دفاع DDoS در Edge

شما در حال مشاهده اسناد Apigee Edge هستید.
به مستندات Apigee X بروید . اطلاعات

حملات انکار سرویس توزیع شده (DDoS) بزرگتر و رایج تر می شوند. حملات اخیر سطوح ترافیکی را به ثبت رسانده است و پیش‌بینی‌ها حاکی از بدتر شدن آن است. حجم زیاد این حملات باعث شده است که همه دفاع خود را دوباره ارزیابی کنند. با استفاده از دستگاه های IoT به خطر افتاده، حملات DDoS در حال حاضر بسیار بزرگتر از آنچه قبلا ممکن بود شده است.

هدف از دفاع‌های DDoS برای Apigee محافظت از APIهای مشتری در مرکز داده هر مشتری است. Apigee Edge Cloud ساخته شده است تا حجم زیادی از ترافیک را بپذیرد و فیلتری باشد که درخواست‌های واقعی را به مرکز داده مشتری و رابط‌های API آن‌ها منتقل می‌کند و در عین حال ترافیک مخرب را حذف می‌کند، به دنبال افزایش، مدیریت محدود کردن نرخ، و حفظ ما می‌شود. مشتریان آنلاین از طریق حمله.

Apigee می‌تواند جهش‌ها را در حجم ترافیک تشخیص دهد، اما ما نمی‌توانیم تعیین کنیم که آیا این افزایش یک حمله، یک کمپین موفق یا یک برنامه جدید منتشر شده برای کاربران نهایی است. Apigee به طور فعال به درون فراخوانی های API نگاه نمی کند تا مشخص کند کدام تماس ها مشروع هستند و کدام احتمالاً حمله هستند. امکان مشاهده تماس‌های API وجود دارد، اما انجام این کار بخشی از عملیات عادی Apigee نیست. ما محموله‌های مشتری را بررسی نمی‌کنیم، زیرا این تهاجم به حریم خصوصی برای اکثر ترافیک، مشتریان و کاربران نهایی خواهد بود. Apigee نمی داند که آیا افزایش خاصی در بعدازظهر سه شنبه به دلیل حمله است یا پذیرش موفقیت آمیز ناگهانی برنامه و خدمات مشتریان. Apigee می تواند سنبله را ببیند، اما بدون جزئیات و زمینه اضافی که برای مشتریان واضح است اما در دسترس Apigee نیست، ما نمی دانیم چگونه پاسخ دهیم. بدترین سناریو ممکن است این باشد که Apigee یک حمله را مسدود کند تا متوجه شود که این یک موفقیت بازاریابی بزرگ است که Apigee به تازگی با مسدود کردن برنامه در طول دوره داغ آن از بین رفته است.

Apigee چگونه به دفاع DDoS برخورد می کند؟

Apigee Edge ابزاری در جعبه ابزار امنیتی است. این ابزار برای مشتری در دسترس است تا در صورت نیاز پیکربندی کند تا ترافیک مخرب را مسدود کند، ترافیک معتبر اما بیش از حد را محدود کند، یا بارگذاری‌های سریع‌تر از آنچه پشتیبانی مشتری می‌تواند پاسخ دهد پردازش کند و از تحت فشار قرار گرفتن مرکز داده مشتری جلوگیری کند. Apigee Edge قابلیت هایی را ارائه می دهد که به مشتریان ما اجازه می دهد تا سیاست های امنیتی بسیار خاصی را برای دفاع از سرویس های API واقعی پشت Apigee ایجاد کنند. Edge یک لایه دفاعی است که می‌تواند در صورت نیاز مقیاس‌بندی شود تا جهش‌های ترافیکی بزرگ (مانند حمله DDoS) را جذب کند و در عین حال تأثیر آن را به backend (مراکز داده‌های مشتریان) محدود کند.

از آنجایی که Apigee حجم هر تماس را برای هر مشتری مدیریت و بازجویی نمی کند، توانایی شناسایی یک حمله بر عهده مشتری است. اما پاسخ به یک حمله باید هم با مشتری و هم با Apigee هماهنگ شود. Apigee حتی می‌تواند ارائه‌دهنده ابر (GCP یا AWS) را در صورت نیاز درگیر کند.

Apigee، GCP و AWS ترافیک سیاهچاله ای را که به مقصد مشتری ارسال می شود، ایجاد نمی کنند. اگر Apigee تشخیص دهد که ترافیک مخرب است، ما با مشتری ارتباط برقرار می کنیم و به شما کمک می کنیم. با این حال، به دلیل مقیاس Apigee Edge، حجم ساده ترافیک محرکی برای مسدود کردن ترافیک نیست.

