הגנה מפני DDoS ב-Edge

כרגע מוצג התיעוד של Apigee Edge.
כניסה למסמכי התיעוד של Apigee X.
מידע

התקפות מניעת שירות מבוזרות (DDoS) הופכות ליותר ויותר נפוצות. בהתקפות האחרונות נרשמו רמות שיא של עומסי תנועה, ותחזיות אם המצב ימשיך להחמיר. בגלל ההיקף העצום של ההתקפות האלה, כולם שוקלים מחדש את יכולת ההגנה שלהם. בזכות השימוש במכשירי IoT בסיכון, התקפות DDoS גדולות יותר ממה שהתאפשרו בעבר.

המטרה של ההגנות מפני DDoS עבור Apigee היא להגן על ממשקי ה-API של הלקוחות במרכז הנתונים של כל לקוח. Apigee Edge Cloud נועד לקבל נפחי תעבורת נתונים גדולים ולהיות המסנן שגורם לבקשות אמיתיות לזרום למרכז נתוני הלקוחות ולממשקי ה-API שלהם, תוך הפחתת תעבורת נתונים זדונית, מעקב אחר עליות חדות, ניהול הגבלת קצב של יצירת בקשות והשארת הלקוחות במצב מקוון במהלך ההתקפה.

Apigee יכולה לזהות עליות חדות בנפח התנועה, אך אין באפשרותנו לקבוע אם העלייה החדה הזו היא מתקפה, קמפיין מוצלח או אפליקציה חדשה שהושקה למשתמשי קצה. Apigee לא מחפשת באופן פעיל את הקריאות ל-API כדי לקבוע אילו קריאות הן לגיטימיות ואילו הן כנראה התקפות. אפשר לקרוא קריאות ל-API, אבל הדבר לא חלק מהפעולות הרגילות של Apigee. אנחנו לא בודקים מטענים ייעודיים (payloads) של לקוחות כי מדובר בחדירה לפרטיות לרוב תעבורת הנתונים, הלקוחות ומשתמשי הקצה. ליוסי אין אפשרות לדעת אם עלייה חדה מסוימת ביום שלישי אחר הצהריים קשורה למתקפה או משימוש פתאומי מוצלח באפליקציה ובשירותים של הלקוחות. Apigee יכולה לראות את העלייה החדה, אבל אם אין פרטים נוספים והקשר ברור ללקוחות אבל היא לא זמינה אצל Apigee, לא נוכל לדעת איך להגיב. במקרה הגרוע ביותר, אפיג' חסמה מתקפה רק כדי לגלות שזו הייתה הצלחה שיווקית משמעותית שאפיג' נהרגה כי היא חסמה את האפליקציה במהלך התקופה החמים שלה.

איך Apigee ניגשת להגנה מפני DDoS?

Apigee Edge הוא כלי בארגז הכלים לאבטחה. הכלי מאפשר ללקוחות להגדיר לפי הצורך כדי לחסום תנועה זדונית, להגביל תעבורת נתונים חוקית אך מוגזמת או לבצע טעינה של תהליכי טעינה מהר יותר מכפי שהקצה העורפי של הלקוח יכול להגיב ולמנוע עומס על מרכז הנתונים של הלקוח. Apigee Edge מספק יכולות שמאפשרות ללקוחות שלנו ליצור מדיניות אבטחה ספציפית מאוד כדי להגן על שירותי ה-API שעומדים מאחורי Apigee. Edge היא שכבת הגנה שיכולה להתאים לפי הצורך כדי לספוג עליות חדות בנפח התנועה (כמו התקפת DDoS) ולהגביל את ההשפעה לקצה העורפי (מרכזי הנתונים של הלקוחות).

מאחר ש-Apigee לא מנהל וחוקר את המטען הייעודי (payload) של כל קריאה לכל לקוח, היכולת לזהות תקיפה נתונה בידי הלקוח. עם זאת, התגובה למתקפה צריכה להיות מתואמת גם עם הלקוח וגם עם Apigee. Apigee יכולה גם לערב את ספק שירותי הענן (GCP או AWS), במידת הצורך.

Apigee, GCP ו-AWS לא מבצעים תעבורת נתונים שחורה שמיועדת ללקוח. אם Apigee תקבע שהתנועה היא זדונית, אנחנו ניצור קשר עם הלקוח ונציע לעזור. עם זאת, בשל ההיקף של Apigee Edge, הנפח הפשוט של התנועה הוא לא הגורם לחסימה של תעבורת נתונים.

לקוחות יכולים להשתמש ב-Edge כדי ליצור מדיניות שמגינה מפני מתקפות (כלולות DDoS). כללי המדיניות האלה לא מוגדרים מראש. המשמעות היא שאין שום דבר ייחודי בממשקי ה-API, בנתונים או בשירותים של כל לקוח. Apigee לא יכולה להפעיל את כללי המדיניות האלה ללא קלט מהלקוח. המשמעות היא ש-Apigee בודקת את נתוני הלקוח ומקבלת החלטות לגבי הערכים חוקיים ומה לא.

Edge הוא כלי שאפשר להשתמש בו, ואפשר להשתמש בו כדי לבצע את הפעולות שהלקוחות צריכים כדי להגן על ממשקי ה-API שלהם. אבל הגנת ה-API מחייבת עבודה מסוימת מצד הלקוח.

המטרה היא להגן על שירותי ה-API של הלקוח. זו אחת התכונות והיכולות של Edge Cloud.

