DDoS-Abwehr in Edge

Sie sehen die Dokumentation zu Apigee Edge.
Zur Apigee X-Dokumentation
weitere Informationen

DDoS-Angriffe (Distributed Denial of Service) werden immer häufiger. In letzter Zeit wurden rekordverdächtige Traffic-Zahlen verzeichnet, die sich laut Prognose weiter verschlimmern werden. Die schiere Größe dieser Angriffe hat dazu geführt, dass jeder seine Verteidigung überdenken muss. Durch die Verwendung manipulierter IoT-Geräte sind DDoS-Angriffe jetzt viel größer als bisher möglich.

Das Ziel der DDoS-Abwehrmaßnahmen für Apigee ist der Schutz von Kunden-APIs in den Rechenzentren jedes Kunden. Apigee Edge Cloud ist so konzipiert, dass es große Trafficvolumen akzeptiert und der Filter ist, der dafür sorgt, dass echte Anfragen an ein Kundenrechenzentrum und dessen API-Schnittstellen fließen. Gleichzeitig wird bösartiger Traffic verworfen, Sie können auf Spitzen achten, die Ratenbegrenzung verwalten und unsere Kunden während des Angriffs online halten.

Apigee kann Spitzen im Traffic-Volumen erkennen, aber wir können nicht feststellen, ob es sich dabei um einen Angriff, eine erfolgreiche Kampagne oder eine neue Anwendung handelt, die für Endnutzer veröffentlicht wurde. Apigee prüft die API-Aufrufe nicht aktiv, um festzustellen, welche Aufrufe legitim sind und welche wahrscheinlich Angriffe sind. Sie können sich API-Aufrufe zwar ansehen, das gehört aber nicht zum normalen Betrieb von Apigee. Wir überprüfen keine Kundennutzlasten, da dies für den Großteil des Traffics, der Kunden und der Endnutzer zu einer Verletzung des Datenschutzes führen würde. Apigee weiß nicht, ob ein bestimmter Anstieg am Dienstagnachmittag auf einen Angriff oder eine plötzliche erfolgreiche Akzeptanz der App und der Dienste des Kunden zurückzuführen ist. Apigee kann den Anstieg sehen, aber ohne zusätzliche Details und Kontext, die für Kunden offensichtlich sind, aber Apigee nicht zur Verfügung steht, wissen wir nicht, wie wir darauf reagieren können. Ein Worst-Case-Szenario wäre, wenn Apigee einen Angriff blockieren und dann feststellen würde, dass es sich um einen bedeutenden Marketingerfolg handelt, den Apigee gerade durch die Blockierung der App während der heißen Phase getötet hatte.

Wie geht Apigee mit DDoS-Abwehr um?

Apigee Edge ist ein Tool in der Sicherheitstoolbox. Der Kunde kann das Tool nach Bedarf konfigurieren, um schädlichen Traffic zu blockieren, gültigen, aber übermäßigen Traffic einzuschränken oder Ladevorgänge schneller zu verarbeiten, als das Back-End des Kunden reagieren kann, und eine Überlastung des Rechenzentrums des Kunden verhindern. Apigee Edge bietet Funktionen, mit denen unsere Kunden sehr spezifische Sicherheitsrichtlinien erstellen können, um die API-Dienste hinter Apigee zu schützen. Edge ist eine Defensivschicht, die nach Bedarf skaliert werden kann, um große Trafficspitzen (z. B. einen DDoS-Angriff) zu absorbieren und gleichzeitig die Auswirkungen auf das Back-End (die Rechenzentren der Kunden) zu begrenzen.

Da Apigee nicht die Nutzlast jedes Aufrufs für jeden Kunden verwaltet und abfragt, bleibt die Fähigkeit, einen Angriff zu identifizieren, beim Kunden. Die Reaktion auf einen Angriff sollte jedoch sowohl mit dem Kunden als auch mit Apigee koordiniert werden. Apigee kann bei Bedarf sogar den Cloud-Anbieter (GCP oder AWS) einbeziehen.

Apigee, GCP und AWS verhindern, dass der für Kunden bestimmte Traffic beeinträchtigt wird. Wenn Apigee feststellt, dass der Traffic schädlich ist, kommunizieren wir mit dem Kunden und bieten Unterstützung an. Aufgrund der Größe von Apigee Edge ist das einfache Traffic-Volumen jedoch kein Auslöser zum Blockieren des Traffics.

Kunden können Edge verwenden, um Richtlinien zu erstellen, die vor Angriffen schützen (einschließlich DDoS). Diese Richtlinien sind nicht vorkonfiguriert. Das bedeutet, dass die APIs, Daten oder Dienste der einzelnen Kunden nichts Besonderes sind. Apigee kann diese Richtlinien nicht ohne Input des Kunden aktivieren. Das bedeutet, dass Apigee die Daten des Kunden überprüft und Entscheidungen darüber trifft, was gültig ist und was nicht.

Edge ist ein Tool, mit dem Kunden genau das tun können, was Kunden zum Schutz ihrer APIs benötigen. Der API-Schutz erfordert jedoch einiges an Arbeit des Kunden.

Ziel ist es, API-Dienste des Kunden zu schützen. Dies ist eines der Features und der Möglichkeiten von Edge Cloud.