مشتریان می توانند از Edge برای ایجاد خط مشی هایی استفاده کنند که در برابر حملات (شامل DDoS) محافظت می کند. این سیاست ها از پیش ساخته نشده اند. این بدان معناست که هیچ چیز منحصر به فردی در مورد APIها یا داده ها یا خدمات هر مشتری وجود ندارد. Apigee نمی تواند این خط مشی ها را بدون نظر مشتری فعال کند. این بدان معناست که Apigee داده‌های مشتری را بررسی می‌کند و درباره اینکه چه چیزی معتبر است و چه چیزی معتبر نیست تصمیم‌گیری می‌کند.

Edge ابزاری است که می توان از آن استفاده کرد و می توان از آن برای انجام کارهایی که مشتریان برای دفاع از API خود نیاز دارند استفاده کرد. اما دفاع API مقداری کار توسط مشتری انجام می شود.

هدف محافظت از خدمات API مشتری است. این یکی از ویژگی ها و قابلیت های Edge Cloud است.

در واقع مسئله مسدود کردن انواع مختلف ترافیک DDoS تا حد امکان از APIهای واقعی است:

• بسته های شبکه بد شکل را در شبکه Cloud مسدود کنید
• سیل بسته های به درستی شکل گرفته اما ناقص را در لایه پلتفرم Edge جذب کنید
• تماس‌های API نادرست را در لایه Edge رها کنید
• تماس‌های درست شکل‌گرفته اما غیرمجاز را در Edge مسدود کنید
• تماس های به درستی شکل گرفته و مجاز اما بیش از حد در Edge را مسدود کنید
• از Sense برای شناسایی کلیدهای درست شکل‌گرفته، معتبر، درخواست‌های معتبر API که خارج از دسترسی مورد انتظار یا مجاز شما هستند، استفاده کنید.
• فقط تماس‌های معتبر، مجاز، قابل قبول و در محدوده‌های تایید شده api را به مرکز داده مشتری منتقل کنید

سایر سوالات رایج

آیا Apigee می تواند فهرست (ip|کشور|url) را رد کند؟

بله، اگر این خط‌مشی در Edge در سازمان Edge مشتری ایجاد، پیکربندی و فعال شده باشد.

آیا Apigee می تواند ربات ها یا فعالیت های مخرب مشابه را شناسایی کند؟

Apigee یک سرویس تشخیص ربات به نام Sense را ارائه می دهد.

آیا Apigee سیاهچاله برای من ترافیک خواهد کرد؟

Apigee ترافیک سیاهچاله ای را که به مقصد مشتری ارسال می شود، انجام نمی دهد. اگر Apigee بتواند تشخیص دهد که ترافیک مخرب است، ما با مشتری ارتباط برقرار کرده و به شما کمک خواهیم کرد. با این حال، به دلیل مقیاس Apigee Edge و ارائه دهندگان ابری ما (GCP و AWS)، حجم عظیم ترافیک محرکی برای مسدود کردن ترافیک نیست.

آیا یک حمله DoS یا DDoS به عنوان تماس های API پردازش شده در Edge به حساب می آید؟

Apigee Edge راه حلی است که به جلوگیری از سوء استفاده از سیستم های پشتیبان مشتری کمک می کند. بنابراین در صورت حمله، Edge بر اساس پیکربندی، سهمیه/حفاظت از دستگیری اسپیک/تهدید و غیره را برای جذب سوءاستفاده در لایه ابری Apigee اعمال می‌کند. فردی با کلید API معتبر و زیر حد سهمیه همچنان می‌تواند به آن API دسترسی داشته باشد. برای هر فراخوانی API که در لایه ما پردازش می‌شود، به‌عنوان یک تماس پردازش‌شده حساب می‌شود. Apigee Edge ابزاری در جعبه ابزار امنیتی برای دفاع مشتریان در برابر DDoS و انواع دیگر حملات است.

اطلاعات دقیق دفاعی DDoS

1. GCP و AWS در صورت نیاز، کمک DDoS را در سطح شبکه ارائه می‌دهند (یک حمله بسیار بزرگ).
   • Apigee تماس های امنیتی را در GCP و AWS برای تشدید و پاسخ در صورت نیاز به کمک GCP یا AWS برای پاسخ به یک حمله حفظ می کند.
2. Apigee Edge را می توان برای اجرای سیاست هایی استفاده کرد که از API های مشتری در برابر حمله محافظت می کند.
   • محدود کردن نرخ
   • دستگیری اسپایک
   • تشخیص حمله محموله XML
   • سیاست های دیگری را می توان برای دفاع در برابر حملات خاص نوشت.
3. Edge از مقیاس خودکار به عنوان یک قابلیت در دفاع ما استفاده می کند.
4. Apigee و مشتری (و GCP یا AWS) باید در طول یک حمله DDoS با هم کار کنند. ارتباطات باز مهم هستند و Apigee منابع امنیتی را همیشه در اختیار تیم پشتیبانی ما دارد.