למעשה, צריך לחסום סוגים שונים של תעבורת DDoS במרחק רב ככל האפשר מממשקי ה-API בפועל:

  • חסימה של חבילות רשת לא תקינות ברשת של הענן
  • לספוג שיטפון של חבילות שנוצרו בצורה תקינה אך לא שלמות בשכבת פלטפורמת Edge
  • ביטול קריאות ל-API לא תקינות בשכבה של Edge
  • חסימה של קריאות שנוצרות כראוי אבל לא מורשות ב-Edge
  • חסימה במבנה תקין ומאושר, אבל שימוש מוגזם בקריאות ב-Edge
  • בעזרת Sense ניתן לזהות מפתחות תקפים ומפתחות בעלי מבנה תקין ובקשות API תקפות שלא מגיעות להרשאת הגישה הצפויה או שלא מותרת
  • יש להעביר למרכז הנתונים של הלקוחות רק את הקריאות התקינות, המאושרות, הקבילות ובמגבלות ה-API שאושרו

שאלות נפוצות אחרות

האם Apigee יכולה להוסיף רשימת ישויות שנחסמו (ip|country|url)?

כן, אם המדיניות נוצרת, מוגדרת ומופעלת ב-Edge בתוך ארגון Edge של הלקוח.

האם Apigee יכולה לזהות בוטים או פעילויות זדוניות דומות?

Apigee מציעה שירות לזיהוי בוטים בשם Sense.

האם Apigee בצבע שחור יפנה לי לתנועה?

Apigee לא תחסום תנועה שמיועדת ללקוח. אם Apigee תוכל לקבוע שהתנועה זדונית, אנחנו ניצור קשר עם הלקוח ונציע לעזור. עם זאת, בגלל ההיקף של Apigee Edge וספקי שירותי הענן שלנו (GCP ו-AWS), הנפח העצום של תעבורת הנתונים לא גורם לחסימה של תעבורת הנתונים.

האם התקפת מניעת שירות (DoS או DDoS) נספרת כקריאות ל-API שעברו עיבוד ב-Edge?

Apigee Edge הוא פתרון שעוזר למנוע ניצול לרעה של מערכות קצה עורפי של לקוחות. לכן במקרה של תקיפה, Edge אוכף את מכסה/מעצר בגלל איומים/הגנה מפני איומים וכו' כדי לספוג את הניצול לרעה בשכבת הענן של Apigee, על סמך ההגדרות האישיות. משתמש עם מפתח API תקין שלא עומד במכסת ה-API עדיין יוכל לגשת אליו. כל קריאה ל-API שמעובדת בשכבה שלנו תיספר כקריאה מעובדת. Apigee Edge הוא כלי שנמצא בארגז כלי האבטחה, והוא עוזר ללקוחות להתגונן מפני DDoS וסוגים אחרים של מתקפות.

מידע מפורט על אמצעי ההגנה מפני DDoS

  1. GCP ו-AWS מציעים סיוע ב-DDoS ברמת הרשת לפי הצורך (התקפה גדולה מאוד).
    • Apigee מנהלת את אנשי הקשר בנושאי אבטחה ב-GCP וב-AWS, לטיפול ברמה גבוהה יותר ובתגובה למקרים שבהם יש צורך בעזרה של GCP או של AWS כדי להגיב למתקפה.
  2. אפשר להשתמש ב-Apigee Edge להטמעת מדיניות שמגינה על ממשקי API של לקוחות מפני תקיפות.
    • הגבלת הקצב של יצירת הבקשות.
    • עלייה חדה במספר המעצרים.
    • זיהוי תקיפה של מטען ייעודי (payload) ב-XML.
    • אפשר לכתוב כללי מדיניות אחרים להגנה מפני התקפות ספציפיות.
  3. Edge עושה שימוש בשינוי גודל אוטומטי כאמצעי ההגנה שלנו.
  4. Apigee והלקוח (ו-GCP או AWS) צריכים לעבוד יחד במהלך מתקפת DDoS. חשוב תקשורת פתוחה, ול-Apigee יש משאבי אבטחה זמינים לפנייה לצוות התמיכה שלנו בכל זמן.

התגובה הראשונה למתקפות DDoS היא שימוש ב-Apigee Edge כדי לסייע במתקפה: מתן אפשרות למעצר בתדירות גבוהה, הגבלת קצב של יצירת בקשות ואפילו הצגת כתובות IP שמכילות מקור של רשימת ישויות שנחסמו. ב-Edge יש כלים רבים שעוזרים להגן מפני התקפת DDoS.

אם מתקפה בנפח גדול מספיק, Apigee יכולה לפנות ללקוח כדי להסלים אותה לספק שירותי הענן המתאים, לקבלת "עזרה ב-upstream". מכיוון שכל התקפת DDoS היא ייחודית, התגובה תיקבע במהלך ההתקפה. עם זאת, במאמר התקפת מניעת שירות (DoS) ב-AWS תוכלו למצוא שיטות מומלצות ופרטים נוספים שיעזרו לכם להעביר את הבקשה לטיפול ברמה גבוהה יותר.

חשוב לזכור שהמפתח הוא:

ליצור תוכנית להתקפות. אל תשכחו, אנחנו עוברים את זה ביחד. לקוחות שחשודים שהם מתקיפים צריכים לפתוח פנייה ולבקש את עזרתו של Apigee.

GCP

ב-Apigee נעשה שימוש באמצעי הגנה שסופקו על ידי GCP, כפי שמתואר בשיטות המומלצות להגנה וצמצום DDoS, כמו:

  • רשתות וירטואליות
  • כללי חומת אש
  • איזון עומסים

AWS

AWS מפרסמת שיטות מומלצות לעמידות בפני DDoS ואיך להתכונן למתקפות DDoS על ידי צמצום שטח ההתקפה. ב-Apigee משתמשים בכמה מהכלים הבאים שרלוונטיים לסביבה שלנו:

  • VPC
  • קבוצות אבטחה
  • ACLs (רשימות בקרת גישה)
  • Route53
  • איזון עומסים