Protección de DSD en Edge

Estás consultando la documentación de Apigee Edge.
Consulta la documentación de Apigee X. Información

Los ataques de denegación de servicio distribuido (DDoS) son cada vez más comunes. En los ataques recientes, se experimentaron niveles de tráfico que establecieron récords y, según las predicciones, esto seguirá empeorando. La magnitud de estos ataques hizo que todos reevaluaran sus defensas. Gracias al uso de dispositivos de IoT comprometidos, los ataques de DDoS son más grandes que antes.

El objetivo de las defensas contra DDoS para Apigee es proteger las APIs de los clientes en el centro de datos de cada cliente. Apigee Edge Cloud está diseñado para aceptar grandes volúmenes de tráfico y ser el filtro que mantiene el flujo de solicitudes reales a un centro de datos del cliente y sus interfaces de API mientras descarta el tráfico malicioso, detecta aumentos repentinos, administra los límites de frecuencia y mantiene a nuestros clientes en línea durante el ataque.

Apigee puede detectar aumentos repentinos en el volumen de tráfico, pero no podemos determinar si se trata de un ataque, una campaña exitosa o una aplicación nueva lanzada para los usuarios finales. Apigee no analiza de forma activa las llamadas a la API para determinar cuáles son legítimas y cuáles son probablemente ataques. Es posible observar las llamadas a la API, pero hacerlo no forma parte de las operaciones normales de Apigee. No revisamos las cargas útiles de los clientes, ya que se produciría una invasión de la privacidad para la mayor parte del tráfico, los clientes y los usuarios finales. Apigee no sabe si un aumento repentino en particular un martes por la tarde se debe a un ataque o a una adopción exitosa y repentina de la app y los servicios del cliente. Apigee puede ver el aumento repentino, pero sin los detalles y el contexto adicionales que son obvios para los clientes, pero que no están disponibles para Apigee, no sabríamos cómo responder. El peor de los casos sería si Apigee bloqueara un ataque y descubriera que era un gran éxito de marketing que Apigee acaba de eliminar cuando bloqueaba la app durante su período caliente.

¿Cómo aborda Apigee la defensa contra DDoS?

Apigee Edge es una herramienta de seguridad. La herramienta está disponible para que el cliente la configure según sea necesario a fin de bloquear el tráfico malicioso, limitar el tráfico válido pero excesivo o procesar cargas más rápido de lo que el backend del cliente puede responder y evitar que su centro de datos se sobrecargue. Apigee Edge proporciona capacidades que permiten a nuestros clientes crear políticas de seguridad muy específicas para defender los servicios de API reales detrás de Apigee. Edge es una capa defensiva que puede escalar según sea necesario para absorber grandes aumentos de tráfico (como un ataque DSD) y limitar el impacto en el backend (centros de datos de los clientes).

Dado que Apigee no administra ni examina la carga útil de cada llamada para cada cliente, la capacidad de identificar un ataque depende del cliente. Sin embargo, la respuesta a un ataque debe coordinarse con el cliente y Apigee. Apigee puede incluso involucrar al proveedor de servicios en la nube (GCP o AWS) si es necesario.

Apigee, GCP y AWS no generarán tráfico agujero negro destinado a un cliente. Si Apigee determina que el tráfico es malicioso, nos comunicaremos con el cliente y le ofreceremos asistencia. Sin embargo, debido a la escala de Apigee Edge, el volumen simple de tráfico no es un activador para bloquear el tráfico.

Los clientes pueden usar Edge para crear políticas que protejan contra ataques (incluidos los DDoS). Estas políticas no vienen prediseñadas de inmediato. Eso implicaría que no hay nada único en lo que respecta a las APIs, los datos o los servicios de cada cliente. Apigee no puede habilitar estas políticas sin la entrada del cliente. Esto significa que Apigee revisa los datos del cliente y toma decisiones sobre lo que es válido y lo que no.

Edge es una herramienta que se puede usar con el fin de realizar las tareas que los clientes necesitan para defender sus APIs. Sin embargo, la defensa de las APIs requiere cierto trabajo del cliente.

El objetivo es proteger los servicios de API de los clientes. Esa es una de las características y capacidades de Edge Cloud.