اولین پاسخ به DDoS استفاده از Apigee Edge برای کمک به حمله است: فعال کردن توقف اسپیک، محدود کردن نرخ، و حتی حذف آدرس‌های IP منبع. ابزارهای زیادی در Edge برای دفاع در برابر حمله DDoS وجود دارد.

اگر حجم حمله به اندازه کافی بزرگ باشد، Apigee می‌تواند با مشتری همکاری کند تا به ارائه‌دهنده ابری مناسب برای «کمک بالادستی» برسد. از آنجایی که هر حمله DDoS منحصر به فرد است، پاسخ در طول حمله مشخص خواهد شد. با این حال، بهترین شیوه ها و جزئیات مورد نیاز برای کمک به تشدید در کاهش حمله انکار سرویس در AWS مستند شده است.

به یاد داشته باشید که کلید این است:

یک برنامه برای حملات ایجاد کنید. فراموش نکنید، ما در این با هم هستیم. مشتریانی که مشکوک هستند که مورد حمله قرار گرفته اند باید یک بلیط باز کنند و از Apigee درخواست کمک کنند.

GCP

Apigee از دفاع های ارائه شده توسط GCP همانطور که در بهترین روش ها برای محافظت و کاهش DDoS بیان شده است استفاده می کند، مانند:

• شبکه های مجازی
• قوانین فایروال
• تعادل بار

AWS

AWS بهترین شیوه های خود را برای انعطاف پذیری DDoS و نحوه آماده شدن برای حملات DDoS با کاهش سطح حمله خود منتشر می کند. Apigee از چندین مورد از این موارد استفاده می کند که برای محیط ما قابل اجرا هستند:

• VPC
• گروه های امنیتی
• ACL ها
• مسیر 53
• تعادل بار

شما در حال مشاهده اسناد Apigee Edge هستید.
به مستندات Apigee X بروید . اطلاعات

حملات انکار سرویس توزیع شده (DDoS) بزرگتر و رایج تر می شوند. حملات اخیر سطوح ترافیکی را به ثبت رسانده است و پیش‌بینی‌ها حاکی از بدتر شدن آن است. حجم زیاد این حملات باعث شده است که همه دفاع خود را دوباره ارزیابی کنند. با استفاده از دستگاه های IoT به خطر افتاده، حملات DDoS در حال حاضر بسیار بزرگتر از آنچه قبلا ممکن بود شده است.

هدف از دفاع‌های DDoS برای Apigee محافظت از APIهای مشتری در مرکز داده هر مشتری است. Apigee Edge Cloud ساخته شده است تا حجم زیادی از ترافیک را بپذیرد و فیلتری باشد که درخواست‌های واقعی را به مرکز داده مشتری و رابط‌های API آن‌ها منتقل می‌کند و در عین حال ترافیک مخرب را حذف می‌کند، به دنبال افزایش، مدیریت محدود کردن نرخ، و حفظ ما می‌شود. مشتریان آنلاین از طریق حمله.

Apigee می‌تواند جهش‌ها را در حجم ترافیک تشخیص دهد، اما ما نمی‌توانیم تعیین کنیم که آیا این افزایش یک حمله، یک کمپین موفق یا یک برنامه جدید منتشر شده برای کاربران نهایی است. Apigee به طور فعال به درون فراخوانی های API نگاه نمی کند تا مشخص کند کدام تماس ها مشروع هستند و کدام احتمالاً حمله هستند. امکان مشاهده تماس‌های API وجود دارد، اما انجام این کار بخشی از عملیات عادی Apigee نیست. ما محموله‌های مشتری را بررسی نمی‌کنیم، زیرا این تهاجم به حریم خصوصی برای اکثر ترافیک، مشتریان و کاربران نهایی خواهد بود. Apigee نمی داند که آیا افزایش خاصی در بعدازظهر سه شنبه به دلیل حمله است یا پذیرش موفقیت آمیز ناگهانی برنامه و خدمات مشتریان. Apigee می تواند سنبله را ببیند، اما بدون جزئیات و زمینه اضافی که برای مشتریان واضح است اما در دسترس Apigee نیست، ما نمی دانیم چگونه پاسخ دهیم. بدترین سناریو ممکن است این باشد که Apigee یک حمله را مسدود کند تا متوجه شود که این یک موفقیت بازاریابی بزرگ است که Apigee به تازگی با مسدود کردن برنامه در طول دوره داغ آن از بین رفته است.

