DDoS-Abwehr in Edge

Sie sehen sich die Dokumentation zu Apigee Edge an.
Sehen Sie sich die Apigee X-Dokumentation an. info

DDoS-Angriffe (Distributed Denial of Service) werden immer größer und häufiger. Bei den jüngsten Angriffen wurden Rekordzahlen an Zugriffen verzeichnet und es wird prognostiziert, dass es noch schlimmer wird. Aufgrund der schieren Größe dieser Angriffe haben alle ihre Abwehrmaßnahmen neu bewertet. Durch die Verwendung kompromittierter IoT-Geräte sind DDoS-Angriffe jetzt viel größer als bisher möglich.

Das Ziel der DDoS-Abwehr für Apigee besteht darin, die APIs der Kunden im Rechenzentrum jedes Kunden zu schützen. Apigee Edge Cloud wurde entwickelt, um große Mengen an Traffic zu verarbeiten und als Filter zu dienen, der dafür sorgt, dass echte Anfragen an ein Kundenrechenzentrum und seine API-Schnittstellen weitergeleitet werden, während gleichzeitig schädlicher Traffic blockiert, nach Spitzen geschaut, die Ratenbegrenzung verwaltet und unsere Kunden während des Angriffs online gehalten werden.

Apigee kann Spitzen beim Traffic-Volumen erkennen, aber nicht feststellen, ob es sich dabei um einen Angriff, eine erfolgreiche Kampagne oder eine neue Anwendung handelt, die für Endnutzer veröffentlicht wurde. Apigee prüft nicht aktiv die API-Aufrufe, um zu ermitteln, welche legitim sind und welche wahrscheinlich Angriffe sind. Es ist möglich, sich API-Aufrufe anzusehen, dies ist jedoch nicht Teil der normalen Abläufe in Apigee. Wir prüfen keine Nutzlasten von Kunden, da dies ein Datenschutzverstoß für den Großteil des Traffics, der Kunden und der Endnutzer wäre. Apigee weiß nicht, ob ein bestimmter Anstieg am Dienstagnachmittag auf einen Angriff oder auf eine plötzliche erfolgreiche Einführung der App und Dienste des Kunden zurückzuführen ist. Apigee kann den Anstieg sehen, aber ohne zusätzliche Details und Kontext, die für Kunden offensichtlich sind, aber für Apigee nicht verfügbar sind, können wir nicht reagieren. Im schlimmsten Fall blockiert Apigee einen Angriff, nur um festzustellen, dass es sich um einen großen Marketingerfolg handelt, den Apigee durch das Blockieren der App während der Hochphase beendet hat.

Wie geht Apigee bei der DDoS-Abwehr vor?

Apigee Edge ist ein Tool in der Sicherheits-Toolbox. Der Kunde kann das Tool nach Bedarf konfigurieren, um schädlichen Traffic zu blockieren, gültigen, aber übermäßigen Traffic einzuschränken oder Belastungen zu verarbeiten, die schneller auftreten, als das Backend des Kunden reagieren kann, und so ein Überlasten des Rechenzentrums des Kunden zu verhindern. Apigee Edge bietet Funktionen, mit denen unsere Kunden sehr spezifische Sicherheitsrichtlinien erstellen können, um die eigentlichen API-Dienste hinter Apigee zu schützen. Edge ist eine Verteidigungsschicht, die nach Bedarf skaliert werden kann, um große Trafficspitzen (z. B. bei einem DDoS-Angriff) zu absorbieren und gleichzeitig die Auswirkungen auf das Backend (Rechenzentren der Kunden) zu begrenzen.

Da Apigee die Nutzlast nicht für jeden Kunden verwaltet und abfragt, liegt die Möglichkeit, einen Angriff zu erkennen, beim Kunden. Die Reaktion auf einen Angriff sollte jedoch sowohl mit dem Kunden als auch mit Apigee abgestimmt werden. Bei Bedarf kann Apigee auch den Cloudanbieter (GCP oder AWS) hinzuziehen.

Apigee, GCP und AWS leiten keinen Traffic an einen Kunden weiter, der in ein Blackhole geleitet werden soll. Wenn Apigee feststellt, dass der Traffic schädlich ist, setzen wir uns mit dem Kunden in Verbindung und bieten ihm Unterstützung an. Aufgrund der Größe von Apigee Edge ist das Trafficvolumen jedoch kein Trigger für die Blockierung von Traffic.

Kunden können mit Edge Richtlinien zum Schutz vor Angriffen (einschließlich DDoS) erstellen. Diese Richtlinien sind nicht vorkonfiguriert. Das würde bedeuten, dass die APIs, Daten oder Dienste der einzelnen Kunden nicht einzigartig sind. Apigee kann diese Richtlinien nicht ohne Eingabe des Kunden aktivieren. Das würde bedeuten, dass Apigee die Daten des Kunden überprüft und entscheidet, was gültig ist und was nicht.

Edge ist ein Tool, das Kunden nutzen können, um ihre APIs zu schützen. Die API-Verteidigung erfordert jedoch einige Arbeit seitens des Kunden.

Ziel ist es, API-Dienste von Kunden zu schützen. Das ist eine der Funktionen und Möglichkeiten von Edge Cloud.

