Pertahanan DDoS di Edge

Anda sedang melihat dokumentasi Apigee Edge.
Buka dokumentasi Apigee X. info

Serangan {i>Distributed denial-of-service<i} (DDoS) menjadi semakin besar dan umum terjadi. Serangan baru-baru ini telah menghasilkan tingkat traffic yang memecahkan rekor dan diprediksi akan terus menjadi lebih buruk. Besarnya serangan ini telah menyebabkan semua orang mengevaluasi kembali pertahanan mereka. Dengan menggunakan perangkat IoT yang disusupi, serangan DDoS sekarang jauh lebih besar dari sebelumnya.

Tujuan pertahanan DDoS untuk Apigee adalah untuk melindungi API pelanggan di pusat data setiap pelanggan. Apigee Edge Cloud dibangun untuk menerima volume traffic yang besar dan menjadi filter yang membuat permintaan nyata tetap mengalir ke pusat data pelanggan dan antarmuka API mereka sekaligus menurunkan traffic berbahaya, mengawasi lonjakan, mengelola pembatasan kapasitas, dan menjaga pelanggan tetap online melalui serangan tersebut.

Apigee dapat mendeteksi lonjakan volume traffic, tetapi kami tidak dapat menentukan apakah lonjakan tersebut merupakan serangan, kampanye yang berhasil, atau aplikasi baru yang dirilis ke pengguna akhir. Apigee tidak secara aktif memeriksa ke dalam panggilan API untuk menentukan panggilan mana yang sah dan mana yang mungkin merupakan serangan. Anda dapat melihat panggilan API, tetapi hal itu bukan bagian dari operasi normal Apigee. Kami tidak meninjau payload pelanggan, karena hal tersebut akan menjadi invasi privasi bagi sebagian besar traffic, pelanggan, dan pengguna akhir. Apigee tidak mengetahui apakah lonjakan tertentu pada Selasa siang disebabkan oleh serangan atau keberhasilan aplikasi dan layanan pelanggan secara tiba-tiba. Apigee dapat melihat lonjakan tersebut, tetapi tanpa detail dan konteks tambahan yang jelas bagi pelanggan tetapi tidak tersedia untuk Apigee, kami tidak tahu cara meresponsnya. Skenario terburuknya adalah jika Apigee memblokir serangan, tetapi kemudian mendapati keberhasilan pemasarannya sangat besar, yang baru saja dihentikan Apigee dengan memblokir aplikasi selama periode panasnya.

Bagaimana cara Apigee melakukan pendekatan pertahanan terhadap DDoS?

Apigee Edge adalah alat di kotak alat keamanan. Alat ini tersedia bagi pelanggan untuk dikonfigurasi sesuai kebutuhan guna memblokir traffic berbahaya, membatasi traffic yang valid tetapi berlebihan, atau pemuatan proses yang lebih cepat daripada yang dapat direspons oleh backend pelanggan dan mencegah agar pusat data pelanggan tidak kewalahan. Apigee Edge menyediakan kemampuan yang memungkinkan pelanggan kami membuat kebijakan keamanan yang sangat spesifik untuk mempertahankan layanan API sebenarnya di balik Apigee. Edge adalah lapisan pertahanan yang dapat diskalakan sesuai kebutuhan untuk menyerap lonjakan traffic yang besar (seperti serangan DDoS) sekaligus membatasi dampaknya pada backend (pusat data pelanggan).

Karena Apigee tidak mengelola dan menginterogasi payload dari setiap panggilan untuk setiap pelanggan, kemampuan untuk mengidentifikasi serangan ada di tangan pelanggan. Namun, respons terhadap serangan harus dikoordinasikan dengan pelanggan dan Apigee. Apigee bahkan dapat melibatkan penyedia cloud (GCP atau AWS) jika diperlukan.

Apigee, GCP, dan AWS tidak akan melakukan blackhole traffic yang ditujukan untuk pelanggan. Jika Apigee memutuskan bahwa traffic tersebut berbahaya, kami akan berkomunikasi dengan pelanggan dan menawarkan bantuan. Namun, karena skala Apigee Edge, volume traffic yang sederhana bukanlah pemicu untuk memblokir traffic.

Pelanggan dapat menggunakan Edge untuk membuat kebijakan yang melindungi dari serangan (termasuk DDoS). Kebijakan ini tidak dibuat sebagai bawaan. Artinya, tidak ada yang unik tentang API, data, atau layanan setiap pelanggan. Apigee tidak dapat mengaktifkan kebijakan ini tanpa input dari pelanggan. Artinya, Apigee sedang meninjau data pelanggan dan membuat keputusan terkait mana yang valid dan tidak.

Edge adalah alat yang akan digunakan, dan dapat digunakan untuk melakukan hal-hal yang diperlukan pelanggan untuk mempertahankan API mereka. Namun, pertahanan API memerlukan beberapa upaya dari pelanggan.

Tujuannya adalah untuk melindungi layanan API pelanggan. Itu adalah salah satu fitur dan kemampuan Edge Cloud.

