أنت تطّلع على مستندات Apigee Edge.
انتقِل إلى
مستندات Apigee X. info
أصبحت هجمات الحرمان من الخدمات الموزّعة (DDoS) أكبر حجمًا وأكثر شيوعًا. شهدت الهجمات الأخيرة مستويات قياسية من الزيارات، وتشير التوقّعات إلى أنّ الوضع سيزداد سوءًا. وقد أدّى حجم هذه الهجمات الهائل إلى إعادة تقييم الجميع لإجراءات الدفاع التي يتّخذونها. وباستخدام أجهزة إنترنت الأشياء المُخترَقة، أصبحت هجمات الحرمان من الخدمات الموزّعة الآن أكبر بكثير من السابق.
يتمثل هدف وسائل الدفاع ضد هجمات الحرمان من الخدمة الموزّعة في Apigee في حماية واجهات برمجة تطبيقات العملاء في كل مركز بيانات خاص بالعميل. تم تصميم Apigee Edge Cloud لقبول أعداد كبيرة من الزيارات وأن يكون الفلتر الذي يحافظ على تدفق الطلبات الفعلية إلى مركز بيانات العميل وواجهات برمجة التطبيقات الخاصة به، مع إيقاف الزيارات الضارّة في الوقت نفسه، وملاحظة الارتفاعات في عدد الزيارات، وإدارة الحدّ الأقصى للعدد، والحفاظ على عملاءنا على الإنترنت أثناء الهجوم.
يمكن لخدمة Apigee رصد الارتفاعات في عدد الزيارات، ولكن لا يمكننا تحديد ما إذا كان هذا الارتفاع ناتجًا عن هجوم أو حملة ناجحة أو تطبيق جديد تم إصداره للمستخدمين النهائيين. لا تبحث Apigee بشكل نشط داخل طلبات البيانات من واجهة برمجة التطبيقات لتحديد الطلبات الصالحة والطلبات التي يُحتمل أن تكون هجمات. من الممكن الاطّلاع على طلبات البيانات من واجهة برمجة التطبيقات، ولكنّ إجراء ذلك ليس جزءًا من عمليات Apigee المعتادة. لا نراجع حِزم بيانات العملاء، لأنّ ذلك يشكّل انتهاكًا للخصوصية لمعظم الزيارات والعملاء والمستخدمين النهائيين. لا تعرف شركة Apigee ما إذا كان الارتفاع المفاجئ في عدد الزيارات يوم الثلاثاء بعد الظهر ناتجًا عن هجوم أو استخدام مفاجئ ونجاح لتطبيق العملاء وخدماتهم. يمكن لخدمة Apigee رصد الارتفاع، ولكن بدون تفاصيل وسياق إضافيَين واضحَين للعملاء ولكنهما غير متوفّرَين لخدمة Apigee، لن نعرف كيفية الردّ. سيكون أسوأ سيناريو هو أن تحظر Apigee هجومًا ثم تكتشف أنّه كان نجاحًا تسويقيًا كبيرًا تم إحباطه من خلال حظر التطبيق خلال فترة ذروته.
كيف تتعامل Apigee مع دفاعات هجمات الحرمان من الخدمة الموزّعة؟
Apigee Edge هي أداة في مجموعة أدوات الأمان. تتوفّر الأداة للعميل ليقوم بضبطها حسب الحاجة لحظر الزيارات الضارّة أو الحدّ من الزيارات الصالحة ولكن الزائدة أو معالجة عمليات التحميل بشكل أسرع من قدرة الخلفية على الاستجابة ومنع ازدحام مركز بيانات العميل. توفّر Apigee Edge إمكانات تتيح لعملائنا إنشاء سياسات أمان محددة للغاية للدفاع عن خدمات واجهة برمجة التطبيقات الفعلية التي تستند إليها Apigee. Edge هي طبقة دفاعية يمكن توسيع نطاقها حسب الحاجة لاستيعاب الارتفاعات الكبيرة في عدد الزيارات (مثل هجوم الحرمان من الخدمة الموزّع) مع الحدّ من التأثير في الخلفية (مراكز بيانات العملاء).
بما أنّ Apigee لا تدير الحمولة لكل مكالمة لكل عميل ولا تفحصها، تقع على عاتق العميل مسؤولية تحديد أي هجوم. ولكن يجب تنسيق الاستجابة للهجوم مع كلّ من العميل وApigee. يمكن أن تشمل عملية التكامل أيضًا مقدّم خدمات السحابة الإلكترونية (Google Cloud Platform أو AWS) إذا لزم الأمر.
