הגנה מפני DDoS ב-Edge

אתם צופים במסמכי העזרה של Apigee Edge.
כניסה למסמכי העזרה של Apigee X. info

התקפות מניעת שירות מבוזרות (DDoS) נעשות גדולות יותר ויותר נפוצות. במתקפות האחרונות נרשמה עלייה משמעותית בנפח התנועה, והתחזיות הן שהמצב ישתנה לרעה. היקף ההתקפות האלה גרם לכולם לבדוק מחדש את ההגנות שלהם. בעזרת מכשירים נפרצים של IoT, מתקפות DDoS הן עכשיו הרבה יותר גדולות ממה שהיה אפשרי בעבר.

המטרה של ההגנות מפני התקפות DDoS ב-Apigee היא להגן על ממשקי ה-API של הלקוחות בכל מרכז נתונים של הלקוח. ‏Apigee Edge Cloud נועד לקבל נפחי תנועה גדולים ולהיות המסנן שמאפשר לבקשות אמיתיות לעבור למרכז הנתונים של הלקוח ולממשקי ה-API שלו, ובמקביל משמש לדחיית תעבורת נתונים זדונית, למעקב אחרי עליות חדות בתנועה, לניהול הגבלת הקצב ולשמירה על הלקוחות שלנו באינטרנט במהלך ההתקפה.

מערכת Apigee יכולה לזהות עליות חדות בנפח התנועה, אבל אנחנו לא יכולים לקבוע אם העלייה הזו היא התקפה, קמפיין מוצלח או אפליקציה חדשה ששוחררה למשתמשים קצה. מערכת Apigee לא בודקת באופן פעיל את הקריאות ל-API כדי לקבוע אילו קריאות הן לגיטימיות ואילו הן כנראה התקפות. אפשר לצפות בקריאות ל-API, אבל הפעולה הזו לא נכללת בפעולות הרגילות של Apigee. אנחנו לא בודקים את עומסי העבודה של הלקוחות, כי זה יהיה פגיעה בפרטיות של רוב התנועה, הלקוחות ומשתמשי הקצה. מערכת Apigee לא יודעת אם עלייה חדה מסוימת ביום שלישי אחר הצהריים נובעת מהתקפה או מעלייה חדה ומפתיעה בשימוש באפליקציות ובשירותים של הלקוחות. מערכת Apigee יכולה לראות את העלייה החדה, אבל בלי פרטים נוספים והקשר שברורים ללקוחות אבל לא זמינים ל-Apigee, לא נדע איך להגיב. התרחיש הגרוע ביותר הוא ש-Apigee תחסום התקפה, רק כדי לגלות שמדובר בהצלחה שיווקית גדולה ש-Apigee פשוט ביטלה על ידי חסימת האפליקציה בתקופה החמה שלה.

איך Apigee מגינה מפני התקפות DDoS?

Apigee Edge הוא כלי בארגז הכלים של האבטחה. הלקוח יכול להגדיר את הכלי לפי הצורך כדי לחסום תעבורה זדונית, להגביל תעבורה תקינה אך מוגזמת או לעבד עומסי עבודה מהר יותר ממה שקצוות העורפי של הלקוח יכולים להגיב, וכך למנוע עומס יתר על מרכז הנתונים של הלקוח. Apigee Edge מספק יכולות שמאפשרות ללקוחות שלנו ליצור מדיניות אבטחה ספציפית מאוד כדי להגן על שירותי ה-API בפועל שמאחורי Apigee. Edge הוא שכבת הגנה שאפשר להתאים לפי הצורך כדי לספוג עליות חדות בנפח התנועה (כמו התקפת DDoS), תוך הגבלת ההשפעה על הקצה העורפי (מרכזי הנתונים של הלקוחות).

מאחר ש-Apigee לא מנהלת את עומס העבודה של כל קריאה לכל לקוח ולא בודקת אותו, היכולת לזהות התקפה היא בידי הלקוח. עם זאת, התגובה לתקיפת סייבר צריכה להיות מתואמת עם הלקוח ועם Apigee. אם צריך, Apigee יכולה גם לערב את ספק הענן (GCP או AWS).

תנועה שמגיעה ללקוח לא תישלח לבור שחור ב-Apigee, ב-GCP וב-AWS. אם מערכת Apigee תזהה שהתנועה זדונית, נודיע ללקוח ונציע לו עזרה. עם זאת, בגלל ההיקף של Apigee Edge, נפח התנועה לא גורם לחסימת התנועה.

לקוחות יכולים להשתמש ב-Edge כדי ליצור כללי מדיניות להגנה מפני התקפות (כולל התקפות DDoS). כללי המדיניות האלה לא מובנים מאליהם. המשמעות של כך היא שאין דבר ייחודי בממשקי ה-API, בנתונים או בשירותים של כל לקוח. צוות Apigee לא יכול להפעיל את כללי המדיניות האלה בלי מידע מהלקוח. במקרה כזה, מערכת Apigee תבדוק את הנתונים של הלקוח ותקבל החלטות לגבי מה תקף ומה לא.

Edge הוא כלי שאפשר להשתמש בו כדי לבצע את הפעולות שהלקוחות צריכים כדי להגן על ממשקי ה-API שלהם. עם זאת, הגנה על ממשקי API דורשת עבודה מסוימת מצד הלקוח.

המטרה היא להגן על שירותי ה-API של הלקוחות. זו אחת מהתכונות והיכולות של Edge Cloud.

