Protection contre les attaques DDoS dans Edge

Vous consultez la documentation d'Apigee Edge.
Consultez la documentation Apigee X.
en savoir plus

Les attaques par déni de service distribué (DDoS) sont de plus en plus étendues et courantes. Les attaques récentes ont atteint des niveaux de trafic records, et les prédictions vont continuer à s'aggraver. L'ampleur de ces attaques a poussé chacun à réévaluer ses défenses. Avec l'utilisation d'appareils IoT compromis, les attaques DDoS sont désormais beaucoup plus étendues qu'auparavant.

L'objectif des défenses contre les attaques DDoS pour Apigee est de protéger les API des clients dans leurs centres de données. Apigee Edge Cloud est conçu pour accepter d'importants volumes de trafic et faire office de filtre qui maintient le flux des requêtes réelles vers un centre de données client et ses interfaces d'API, tout en éliminant le trafic malveillant, en surveillant les pics, en gérant la limitation du débit et en maintenant nos clients en ligne contre l'attaque.

Apigee peut détecter les pics de trafic, mais nous ne pouvons pas déterminer s'ils correspondent à une attaque, à une campagne réussie ou à une nouvelle application proposée aux utilisateurs finaux. Apigee ne examine pas activement les appels d'API pour déterminer quels appels sont légitimes et lesquels sont probablement des attaques. Il est possible d'examiner les appels d'API, mais cela ne fait pas partie des opérations normales d'Apigee. Nous ne examinons pas les charges utiles des clients, car cela constituerait une atteinte à la confidentialité pour la plupart du trafic, des clients et des utilisateurs finaux. Apigee ne sait pas si un pic particulier du mardi après-midi est dû à une attaque ou à une adoption réussie et soudaine de l'application et des services du client. Apigee peut détecter ce pic, mais en l'absence de détails et de contextes supplémentaires évidents par les clients, mais auxquels Apigee n'a pas accès, nous ne saurions pas comment y répondre. Dans le pire des cas, Apigee bloquait une attaque pour découvrir qu'il s'agissait d'un succès marketing majeur qu'Apigee venait de tuer en bloquant l'application pendant sa période à chaud.

Comment Apigee aborde-t-il la défense contre les attaques DDoS ?

Apigee Edge est un outil de sécurité. Le client peut configurer cet outil en fonction de ses besoins afin de bloquer le trafic malveillant, de limiter le trafic valide mais excessif, ou de traiter les charges plus rapidement que le backend du client ne peut répondre et pour éviter que le centre de données du client ne soit submergé. Apigee Edge fournit des fonctionnalités qui permettent à nos clients de créer des stratégies de sécurité très spécifiques pour défendre les services d'API d'Apigee. Edge est une couche défensive qui peut évoluer en fonction des besoins pour absorber les pics de trafic importants (comme une attaque DDoS) tout en limitant l'impact sur le backend (les centres de données des clients).

Étant donné qu'Apigee ne gère ni n'interroge la charge utile de chaque appel pour chaque client, la capacité à identifier une attaque revient au client. Cependant, la réponse à une attaque doit être coordonnée à la fois avec le client et avec Apigee. Apigee peut même impliquer le fournisseur de services cloud (GCP ou AWS) si nécessaire.

Apigee, GCP et AWS ne vont pas bloquer le trafic destiné à un client. Si Apigee détermine que le trafic est malveillant, nous communiquerons avec le client et lui proposerons de vous aider. Cependant, en raison de l'échelle d'Apigee Edge, le simple volume de trafic n'est pas un déclencheur pour bloquer le trafic.

Les clients peuvent utiliser Edge pour créer des stratégies de protection contre les attaques (y compris les attaques DDoS). Ces règles ne sont pas prédéfinies par défaut. Cela impliquerait que les API, les données ou les services de chaque client n'ont rien d'unique. Apigee ne peut pas activer ces règles sans la contribution du client. Cela signifie qu'Apigee examine les données du client et prend des décisions concernant ce qui est valide et ce qui ne l'est pas.

Edge est un outil qui peut être utilisé pour faire les choses dont les clients ont besoin pour défendre leurs API. Toutefois, la défense des API demande du travail du client.

L'objectif est de protéger les services d'API des clients. C'est l'une des fonctionnalités d'Edge Cloud.