لن تؤدي Apigee وGoogle Cloud Platform وAWS إلى حظر حركة البيانات المقصودة للوصول إلى عميل. إذا تبيّن لخدمة Apigee أنّ الزيارات ضارة، سنتواصل مع العميل ونعرض عليه المساعدة. ومع ذلك، بسبب نطاق Apigee Edge، فإنّ حجم الزيارات البسيط ليس عاملاً يؤدي إلى حظر الزيارات.
يمكن للعملاء استخدام Edge لإنشاء سياسات توفّر الحماية من الهجمات (بما في ذلك هجمات الحرمان من الخدمات الموزّعة). ولا تكون هذه السياسات مُعدّة مسبقًا. وهذا يعني أنّه ما مِن شيء فريد في واجهات برمجة التطبيقات أو البيانات أو الخدمات الخاصة بكل عميل. لا يمكن لشركة Apigee تفعيل هذه السياسات بدون تلقي معلومات من العميل. وهذا يعني أنّ Apigee تراجع بيانات العميل وتتخذ قرارات بشأن ما هو صالح وما هو غير صالح.
Edge هي أداة يجب استخدامها، ويمكن استخدامها لتنفيذ الإجراءات التي يحتاجها العملاء لحماية واجهات برمجة التطبيقات الخاصة بهم. ولكن يتطلّب الدفاع عن واجهة برمجة التطبيقات بعض الجهد من العميل.
والهدف من ذلك هو حماية خدمات واجهة برمجة التطبيقات للعملاء. وهذه إحدى ميزات وإمكانات Edge Cloud.
في الواقع، الأمر يتعلق بحظر أنواع مختلفة من زيارات هجمات الحرمان من الخدمات الموزّعة بعيدًا عن واجهات برمجة التطبيقات الفعلية قدر الإمكان:
- حظر حزم الشبكة ذات التنسيق غير الصالح في شبكة Cloud
- استيعاب عدد كبير من الحِزم التي تم تنسيقها بشكل صحيح ولكنّها غير مكتملة في طبقة منصة Edge
- إسقاط طلبات البيانات من واجهة برمجة التطبيقات التي تتضمّن تنسيقًا غير صحيح في طبقة Edge
- حظر المكالمات التي تم إنشاؤها بشكل صحيح ولكن غير المصرّح بها ضمن Edge
- حظر المكالمات المُعدَّة بشكل صحيح والمفوَّضة ولكن الزائدة في Edge
- استخدِم Sense لرصد المفاتيح الصالحة والمُشكّلة بشكل صحيح، وطلبات واجهة برمجة التطبيقات الصالحة التي تتجاوز نطاق الوصول المتوقّع أو المسموح به.
- يجب عدم السماح إلا بطلبات البيانات من واجهة برمجة التطبيقات الصالحة والمُصرَّح بها والمقبولة وضمن الحدود الموافَق عليها إلى مركز بيانات العميل.
أسئلة شائعة أخرى
هل يمكن لخدمة Apigee إضافة (ip|country|url) إلى القائمة المحظورة؟
نعم، في حال إنشاء السياسة وضبطها وتفعيلها في Edge ضمن مؤسسة العميل في Edge.
هل يمكن لخدمة Apigee رصد برامج التتبُّع أو الأنشطة الضارة المشابهة؟
توفّر Apigee خدمة رصد برامج التتبُّع تُسمى Sense.
هل ستُنشئ Apigee ثقبًا أسودًا للزيارات؟
لن تُغلق Apigee حركة المرور المقصودة إلى عميل. إذا تمكّنت Apigee من تحديد أنّ الزيارات ضارة، سنتواصل مع العميل ونعرض عليه المساعدة. ومع ذلك، بسبب حجم Apigee Edge ومقدّمي خدمات السحابة الإلكترونية (Google Cloud Platform وAWS)، فإنّ حجم الزيارات الكبير ليس سببًا لحظر الزيارات.