Apigee چگونه به دفاع DDoS برخورد می کند؟

Apigee Edge ابزاری در جعبه ابزار امنیتی است. این ابزار برای مشتری در دسترس است تا در صورت نیاز پیکربندی کند تا ترافیک مخرب را مسدود کند، ترافیک معتبر اما بیش از حد را محدود کند، یا بارگذاری‌های سریع‌تر از آنچه پشتیبانی مشتری می‌تواند پاسخ دهد پردازش کند و از تحت فشار قرار گرفتن مرکز داده مشتری جلوگیری کند. Apigee Edge قابلیت هایی را ارائه می دهد که به مشتریان ما اجازه می دهد تا سیاست های امنیتی بسیار خاصی را برای دفاع از سرویس های API واقعی پشت Apigee ایجاد کنند. Edge یک لایه دفاعی است که می‌تواند در صورت نیاز مقیاس‌بندی شود تا جهش‌های ترافیکی بزرگ (مانند حمله DDoS) را جذب کند و در عین حال تأثیر آن را به backend (مراکز داده‌های مشتریان) محدود کند.

از آنجایی که Apigee حجم هر تماس را برای هر مشتری مدیریت و بازجویی نمی کند، توانایی شناسایی یک حمله بر عهده مشتری است. اما پاسخ به یک حمله باید هم با مشتری و هم با Apigee هماهنگ شود. Apigee حتی می‌تواند ارائه‌دهنده ابر (GCP یا AWS) را در صورت نیاز درگیر کند.

Apigee، GCP و AWS ترافیک سیاهچاله ای را که به مقصد مشتری ارسال می شود، ایجاد نمی کنند. اگر Apigee تشخیص دهد که ترافیک مخرب است، ما با مشتری ارتباط برقرار می کنیم و به شما کمک می کنیم. با این حال، به دلیل مقیاس Apigee Edge، حجم ساده ترافیک محرکی برای مسدود کردن ترافیک نیست.

مشتریان می توانند از Edge برای ایجاد خط مشی هایی استفاده کنند که در برابر حملات (شامل DDoS) محافظت می کند. این سیاست ها از پیش ساخته نشده اند. این بدان معناست که هیچ چیز منحصر به فردی در مورد APIها یا داده ها یا خدمات هر مشتری وجود ندارد. Apigee نمی تواند این خط مشی ها را بدون نظر مشتری فعال کند. این بدان معناست که Apigee داده‌های مشتری را بررسی می‌کند و درباره اینکه چه چیزی معتبر است و چه چیزی معتبر نیست تصمیم‌گیری می‌کند.

Edge ابزاری است که می توان از آن استفاده کرد و می توان از آن برای انجام کارهایی که مشتریان برای دفاع از API خود نیاز دارند استفاده کرد. اما دفاع API مقداری کار توسط مشتری انجام می شود.

هدف محافظت از خدمات API مشتری است. این یکی از ویژگی ها و قابلیت های Edge Cloud است.

در واقع مسئله مسدود کردن انواع مختلف ترافیک DDoS تا حد امکان از APIهای واقعی است:

• بسته های شبکه بد شکل را در شبکه Cloud مسدود کنید
• سیل بسته های به درستی شکل گرفته اما ناقص را در لایه پلتفرم Edge جذب کنید
• تماس‌های API نادرست را در لایه Edge رها کنید
• تماس‌های درست شکل‌گرفته اما غیرمجاز را در Edge مسدود کنید
• تماس های به درستی شکل گرفته و مجاز اما بیش از حد در Edge را مسدود کنید
• از Sense برای شناسایی کلیدهای درست شکل‌گرفته، معتبر، درخواست‌های معتبر API که خارج از دسترسی مورد انتظار یا مجاز شما هستند استفاده کنید.
• فقط تماس‌های معتبر، مجاز، قابل قبول و در محدوده‌های تایید شده api را به مرکز داده مشتری منتقل کنید

سایر سوالات رایج

آیا Apigee می تواند فهرست (ip|کشور|url) را رد کند؟

بله، اگر این خط‌مشی در Edge در سازمان Edge مشتری ایجاد، پیکربندی و فعال شده باشد.