En réalité, il s'agit de bloquer différents types de trafic DDoS aussi loin que possible des API réelles:

  • Bloquer les paquets réseau mal formés au niveau du réseau cloud
  • Absorber un flot de paquets correctement formés, mais incomplets, au niveau de la couche de la plate-forme périphérique
  • Supprimer les appels d'API incorrects au niveau de la couche Edge
  • Bloquer les appels non autorisés, mais correctement formés dans Edge
  • Blocage des appels correctement formés et autorisés, mais avec un nombre excessif d'appels dans Edge
  • Utilisez Sense pour détecter des clés valides et correctes, ainsi que des requêtes API valides en dehors de vos accès attendus ou autorisés.
  • Ne transmettre au centre de données client que les appels d'API valides, autorisés, acceptables et dans les limites approuvées

Autres questions fréquentes

Apigee peut-il ajouter (ip|country|url) à la liste de blocage ?

Oui, si la stratégie est créée, configurée et activée dans Edge au sein de l'organisation Edge du client.

Apigee peut-il détecter les bots ou des activités malveillantes similaires ?

Apigee propose un service de détection des bots appelé Sense.

Est-ce qu'Apigee va mettre fin au trafic pour moi ?

Apigee n'est pas en mesure de supprimer le trafic destiné à un client. Si Apigee peut déterminer que le trafic est malveillant, nous communiquerons avec le client et nous proposerons de l'aider. Toutefois, en raison de l'échelle d'Apigee Edge et de nos fournisseurs de services cloud (GCP et AWS), le volume considérable de trafic ne peut pas déclencher un blocage du trafic.

Une attaque DoS ou DDoS est-elle comptabilisée comme des appels d'API traités dans Edge ?

Apigee Edge est une solution qui permet d'éviter toute utilisation abusive des systèmes backend des clients. Ainsi, en cas d'attaque, Edge applique une protection contre les quotas, l'arrêt des pics, les menaces, etc. pour absorber l'utilisation abusive au niveau de la couche Apigee Cloud, en fonction de la configuration. Une personne disposant de la clé API valide et n'ayant pas atteint la limite de quota peut continuer à accéder à cette API. Tout appel d'API traité au niveau de notre couche est comptabilisé comme un appel traité. Apigee Edge est un outil de sécurité conçu pour protéger les clients contre les attaques DDoS et d'autres types d'attaques.

Informations détaillées sur la défense contre les attaques DDoS

  1. GCP et AWS proposent une assistance DDoS au niveau du réseau en fonction des besoins (une attaque très importante).
    • Apigee maintient des contacts de sécurité chez GCP et AWS pour l'escalade et la réponse si l'assistance GCP ou AWS est nécessaire pour faire face à une attaque.
  2. Apigee Edge peut être utilisé pour mettre en œuvre des stratégies qui protègent les API des clients contre les attaques.
    • Limitation du débit
    • Les arrestations de pointe
    • Détection d'attaques par charge utile XML.
    • D’autres stratégies peuvent être écrites pour se défendre contre des attaques spécifiques.
  3. Edge utilise l'autoscaling comme capacité de défense.
  4. Apigee et le client (ainsi que GCP ou AWS) doivent collaborer lors d'une attaque DDoS. Les communications ouvertes sont importantes, et Apigee dispose en permanence de ressources de sécurité accessibles par notre équipe d'assistance.

La première réponse à une attaque DDoS consiste à utiliser Apigee Edge pour faciliter l'attaque, en activant l'arrêt des pics, la limitation du débit et même la liste de blocage des adresses IP sources. Edge propose de nombreux outils de protection contre les attaques DDoS.

Si l'attaque est suffisamment importante, Apigee peut collaborer avec le client pour escalader le problème au fournisseur de services cloud approprié pour obtenir une "assistance en amont". Chaque attaque DDoS étant unique, la réponse est déterminée lors de l'attaque. Toutefois, les bonnes pratiques et les détails nécessaires pour faciliter l'escalade sont documentés dans Atténuation des attaques par déni de service sur AWS.

N'oubliez pas que la clé est la suivante:

Élaborez un plan d'attaque. N'oubliez pas, nous sommes dans cette situation ensemble. Les clients qui pensent être attaqués doivent ouvrir une demande et demander l'aide d'Apigee.

GCP

Apigee utilise des mécanismes de défense fournis par GCP, comme indiqué dans les Bonnes pratiques de protection et d'atténuation des attaques DDoS, telles que:

  • Réseaux virtuels
  • Règles de pare-feu
  • Équilibrage de charge

AWS

AWS publie ses bonnes pratiques pour la résilience aux attaques DDoS et Comment se préparer aux attaques DDoS en réduisant votre surface d'attaque. Apigee en utilise plusieurs qui sont applicables à notre environnement:

  • VPC
  • Groupes de sécurité
  • LCA
  • Route53
  • Équilibrage de charge