Es geht darum, verschiedene Arten von DDoS-Traffic so weit wie möglich von den eigentlichen APIs fernzuhalten:

  • Falsch formatierte Netzwerkpakete im Cloud-Netzwerk blockieren
  • Eine Flut von korrekt formatierten, aber unvollständigen Paketen auf der Edge-Plattformschicht absorbieren
  • Falsch formatierte API-Aufrufe in der Edge-Ebene ablehnen
  • Korrekt formatierte, aber nicht autorisierte Aufrufe in Edge blockieren
  • Korrekt formatierte und autorisierte, aber übermäßige Aufrufe in Edge blockieren
  • Mit Sense können Sie ordnungsgemäß formatierte, gültige Schlüssel und gültige API-Anfragen erkennen, die nicht dem erwarteten oder zulässigen Zugriff entsprechen.
  • Nur gültige, autorisierte, zulässige und innerhalb der zulässigen Limits liegende API-Aufrufe an das Rechenzentrum des Kunden weitergeben

Weitere häufig gestellte Fragen

Kann Apigee (IP|Land|URL) auf die Sperrliste setzen?

Ja, wenn die Richtlinie in Edge innerhalb der Edge-Organisation des Kunden erstellt, konfiguriert und aktiviert wird.

Kann Apigee Bots oder ähnliche schädliche Aktivitäten erkennen?

Apigee bietet einen Bot-Erkennungsdienst namens Sense.

Wird Apigee Traffic für mich in ein schwarzes Loch leiten?

Apigee leitet Traffic, der an einen Kunden gerichtet ist, nicht ins Leere. Wenn Apigee feststellen kann, dass der Traffic schädlich ist, setzen wir uns mit dem Kunden in Verbindung und bieten ihm Unterstützung an. Aufgrund der Größe von Apigee Edge und unserer Cloud-Anbieter (GCP und AWS) ist das reine Traffic-Volumen jedoch kein Grund, Traffic zu blockieren.

Wird ein DoS- oder DDoS-Angriff als verarbeiteter API-Aufruf in Edge gezählt?

Apigee Edge ist eine Lösung, die dazu beiträgt, Missbrauch von Kunden-Backend-Systemen zu verhindern. Im Falle eines Angriffs erzwingt Edge je nach Konfiguration ein Kontingent, einen Anstiegsschutz oder einen Schutz vor Bedrohungen, um den Missbrauch auf der Apigee Cloud-Ebene zu absorbieren. Nutzer mit einem gültigen API-Schlüssel, die das Kontingentlimit noch nicht erreicht haben, können weiterhin auf diese API zugreifen. Jeder API-Aufruf, der in unserer Schicht verarbeitet wird, wird als verarbeiteter Aufruf gezählt. Apigee Edge ist ein Tool in der Sicherheits-Toolbox, mit dem Kunden sich vor DDoS- und anderen Arten von Angriffen schützen können.

Detaillierte Informationen zum DDoS-Schutz

  1. GCP und AWS bieten bei Bedarf (bei sehr großen Angriffen) DDoS-Unterstützung auf Netzwerkebene.
    • Apigee pflegt Sicherheitskontakte bei GCP und AWS für Eskalationen und Reaktionen, wenn Unterstützung von GCP oder AWS zur Reaktion auf einen Angriff erforderlich ist.
  2. Apigee Edge kann zum Implementieren von Richtlinien verwendet werden, die Kunden-APIs vor Angriffen schützen.
    • Ratenbegrenzung.
    • Spike Arrests
    • Erkennung von XML-Nutzlastangriffen
    • Andere Richtlinien können zum Schutz vor bestimmten Angriffen geschrieben werden.
  3. Edge nutzt Autoscaling als eine Funktion zur Abwehr von Angriffen.
  4. Apigee, der Kunde (und GCP oder AWS) müssen während eines DDoS-Angriffs zusammenarbeiten. Offene Kommunikation ist wichtig. Apigee hat jederzeit Sicherheitsressourcen für unser Supportteam verfügbar.

Die erste Reaktion auf einen DDoS-Angriff besteht darin, Apigee Edge zu verwenden, um den Angriff zu bewältigen: Aktivieren Sie die Spike-Unterbrechung, die Ratenbegrenzung und sogar die Sperrliste für Quell-IP-Adressen. In Edge gibt es viele Tools, mit denen Sie sich vor einem DDoS-Angriff schützen können.

Wenn der Angriff ein ausreichend großes Volumen hat, kann Apigee mit dem Kunden zusammenarbeiten, um den Fall an den entsprechenden Cloud-Anbieter weiterzuleiten, um „Vorwärtshilfe“ zu erhalten. Da jeder DDoS-Angriff einzigartig ist, wird die Reaktion während des Angriffs festgelegt. Best Practices und Details, die bei der Eskalierung hilfreich sind, sind jedoch im Artikel Denial of Service-Angriffsbewältigung bei AWS dokumentiert.

Denken Sie daran, dass der Schlüssel:

Erstellen Sie einen Plan für Angriffe. Denk daran, wir sind alle in derselben Situation. Kunden, die vermuten, dass sie angegriffen werden, sollten ein Ticket erstellen und die Unterstützung von Apigee anfordern.

GCP

Apigee nutzt die von der GCP bereitgestellten Schutzmaßnahmen, wie in den Best Practices for DDoS Protection and Mitigation (Best Practices für DDoS-Schutz und -Begrenzung) beschrieben, z. B.:

  • Virtuelle Netzwerke
  • Firewallregeln
  • Load Balancing

AWS

AWS veröffentlicht die Best Practices für die DDoS-Resilienz und So bereiten Sie sich auf DDoS-Angriffe vor, indem Sie Ihre Angriffsfläche reduzieren. Apigee verwendet mehrere dieser Funktionen, die für unsere Umgebung relevant sind:

  • VPC
  • Sicherheitsgruppen
  • ACLs
  • Route53
  • Load Balancing