למעשה, מדובר בחסימת סוגי תנועה שונים של התקפת DDoS כמה שיותר רחוק מממשקי ה-API בפועל:

  • חסימה של חבילות נתונים ברשת עם פורמט שגוי ברשת של הענן
  • ספיגת שיטפון של חבילות שנוצרו בצורה תקינה אבל לא הושלמה בשכבת פלטפורמת הקצה
  • השמטת קריאות API עם פורמט שגוי בשכבת הקצה
  • חסימת קריאות שנוצרו בצורה תקינה אבל לא מורשות ב-Edge
  • חסימה של קריאות תקינות ומורשות, אבל מוגזמות, ב-Edge
  • שימוש ב-Sense כדי לזהות מפתחות תקינים בפורמט תקין, ובקשות API תקינות שמחוץ לגישה הצפויה או המותרת
  • העברה של קריאות API תקינות, מורשות, מקובלות ועומדות במגבלות המאושרות למרכז הנתונים של הלקוח

שאלות נפוצות אחרות

האם אפשר להוסיף לרשימה השחורה של Apigee (ip|country|url)?

כן, אם המדיניות נוצרת, מוגדרת ומופעל ב-Edge בארגון של הלקוח ב-Edge.

האם Apigee יכול לזהות בוטים או פעילויות זדוניות דומות?

ב-Apigee יש שירות לזיהוי בוטים שנקרא Sense.

האם Apigee תעביר תנועה לבור שחור בשבילי?

מערכת Apigee לא תעביר לבור תנועה שמגיעה ללקוח. אם מערכת Apigee תוכל לקבוע שהתנועה היא זדונית, נודיע ללקוח ונציע לו עזרה. עם זאת, בגלל ההיקף של Apigee Edge ושל ספקי הענן שלנו (GCP ו-AWS), נפח התנועה העצום לא גורם לחסימת התנועה.

האם התקפת DoS או DDoS נספרת כקריאות API שעברו עיבוד ב-Edge?

Apigee Edge הוא פתרון שעוזר למנוע ניצול לרעה של מערכות הקצה העורפי של הלקוחות. לכן, במקרה של התקפה, Edge יאכוף מכסות, יפסיק עליות חדות בשימוש, יגן מפני איומים וכו' כדי לספוג את ניצול לרעה בשכבת Apigee Cloud, על סמך ההגדרה. משתמש עם מפתח API תקין שלא חרג מהמכסה עדיין יוכל להמשיך לגשת ל-API הזה. כל קריאה ל-API שמעובדת בשכבה שלנו נספרת כקריאה שעברה עיבוד. ‏Apigee Edge הוא כלי בארגז הכלים של האבטחה, שמאפשר ללקוחות להגן מפני מתקפות DDoS וסוגים אחרים של התקפות.

מידע מפורט על הגנה מפני DDoS

  1. GCP ו-AWS מציעים עזרה במתקפת DDoS ברמת הרשת לפי הצורך (התקפה גדולה מאוד).
    • ל-Apigee יש אנשי קשר בנושאי אבטחה ב-GCP וב-AWS לצורך העברה לטיפול ברמה גבוהה יותר ותגובה במקרה שנדרשת עזרה מ-GCP או מ-AWS בתגובה להתקפה.
  2. אפשר להשתמש ב-Apigee Edge כדי להטמיע מדיניות שמגינה על ממשקי ה-API של הלקוחות מפני התקפות.
    • הגבלת קצב של יצירת בקשות.
    • עלייה חדה במספר המעצרים.
    • זיהוי התקפות של עומסי עבודה (payload) ב-XML.
    • אפשר לכתוב כללי מדיניות אחרים כדי להגן מפני התקפות ספציפיות.
  3. אנחנו משתמשים בהתאמה לעומס (autoscaling) ב-Edge כחלק מההגנה שלנו.
  4. Apigee והלקוח (וגם GCP או AWS) צריכים לעבוד יחד במהלך התקפת DDoS. תקשורת פתוחה חשובה, ול-Apigee יש משאבי אבטחה שזמינים לצוות התמיכה שלנו בכל עת.

התגובה הראשונה להתקפת DDoS היא להשתמש ב-Apigee Edge כדי לעזור במהלך ההתקפה: הפעלת מניעת התקפות פסגה, הגבלת קצב יצירת הבקשות ואפילו הוספה של כתובות IP של מקורות לרשימה השחורה. יש הרבה כלים זמינים ב-Edge להגנה מפני מתקפת DDoS.

אם מדובר בהתקפה בנפח גדול מספיק, צוות Apigee יכול לעבוד עם הלקוח כדי להעביר את הטיפול לספק הענן המתאים לקבלת "עזרה בחלק העליון של צינור עיבוד הנתונים". מאחר שכל התקפת DDoS היא ייחודית, התגובה תיקבע במהלך ההתקפה. עם זאת, השיטות המומלצות והפרטים הנדרשים כדי לעזור בהעברה לטיפול ברמה גבוהה יותר מתועדים במאמר מיזעור התקפות מניעת שירות ב-AWS.

חשוב לזכור שהמפתח הוא:

יצירת תוכנית למקרה התקפה חשוב לזכור שאנחנו עוברים את זה יחד. לקוחות שסומכים שהם מותקפים צריכים לפתוח כרטיס ולבקש עזרה מ-Apigee.

GCP

ב-Apigee נעשה שימוש באמצעי הגנה ש-GCP מספקת, כפי שמתואר בשיטות המומלצות להגנה על DDoS ולצמצום שלהן, למשל:

  • רשתות וירטואליות
  • כללי חומת אש
  • איזון עומסים

AWS

AWS מפרסמת את השיטות המומלצות להתאמה לעמידות בהתקפות DDoS ואת הדרכה ליצירת תשתית פחות חשופה להתקפות DDoS. ב-Apigee נעשה שימוש בכמה מהן שרלוונטיות לסביבה שלנו:

  • VPC
  • קבוצות אבטחה
  • ACLs (רשימות בקרת גישה)
  • Route53
  • איזון עומסים