Protección de DSD en Edge

Estás viendo la documentación de Apigee Edge.
Ve a la documentación de Apigee X. info

Los ataques de denegación de servicio distribuido (DDoS) son cada vez más grandes y comunes. Los ataques recientes registraron niveles récord de tráfico y las predicciones indican que la situación seguirá empeorando. El gran tamaño de estos ataques hizo que todos reevaluaran sus defensas. Con el uso de dispositivos de la IoT vulnerados, los ataques DDoS ahora son mucho más grandes que antes.

El objetivo de las defensas contra DDoS de Apigee es proteger las APIs de los clientes en el centro de datos de cada cliente. Apigee Edge Cloud está diseñado para aceptar grandes volúmenes de tráfico y ser el filtro que mantiene las solicitudes reales fluyendo hacia el centro de datos de un cliente y sus interfaces de API, al mismo tiempo que descarta el tráfico malicioso, detecta los aumentos repentinos, administra el límite de frecuencia y mantiene a nuestros clientes en línea durante el ataque.

Apigee puede detectar aumentos repentinos en el volumen de tráfico, pero no podemos determinar si ese aumento es un ataque, una campaña exitosa o una nueva aplicación lanzada a los usuarios finales. Apigee no revisa de forma activa el contenido de las llamadas a la API para determinar cuáles son legítimas y cuáles son ataques. Es posible ver las llamadas a la API, pero hacerlo no forma parte de las operaciones normales de Apigee. No revisamos las cargas útiles de los clientes, ya que eso sería una invasión de la privacidad para la mayoría del tráfico, los clientes y los usuarios finales. Apigee no sabe si un aumento repentino en particular el martes por la tarde se debe a un ataque o a una adopción repentina y exitosa de la app y los servicios de los clientes. Apigee puede ver el aumento repentino, pero sin detalles y contexto adicionales que son obvios para los clientes, pero que no están disponibles para Apigee, no sabríamos cómo responder. El peor de los casos sería que Apigee bloqueara un ataque solo para descubrir que se trataba de un gran éxito de marketing que Apigee acababa de eliminar bloqueando la app durante su período activo.

¿Cómo se aborda la defensa contra DSD en Apigee?

Apigee Edge es una herramienta de la caja de herramientas de seguridad. La herramienta está disponible para que el cliente la configure según sea necesario para bloquear el tráfico malicioso, limitar el tráfico válido pero excesivo o procesar cargas más rápido de lo que el backend del cliente puede responder y evitar que el centro de datos del cliente se sobrecargue. Apigee Edge proporciona capacidades que permiten a nuestros clientes crear políticas de seguridad muy específicas para defender los servicios de API reales detrás de Apigee. Edge es una capa defensiva que puede escalar según sea necesario para absorber grandes aumentos de tráfico (como un ataque DDoS) y, al mismo tiempo, limitar el impacto en el backend (centros de datos de los clientes).

Dado que Apigee no administra ni interroga la carga útil de cada llamada para cada cliente, el cliente es quien puede identificar un ataque. Sin embargo, la respuesta a un ataque debe coordinarse con el cliente y Apigee. Apigee incluso puede involucrar al proveedor de servicios en la nube (GCP o AWS) si es necesario.

Apigee, GCP y AWS no enviarán a un agujero negro el tráfico destinado a un cliente. Si Apigee determina que el tráfico es malicioso, nos comunicaremos con el cliente y le ofreceremos asistencia. Sin embargo, debido a la escala de Apigee Edge, el volumen simple de tráfico no es un activador para bloquear el tráfico.

Los clientes pueden usar Edge para crear políticas que protejan contra ataques (incluidos los de DSD). Estas políticas no se compilan de forma predeterminada. Eso implicaría que no hay nada único en las APIs, los datos o los servicios de cada cliente. Apigee no puede habilitar estas políticas sin la entrada del cliente. Eso significaría que Apigee está revisando los datos del cliente y tomando decisiones sobre lo que es válido y lo que no.

Edge es una herramienta que se puede usar para hacer lo que los clientes necesitan para defender sus APIs. Sin embargo, la defensa de la API requiere que el cliente realice algunos trabajos.

El objetivo es proteger los servicios de API de los clientes. Esa es una de las funciones y capacidades de Edge Cloud.