هل تُحتسَب هجمات حجب الخدمة أو هجمات الحرمان من الخدمات الموزّعة كطلبات بيانات من واجهة برمجة التطبيقات تمت معالجتها في Edge؟
Apigee Edge هو حلّ يساعد في منع إساءة استخدام أنظمة الخلفية للعملاء. وبالتالي، في حال حدوث هجوم، سيفرض Edge حصة/إيقاف الزيادة المفاجئة/الحماية من التهديدات وما إلى ذلك للحد من إساءة الاستخدام في طبقة Apigee Cloud، استنادًا إلى الإعداد. سيظل بإمكان المستخدم الذي لديه مفتاح واجهة برمجة تطبيقات صالح وضمن الحد الأقصى للحصة مواصلة الوصول إلى واجهة برمجة التطبيقات هذه. وسيتم احتساب أي طلب بيانات من واجهة برمجة التطبيقات تتم معالجته في طبقتنا كطلب تمّت معالجته. Apigee Edge هي أداة في مجموعة أدوات الأمان لحماية العملاء من هجمات الحرمان من الخدمات الموزّعة وأنواع الهجمات الأخرى.
معلومات مفصّلة عن الدفاع ضد هجمات الحرمان من الخدمات الموزّعة
- توفّر Google Cloud Platform وAWS مساعدة بشأن هجمات الحرمان من الخدمات على مستوى الشبكة عند الحاجة (في حال حدوث هجوم كبير جدًا).
- تحافظ شركة Apigee على جهات اتصال الأمان في Google Cloud Platform وAWS لعمليات التصعيد والاستجابة إذا كانت هناك حاجة إلى مساعدة من Google Cloud Platform أو AWS للردّ على هجوم.
- يمكن استخدام Apigee Edge لتنفيذ السياسات التي تحمي واجهات برمجة تطبيقات العملاء من الهجمات.
- الحدّ من معدّل الاستخدام
- يتم اعتقال "سبايك".
- رصد هجمات حمولة XML
- يمكن كتابة سياسات أخرى للدفاع ضد هجمات معيّنة.
- يستخدم Edge ميزة "التحجيم التلقائي" كإحدى ميزات الدفاع.
- على Apigee والعميل (وGoogle Cloud Platform أو AWS) العمل معًا أثناء هجوم حجب الخدمة الموزّع. إنّ التواصل المفتوح مهم، وتوفر Apigee موارد أمان متاحة على مدار الساعة لفريق الدعم.
الردّ الأول على هجوم حجب الخدمة الموزّع هو استخدام Apigee Edge للمساعدة في معالجة الهجوم: تفعيل ميزة التوقّف عن تسجيل الزيارات المفاجئة والحد من معدّل الإرسال، وحتى إضافة عناوين IP للمصدر إلى القائمة المحظورة. تتوفّر العديد من الأدوات في Edge للدفاع ضد هجمات الحرمان من الخدمات الموزّعة.
إذا كانت كثافة الهجوم كبيرة بما يكفي، يمكن لشركة Apigee العمل مع العميل لتصعيد المشكلة إلى مقدّم خدمات السحابة الإلكترونية المناسب للحصول على "مساعدة من المصدر". بما أنّ كل هجوم من هجمات الحرمان من الخدمات الموزّعة فريد، سيتم تحديد الردّ أثناء الهجوم. ومع ذلك، تم توثيق أفضل الممارسات والتفاصيل اللازمة للمساعدة في escalation في مقالة Denial of Service Attack Mitigation on AWS.
يُرجى تذكُّر أنّ النقاط الأساسية هي:
وضع خطة للتعامل مع الهجمات يُرجى العِلم أنّنا نواجه جميعًا هذه المشكلة. على العملاء الذين يشتبهون أنّهم تعرّضوا لهجوم فتح طلب دعم وطلب مساعدة من Apigee.
Google Cloud Platform
تستخدم Apigee وسائل الدفاع التي تقدّمها Google Cloud Platform كما هو موضّح في أفضل الممارسات لحماية المواقع الإلكترونية من هجمات حجب الخدمة الموزّعة والحدّ من تأثيرها، مثل:
- الشبكات الافتراضية
- قواعد جدار الحماية
- موازنة الحمل
AWS
تنشر AWS أفضل الممارسات لتعزيز قدرة الاستجابة لهجمات حجب الخدمة الموزّعة وكيفية الاستعداد لهجمات حجب الخدمة الموزّعة من خلال تقليل مساحة الهجوم. تستخدم Apigee العديد من هذه الأدوات التي تنطبق على بيئتنا:
- VPC
- مجموعات الأمان
- قوائم ACL
- Route53
- موازنة الحمل