Protection contre les attaques DDoS dans Edge

Vous consultez la documentation d'Apigee Edge.
Accédez à la documentation sur Apigee X. info

Les attaques par déni de service distribué (DDoS) sont de plus en plus fréquentes et étendues. Les attaques récentes ont enregistré des niveaux de trafic record, et les prévisions indiquent que la situation va continuer à se dégrader. L'ampleur de ces attaques a conduit tout le monde à réévaluer ses défenses. En utilisant des appareils IoT compromis, les attaques DDoS sont désormais beaucoup plus importantes qu'auparavant.

L'objectif des défenses DDoS d'Apigee est de protéger les API des clients dans le centre de données de chaque client. Apigee Edge Cloud est conçu pour accepter de grands volumes de trafic et servir de filtre permettant de transmettre les requêtes réelles à un centre de données client et à ses interfaces API, tout en bloquant le trafic malveillant, en surveillant les pics, en gérant la limitation de débit et en maintenant nos clients en ligne pendant l'attaque.

Apigee peut détecter des pics de volume de trafic, mais nous ne pouvons pas déterminer s'il s'agit d'une attaque, d'une campagne réussie ou d'une nouvelle application publiée auprès des utilisateurs finaux. Apigee n'examine pas activement les appels d'API pour déterminer lesquels sont légitimes et lesquels sont probablement des attaques. Il est possible d'examiner les appels d'API, mais cela ne fait pas partie des opérations normales d'Apigee. Nous n'examinons pas les charges utiles des clients, car cela constituerait une atteinte à la confidentialité pour la plupart du trafic, des clients et des utilisateurs finaux. Apigee ne sait pas si un pic particulier mardi après-midi est dû à une attaque ou à une adoption soudaine et réussie de l'application et des services du client. Apigee peut voir le pic, mais sans informations et contexte supplémentaires qui sont évidents pour les clients, mais qui ne sont pas disponibles pour Apigee, nous ne saurions pas comment répondre. Le pire scénario serait qu'Apigee bloque une attaque pour découvrir qu'il s'agissait d'un succès marketing majeur qu'Apigee venait de tuer en bloquant l'application pendant sa période de pointe.

Comment Apigee aborde-t-il la défense contre les attaques DDoS ?

Apigee Edge est un outil de la boîte à outils de sécurité. Le client peut configurer l'outil selon ses besoins pour bloquer le trafic malveillant, limiter le trafic valide mais excessif, ou traiter les charges plus rapidement que le backend du client ne peut y répondre et éviter que le centre de données du client ne soit submergé. Apigee Edge offre des fonctionnalités qui permettent à nos clients de créer des règles de sécurité très spécifiques pour protéger les services d'API réels derrière Apigee. Le bord est une couche de défense qui peut évoluer en fonction des besoins pour absorber les pics de trafic importants (comme une attaque DDoS) tout en limitant l'impact sur le backend (les centres de données des clients).

Étant donné qu'Apigee ne gère ni n'interroge la charge utile de chaque appel pour chaque client, c'est au client de pouvoir identifier une attaque. Toutefois, la réponse à une attaque doit être coordonnée avec le client et Apigee. Apigee peut même impliquer le fournisseur cloud (GCP ou AWS) si nécessaire.

Apigee, GCP et AWS ne bloqueront pas le trafic destiné à un client. Si Apigee détermine que le trafic est malveillant, nous contacterons le client et lui proposerons de l'aide. Toutefois, en raison de l'échelle d'Apigee Edge, le simple volume de trafic n'est pas un déclencheur de blocage du trafic.

Les clients peuvent utiliser Edge pour créer des règles de protection contre les attaques (y compris les attaques DDoS). Ces règles ne sont pas prédéfinies. Cela impliquerait qu'il n'y a rien d'unique dans les API, les données ou les services de chaque client. Apigee ne peut pas activer ces règles sans l'intervention du client. Cela signifie qu'Apigee examine les données du client et prend des décisions sur ce qui est valide et ce qui ne l'est pas.

Edge est un outil à utiliser, et il peut être utilisé pour effectuer les tâches dont les clients ont besoin pour défendre leurs API. Toutefois, la défense de l'API nécessite un certain travail de la part du client.

L'objectif est de protéger les services d'API des clients. C'est l'une des fonctionnalités et capacités de Cloud Edge.

