفاصيل اللازمة للمساعدة في التصعيد في مقالة التخفيف من هجوم الحرمان من الخدمات على AWS.

تذكر أن المفتاح هو:

وضع خطة للهجمات لا تنس، نحن في هذا معًا. على العملاء الذين يشتبهون في تعرّضهم للهجوم فتح طلب دعم وطلب المساعدة من Apigee.

Google Cloud Platform

تستخدم Apigee وسائل الدفاع التي يوفرها Google Cloud Platform كما هو منصوص عليه في أفضل الممارسات للحماية من هجمات الحرمان من الخدمات وتخفيفها، مثل:

  • الشبكات الافتراضية
  • قواعد جدار الحماية
  • توزيع الحمل

AWS

تنشر AWS أفضل الممارسات حول مرونة الحرمان من الخدمات الموزعة وكيفية الاستعداد لهجمات الحرمان من الخدمات الموزعة عن طريق تقليل فرص الهجوم. وتستخدم Apigee العديد من هذه المتطلبات التي يمكن تطبيقها على بيئتنا:

  • سحابة VPC
  • مجموعات الأمان
  • قوائم ACL
  • Route53
  • توزيع الحمل