En realidad, se trata de bloquear diferentes tipos de tráfico de DDoS lo más lejos posible de las APIs reales:

  • Bloquea los paquetes de red con errores de formato en la red de la nube
  • Absorber un flujo de paquetes formados correctamente pero incompletos en la capa de la plataforma perimetral
  • Descarta las llamadas a la API con errores de formato en la capa perimetral
  • Bloquea las llamadas con formato correcto, pero no autorizadas, en Edge
  • Bloquear llamadas formadas y autorizadas de manera correcta, pero excesivas dentro de Edge
  • Usa Sense para detectar claves válidas y formadas correctamente, y solicitudes a la API válidas que están fuera de tu acceso esperado o permitido.
  • Pasa solo las llamadas de API válidas, autorizadas, aceptables y dentro de los límites aprobados al centro de datos del cliente

Otras preguntas frecuentes

¿Apigee puede crear una lista de bloqueo de (ip|country|url)?

Sí, si la política se crea, configura y habilita en Edge dentro de la organización de Edge del cliente.

¿Apigee puede detectar bots o actividades maliciosas similares?

Apigee ofrece un servicio de detección de bots llamado Sense.

¿Me generará tráfico a un agujero negro de Apigee?

Apigee no generará tráfico agujero negro destinado a un cliente. Si Apigee puede determinar que el tráfico es malicioso, nos comunicaremos con el cliente y le ofreceremos asistencia. Sin embargo, debido a la escala de Apigee Edge y nuestros proveedores de servicios en la nube (GCP y AWS), el volumen de tráfico no es un activador para bloquear tráfico.

¿Un ataque DoS o DDoS cuenta como llamadas a la API procesadas en Edge?

Apigee Edge es una solución que ayuda a evitar el abuso de los sistemas de backend de los clientes. Por lo tanto, en caso de un ataque, Edge aplicará de manera forzosa la cuota, la protección contra aumentos repentinos, la protección contra amenazas, etc., para absorber el abuso en la capa de Apigee Cloud, según la configuración. Una persona que tenga una clave de API válida y no supere el límite de cuota podrá seguir accediendo a esa API. Cualquier llamada a la API que se procese en nuestra capa contará como una llamada procesada. Apigee Edge es una herramienta incluida en la caja de herramientas de seguridad para que los clientes se defiendan contra ataques DSD y otros tipos de ataques.

Información detallada sobre la defensa contra DDoS

  1. GCP y AWS ofrecen asistencia de DDoS a nivel de red cuando es necesario (un ataque muy grande).
    • Apigee mantiene contactos de seguridad en GCP y AWS para escalar y responder si se necesita asistencia de GCP o AWS para responder a un ataque.
  2. Apigee Edge se puede usar para implementar políticas que protejan las APIs del cliente de ataques.
    • Límite de frecuencia.
    • Arrestos repentinos.
    • Detección de ataques de carga útil XML.
    • Se pueden escribir otras políticas para defenderte de ataques específicos.
  3. Edge usa el ajuste de escala automático como una capacidad en nuestra defensa.
  4. Apigee y el cliente (y GCP o AWS) deben trabajar juntos durante un ataque de DDoS. Las comunicaciones abiertas son importantes, y Apigee tiene recursos de seguridad disponibles para nuestro equipo de asistencia al cliente en todo momento.

La primera respuesta a un DDoS es usar Apigee Edge para ayudar en el ataque, lo que permite la protección contra aumentos de tráfico, el límite de frecuencia y hasta las direcciones IP de origen en la lista de bloqueo. En Edge, hay muchas herramientas disponibles para defenderte de los ataques DDoS.

Si el ataque tiene un volumen suficiente, Apigee puede trabajar con el cliente para escalar al proveedor de servicios en la nube adecuado a fin de obtener “asistencia ascendente”. Dado que cada ataque DDoS es único, la respuesta se determinará durante el ataque. Sin embargo, las prácticas recomendadas y los detalles necesarios para ayudar en la elevación se documentan en Mitigación de ataques de denegación del servicio en AWS.

Recuerda que la clave es:

Crea un plan para los ataques. No lo olvides, estamos juntos en esto. Los clientes que sospechan que están bajo ataque deben abrir un ticket y solicitar la asistencia de Apigee.

GCP

Apigee usa las defensas que proporciona GCP como se indica en las Prácticas recomendadas para la protección y la mitigación de DSD, como las siguientes:

  • Redes virtuales
  • Reglas de firewall
  • Balanceo de cargas

AWS

AWS publica sus Prácticas recomendadas para la resiliencia a los DDoS y Cómo prepararse para los ataques DDoS reduciendo la superficie de ataque. Apigee usa varias de las siguientes opciones que son aplicables a nuestro entorno:

  • VPC
  • Grupos de seguridad
  • LCA
  • Route53
  • Balanceo de cargas