Il s'agit en fait de bloquer différents types de trafic DDoS aussi loin que possible des API réelles:

  • Bloquer les paquets réseau incorrects sur le réseau du cloud
  • Absorber un flot de paquets correctement formés, mais incomplets, au niveau de la couche de plate-forme Edge
  • Abandonner les appels d'API mal formés au niveau de la couche Edge
  • Bloquer les appels correctement formés, mais non autorisés dans Edge
  • Bloquer les appels correctement formés et autorisés, mais excessifs dans Edge
  • Utilisez Sense pour détecter les clés valides et correctement formatées, ainsi que les requêtes API valides qui ne correspondent pas à votre accès attendu ou autorisé.
  • Transmettre au centre de données du client uniquement les appels d'API valides, autorisés, acceptables et conformes aux limites approuvées

Autres questions fréquentes

Apigee peut-il ajouter (ip|country|url) à la liste de blocage ?

Oui, si la règle est créée, configurée et activée dans Edge au sein de l'organisation Edge du client.

Apigee peut-il détecter les bots ou les activités malveillantes similaires ?

Apigee propose un service de détection de robots appelé Sense.

Apigee bloquera-t-il le trafic pour moi ?

Apigee ne bloquera pas le trafic destiné à un client. Si Apigee peut déterminer que le trafic est malveillant, nous contacterons le client et lui proposerons de l'aider. Toutefois, en raison de l'ampleur d'Apigee Edge et de nos fournisseurs de services cloud (GCP et AWS), le volume de trafic n'est pas un déclencheur de blocage du trafic.

Une attaque DoS ou DDoS est-elle comptabilisée comme des appels d'API traités dans Edge ?

Apigee Edge est une solution qui permet d'éviter toute utilisation abusive des systèmes backend des clients. En cas d'attaque, Edge appliquera des quotas, arrêtera les pics, protégera contre les menaces, etc. pour absorber les utilisations abusives au niveau de la couche Apigee Cloud, en fonction de la configuration. Une personne disposant d'une clé API valide et n'ayant pas dépassé la limite de quota peut continuer à accéder à cette API. Tout appel d'API traité à notre niveau sera comptabilisé comme un appel traité. Apigee Edge est un outil de la boîte à outils de sécurité qui permet aux clients de se protéger contre les attaques DDoS et d'autres types d'attaques.

Informations détaillées sur la protection contre les attaques DDoS

  1. GCP et AWS proposent une assistance DDoS au niveau du réseau si nécessaire (attaque de grande ampleur).
    • Apigee gère des contacts de sécurité auprès de GCP et d'AWS pour les escalades et les réponses si l'assistance de GCP ou d'AWS est nécessaire pour répondre à une attaque.
  2. Apigee Edge peut être utilisé pour implémenter des règles qui protègent les API des clients contre les attaques.
    • Limitation du débit
    • Arrêts des pics.
    • Détection des attaques de charge utile XML.
    • D'autres règles peuvent être écrites pour se protéger contre des attaques spécifiques.
  3. Edge utilise l'autoscaling comme fonctionnalité de défense.
  4. Apigee et le client (ainsi que GCP ou AWS) doivent collaborer en cas d'attaque DDoS. La communication ouverte est importante, et Apigee dispose de ressources de sécurité disponibles en permanence pour notre équipe d'assistance.

La première réponse à une attaque DDoS consiste à utiliser Apigee Edge pour vous aider à y faire face: en activant l'arrêt des pics, la limitation de débit et même la liste de blocage des adresses IP sources. De nombreux outils sont disponibles dans Edge pour vous protéger contre une attaque DDoS.

Si l'attaque est suffisamment importante, Apigee peut collaborer avec le client pour escalader la demande au fournisseur de services cloud approprié afin d'obtenir une "assistance en amont". Étant donné que chaque attaque DDoS est unique, la réponse sera déterminée pendant l'attaque. Toutefois, les bonnes pratiques et les détails nécessaires pour faciliter l'escalade sont documentés dans Atténuation des attaques de déni de service sur AWS.

N'oubliez pas que la clé est la suivante:

Créez un plan d'attaque. N'oubliez pas que nous sommes tous concernés. Les clients qui soupçonnent d'être la cible d'une attaque doivent ouvrir une demande et demander l'aide d'Apigee.

GCP

Apigee utilise les défenses fournies par GCP, comme indiqué dans les bonnes pratiques pour se protéger des attaques DDoS et atténuer leur impact, par exemple:

  • Réseaux virtuels
  • Règles de pare-feu
  • Équilibrage de charge

AWS

AWS publie ses bonnes pratiques pour la résilience DDoS et Comment vous préparer aux attaques DDoS en réduisant votre surface d'attaque. Apigee utilise plusieurs de ces éléments qui s'appliquent à notre environnement:

  • VPC
  • Groupes de sécurité
  • LCA
  • Route53
  • Équilibrage de charge