آیا Apigee می تواند ربات ها یا فعالیت های مخرب مشابه را شناسایی کند؟

Apigee یک سرویس تشخیص ربات به نام Sense را ارائه می دهد.

آیا Apigee سیاهچاله برای من ترافیک خواهد کرد؟

Apigee ترافیک سیاهچاله ای را که به مقصد مشتری ارسال می شود، انجام نمی دهد. اگر Apigee بتواند تشخیص دهد که ترافیک مخرب است، ما با مشتری ارتباط برقرار کرده و به شما کمک خواهیم کرد. با این حال، به دلیل مقیاس Apigee Edge و ارائه دهندگان ابری ما (GCP و AWS)، حجم عظیم ترافیک محرکی برای مسدود کردن ترافیک نیست.

آیا یک حمله DoS یا DDoS به عنوان تماس های API پردازش شده در Edge به حساب می آید؟

Apigee Edge راه حلی است که به جلوگیری از سوء استفاده از سیستم های پشتیبان مشتری کمک می کند. بنابراین در صورت حمله، Edge بر اساس پیکربندی، سهمیه/حفاظت از دستگیری اسپیک/تهدید و غیره را برای جذب سوءاستفاده در لایه ابری Apigee اعمال می‌کند. فردی با کلید API معتبر و زیر حد سهمیه همچنان می‌تواند به آن API دسترسی داشته باشد. برای هر فراخوانی API که در لایه ما پردازش می‌شود، به‌عنوان یک تماس پردازش‌شده حساب می‌شود. Apigee Edge ابزاری در جعبه ابزار امنیتی برای دفاع مشتریان در برابر DDoS و انواع دیگر حملات است.

اطلاعات دقیق دفاعی DDoS

1. GCP و AWS در صورت نیاز، کمک DDoS را در سطح شبکه ارائه می‌دهند (یک حمله بسیار بزرگ).
   • Apigee تماس های امنیتی را در GCP و AWS برای تشدید و پاسخ در صورت نیاز به کمک GCP یا AWS برای پاسخ به یک حمله حفظ می کند.
2. Apigee Edge را می توان برای اجرای سیاست هایی استفاده کرد که از API های مشتری در برابر حمله محافظت می کند.
   • محدود کردن نرخ
   • دستگیری اسپایک
   • تشخیص حمله محموله XML
   • سیاست های دیگری را می توان برای دفاع در برابر حملات خاص نوشت.
3. Edge از مقیاس خودکار به عنوان یک قابلیت در دفاع ما استفاده می کند.
4. Apigee و مشتری (و GCP یا AWS) باید در طول یک حمله DDoS با هم کار کنند. ارتباطات باز مهم هستند و Apigee منابع امنیتی را همیشه در اختیار تیم پشتیبانی ما دارد.

اولین پاسخ به DDoS استفاده از Apigee Edge برای کمک به حمله است: فعال کردن توقف اسپیک، محدود کردن نرخ، و حتی حذف آدرس‌های IP منبع. ابزارهای زیادی در Edge برای دفاع در برابر حمله DDoS وجود دارد.

اگر حجم حمله به اندازه کافی بزرگ باشد، Apigee می‌تواند با مشتری همکاری کند تا به ارائه‌دهنده ابری مناسب برای «کمک بالادستی» برسد. از آنجایی که هر حمله DDoS منحصر به فرد است، پاسخ در طول حمله مشخص خواهد شد. با این حال، بهترین شیوه ها و جزئیات مورد نیاز برای کمک به تشدید در کاهش حمله انکار سرویس در AWS مستند شده است.

به یاد داشته باشید که کلید این است:

یک برنامه برای حملات ایجاد کنید. فراموش نکنید، ما در این با هم هستیم. مشتریانی که مشکوک هستند که مورد حمله قرار گرفته اند باید یک بلیط باز کنند و از Apigee درخواست کمک کنند.

GCP

Apigee از دفاع های ارائه شده توسط GCP همانطور که در بهترین روش ها برای محافظت و کاهش DDoS بیان شده است استفاده می کند، مانند:

• شبکه های مجازی
• قوانین فایروال
• تعادل بار

AWS

AWS بهترین شیوه های خود را برای انعطاف پذیری DDoS و نحوه آماده شدن برای حملات DDoS با کاهش سطح حمله خود منتشر می کند. Apigee از چندین مورد از این موارد استفاده می کند که برای محیط ما قابل اجرا هستند:

• VPC
• گروه های امنیتی
• ACL ها
• مسیر 53
• تعادل بار