Im Grunde geht es darum, verschiedene Arten von DDoS-Traffic so weit wie möglich von den tatsächlichen APIs zu blockieren:

  • Fehlerhafte Netzwerkpakete im Netzwerk der Cloud blockieren
  • Eine Flut von ordnungsgemäß gebildeten, aber unvollständigen Paketen auf der Edge-Plattform-Ebene absorbieren
  • Fehlerhafte API-Aufrufe auf der Edge-Ebene verwerfen
  • Korrekt geformte, aber nicht autorisierte Aufrufe in Edge blockieren
  • Richtig formatierte und autorisierte, aber übermäßig viele Anrufe in Edge blockieren
  • Verwende Sense, um ordnungsgemäß formatierte, gültige Schlüssel und gültige API-Anfragen zu erkennen, die außerhalb des erwarteten oder erlaubten Zugriffs liegen.
  • Leiten Sie nur die gültigen, autorisierten, zulässigen und zulässigen API-Aufrufe an das Kundenrechenzentrum weiter.

Weitere häufig gestellte Fragen

Kann Apigee eine Sperrliste für (ip|country|url) vornehmen?

Ja, wenn die Richtlinie in Edge in der Edge-Organisation des Kunden erstellt, konfiguriert und aktiviert wird.

Kann Apigee Bots und ähnliche schädliche Aktivitäten erkennen?

Apigee bietet einen Bot-Erkennungsdienst namens Sense.

Wird der Traffic durch Apigee für mich gesperrt?

Apigee wird den an einen Kunden gerichteten Traffic nicht blockieren. Wenn Apigee feststellt, dass der Traffic schädlich ist, kommunizieren wir mit dem Kunden und bieten Unterstützung an. Aufgrund der Größe von Apigee Edge und unserer Cloud-Anbieter (GCP und AWS) ist das schiere Traffic-Volumen jedoch kein Auslöser, den Traffic zu blockieren.

Zählt ein DoS- oder DDoS-Angriff als verarbeitete API-Aufrufe in Edge?

Apigee Edge ist eine Lösung, die dazu beiträgt, den Missbrauch von Back-End-Systemen von Kunden zu verhindern. Im Falle eines Angriffs erzwingt Edge also Kontingent/Spitzen Arrest/Bedrohungsschutz usw., um den Missbrauch auf der Apigee Cloud-Ebene basierend auf der Konfiguration zu absorbieren. Nutzer mit einem gültigen API-Schlüssel, der das Kontingentlimit noch nicht erreicht hat, kann weiterhin auf diese API zugreifen. Jeder API-Aufruf, der auf unserer Ebene verarbeitet wird, zählt als verarbeiteter Aufruf. Apigee Edge ist ein Sicherheitstool, das Kunden zum Schutz vor DDoS und anderen Angriffen dient.

Detaillierte DDoS-Abwehrinformationen

  1. GCP und AWS bieten bei Bedarf DDoS-Unterstützung auf Netzwerkebene an (ein sehr großer Angriff).
    • Apigee unterhält Sicherheitskontakte bei GCP und AWS für Eskalierungen und Reaktionen, wenn für die Reaktion auf einen Angriff Unterstützung von GCP oder AWS benötigt wird.
  2. Apigee Edge kann zum Implementieren von Richtlinien verwendet werden, die APIs von Kunden vor Angriffen schützen.
    • Ratenbegrenzung
    • Starke Verhaftungen.
    • Angriffserkennung für XML-Nutzlast.
    • Zum Schutz vor bestimmten Angriffen können weitere Richtlinien geschrieben werden.
  3. Edge nutzt Autoscaling als eine Funktion zu unserer Abwehr.
  4. Apigee und der Kunde (und GCP oder AWS) müssen bei einem DDoS-Angriff zusammenarbeiten. Offene Kommunikation ist wichtig. Außerdem stehen bei Apigee jederzeit Sicherheitsressourcen für unser Supportteam zur Verfügung.

Die erste Antwort auf einen DDoS-Angriff besteht darin, Apigee Edge zur Unterstützung des Angriffs zu verwenden. Dies ermöglicht den Spike Arrest, Ratenbegrenzung und sogar das Sperren von Quell-IP-Adressen auf die Sperrliste. In Edge sind viele Tools zum Schutz vor DDoS-Angriffen verfügbar.

Wenn der Angriff groß genug ist, kann Apigee gemeinsam mit dem Kunden eine Eskalation an den entsprechenden Cloud-Anbieter für vorgelagerte Unterstützung anfordern. Da jeder DDoS-Angriff einmalig ist, wird die Antwort während des Angriffs bestimmt. Best Practices und Details, die zur Unterstützung bei der Eskalation erforderlich sind, sind jedoch unter Denial of Service Attack Mitigation in AWS dokumentiert.

Der Schlüssel lautet:

Planen Sie Angriffe. Vergessen Sie nicht, dass wir das gemeinsam schaffen. Kunden, die vermuten, dass sie angegriffen werden, sollten ein Ticket eröffnen und die Unterstützung von Apigee anfordern.

Google Cloud

Apigee verwendet von der GCP bereitgestellte Schutzmaßnahmen, wie in den Best Practices für den Schutz und die Eindämmung von DDoS-Angriffen beschrieben. Beispiele:

  • Virtuelle Netzwerke
  • Firewallregeln
  • Load-Balancing

AWS

AWS veröffentlicht seine Best Practices für DDoS-Resilienz und die Anleitung zur Reduzierung der Angriffsfläche auf DDoS-Angriffe. Apigee verwendet mehrere dieser Funktionen, die für unsere Umgebung relevant sind:

  • VPC
  • Sicherheitsgruppen
  • ACLs
  • Route53
  • Load-Balancing