Sebenarnya, pemblokiran berbagai jenis traffic DDoS sejauh mungkin dari API yang sebenarnya adalah masalah:

  • Memblokir paket jaringan yang salah format di jaringan Cloud
  • Menyerap banyak paket yang diformat dengan benar tetapi tidak lengkap di lapisan platform Edge
  • Menghapus panggilan API yang salah format di lapisan Edge
  • Memblokir panggilan yang diformat dengan benar tetapi tidak sah di dalam Edge
  • Memblokir panggilan yang diformat dan diotorisasi dengan benar tetapi berlebihan di dalam Edge
  • Gunakan Sense untuk mendeteksi kunci yang valid dan diformat dengan benar, permintaan API yang valid yang berada di luar akses yang Anda harapkan atau yang diizinkan
  • Teruskan hanya panggilan api yang valid, diizinkan, dapat diterima, dan dalam batas yang disetujui ke pusat data pelanggan

Pertanyaan umum lainnya

Dapatkah Apigee melakukan daftar tolak (ip|country|url)?

Ya, jika kebijakan dibuat, dikonfigurasi, dan diaktifkan di Edge dalam organisasi Edge pelanggan.

Dapatkah Apigee mendeteksi bot atau aktivitas berbahaya serupa?

Apigee menawarkan layanan deteksi bot yang disebut Sense.

Apakah Apigee akan memproses traffic blackhole untuk saya?

Apigee tidak akan melakukan blackhole traffic yang ditujukan untuk pelanggan. Jika Apigee dapat menentukan bahwa traffic tersebut berbahaya, kami akan berkomunikasi dengan pelanggan dan menawarkan bantuan. Namun, karena skala Apigee Edge dan penyedia cloud kami (GCP dan AWS), besarnya volume traffic bukanlah pemicu untuk memblokir traffic.

Apakah serangan DoS atau DDoS dihitung sebagai panggilan API yang diproses di Edge?

Apigee Edge adalah solusi yang membantu mencegah penyalahgunaan sistem backend pelanggan. Jadi, jika terjadi serangan, Edge akan menerapkan perlindungan kuota/penanganan/ancaman, dll. untuk menyerap penyalahgunaan pada lapisan Cloud Apigee, berdasarkan konfigurasi. Seseorang dengan kunci API yang valid dan berada di bawah batas kuota masih dapat terus mengakses API tersebut. Untuk setiap panggilan API yang diproses di lapisan kita akan dihitung sebagai panggilan yang diproses. Apigee Edge adalah alat dalam toolbox untuk perlindungan pelanggan terhadap DDoS dan jenis serangan lainnya.

Informasi pertahanan DDoS mendetail

  1. GCP dan AWS menawarkan bantuan DDoS di tingkat jaringan sesuai/saat diperlukan (serangan yang sangat besar).
    • Apigee mengelola kontak keamanan di GCP dan AWS untuk eskalasi dan respons jika bantuan GCP atau AWS diperlukan untuk merespons serangan.
  2. Apigee Edge dapat digunakan untuk menerapkan kebijakan yang melindungi API pelanggan dari serangan.
    • Pembatasan kapasitas.
    • Penangkapan lonjakan.
    • Deteksi serangan payload XML.
    • Kebijakan lain dapat ditulis untuk mempertahankan diri dari serangan tertentu.
  3. Edge menggunakan penskalaan otomatis sebagai kemampuan dalam pertahanan kami.
  4. Apigee dan pelanggan (serta GCP atau AWS) perlu bekerja sama selama serangan DDoS. Komunikasi yang terbuka itu penting, dan Apigee memiliki resource keamanan yang siap dihubungi kepada tim dukungan kami setiap saat.

Respons pertama terhadap DDoS adalah dengan menggunakan Apigee Edge untuk membantu serangan tersebut: memungkinkan penangkapan lonjakan, pembatasan kapasitas, dan bahkan menolak daftar alamat IP sumber. Ada banyak alat yang tersedia di dalam Edge untuk bertahan dari serangan DDoS.

Jika serangan bervolume cukup besar, Apigee dapat bekerja sama dengan pelanggan untuk mengeskalasikannya ke penyedia cloud yang sesuai untuk mendapatkan "bantuan upstream". Karena setiap serangan DDoS bersifat unik, responsnya akan ditentukan selama serangan tersebut. Namun, praktik terbaik dan detail yang diperlukan untuk membantu dalam eskalasi didokumentasikan dalam Mitigasi Serangan Denial of Service di AWS.

Ingat bahwa kuncinya adalah:

Membuat rencana untuk serangan. Jangan lupa, kita menghadapinya bersama. Pelanggan yang mencurigai bahwa mereka sedang diserang harus membuka tiket dan meminta bantuan Apigee.

GCP

Apigee menggunakan pertahanan yang disediakan oleh GCP seperti yang dinyatakan dalam Praktik Terbaik untuk Perlindungan dan Mitigasi DDoS, seperti:

  • Jaringan virtual
  • Aturan firewall
  • Load balancing

AWS

AWS memublikasikan Praktik terbaik untuk ketahanan DDoS dan Cara bersiap menghadapi serangan DDoS dengan mengurangi permukaan serangan. Apigee menggunakan beberapa resource yang berlaku untuk lingkungan kita:

  • VPC
  • Grup keamanan
  • ACL
  • Route53
  • Load balancing