En realidad, se trata de bloquear diferentes tipos de tráfico DDoS lo más lejos posible de las APIs reales:

  • Bloquea los paquetes de red con el formato incorrecto en la red de Cloud
  • Absorber una gran cantidad de paquetes con el formato correcto, pero incompletos, en la capa de la plataforma de Edge
  • Elimina las llamadas a la API con el formato incorrecto en la capa de Edge
  • Bloquea llamadas con el formato correcto, pero no autorizadas en Edge
  • Bloquear llamadas excesivas, pero con el formato y la autorización adecuados en Edge
  • Usa Sense para detectar claves válidas con el formato correcto y solicitudes a la API válidas que estén fuera de tu acceso esperado o permitido.
  • Pasa solo las llamadas a la API válidas, autorizadas, aceptables y dentro de los límites aprobados al centro de datos del cliente.

Otras preguntas frecuentes

¿Apigee puede incluir en la lista de entidades rechazadas (ip|country|url)?

Sí, si la política se crea, configura y habilita en Edge dentro de la organización de Edge del cliente.

¿Apigee puede detectar bots o actividades maliciosas similares?

Apigee ofrece un servicio de detección de bots llamado Sense.

¿Apigee anulará el tráfico por mí?

Apigee no bloqueará el tráfico destinado a un cliente. Si Apigee puede determinar que el tráfico es malicioso, nos comunicaremos con el cliente y le ofreceremos asistencia. Sin embargo, debido a la escala de Apigee Edge y nuestros proveedores de servicios en la nube (GCP y AWS), el gran volumen de tráfico no es un activador para bloquear el tráfico.

¿Un ataque DoS o DDoS se registra como llamadas a la API procesadas en Edge?

Apigee Edge es una solución que ayuda a evitar el abuso de los sistemas de backend de los clientes. Por lo tanto, en caso de un ataque, Edge aplicará la cuota, la detención de picos, la protección contra amenazas, etc. para absorber el abuso en la capa de Apigee Cloud, según la configuración. Alguien que tenga una clave de API válida y que no supere el límite de cuota puede seguir accediendo a esa API. Cualquier llamada a la API que se procese en nuestra capa se registrará como una llamada procesada. Apigee Edge es una herramienta de la caja de herramientas de seguridad para la defensa de los clientes contra ataques DDoS y otros tipos de ataques.

Información detallada sobre la defensa contra DDoS

  1. GCP y AWS ofrecen asistencia contra DSD a nivel de la red cuando sea necesario (un ataque muy grande).
    • Apigee mantiene contactos de seguridad en GCP y AWS para derivaciones y respuestas si se necesita asistencia de GCP o AWS para responder a un ataque.
  2. Apigee Edge se puede usar para implementar políticas que protejan las APIs de los clientes de los ataques.
    • Límite de frecuencia.
    • SpikeArrest
    • Detección de ataques de carga útil de XML
    • Se pueden escribir otras políticas para defenderse de ataques específicos.
  3. Edge usa el escalamiento automático como una función en nuestra defensa.
  4. Apigee, el cliente (y GCP o AWS) deben trabajar juntos durante un ataque DDoS. Las comunicaciones abiertas son importantes, y Apigee tiene recursos de seguridad disponibles para nuestro equipo de asistencia al cliente en todo momento.

La primera respuesta a un ataque DDoS es usar Apigee Edge para ayudar a detenerlo: habilitar la detención de picos, el límite de frecuencia y hasta la lista de entidades rechazadas de direcciones IP de origen. Existen muchas herramientas disponibles en Edge para defenderse contra un ataque DDoS.

Si el ataque es de un volumen lo suficientemente grande, Apigee puede trabajar con el cliente para derivar el caso al proveedor de servicios en la nube adecuado para obtener "asistencia upstream". Dado que cada ataque DDoS es único, la respuesta se determinará durante el ataque. Sin embargo, las prácticas recomendadas y los detalles necesarios para ayudar en la derivación se documentan en Mitigación de ataques de denegación del servicio en AWS.

Recuerda que la clave es la siguiente:

Crea un plan para los ataques. No olvides que estamos juntos en esto. Los clientes que sospechen que están bajo ataque deben abrir un ticket y solicitar la asistencia de Apigee.

GCP

Apigee usa las defensas que proporciona GCP, como se indica en las prácticas recomendadas para la protección y mitigación de DDoS, como las siguientes:

  • Redes virtuales
  • Reglas de firewall
  • Balanceo de cargas

AWS

AWS publica sus prácticas recomendadas para la resiliencia contra DDoS y Cómo prepararse para los ataques DDoS reduciendo tu superficie de ataque. Apigee usa varios de estos que se aplican a nuestro entorno:

  • VPC
  • Grupos de seguridad
  • LCA
  • Route53
  • Balanceo de cargas