Pertahanan DDoS di Edge

Anda sedang melihat dokumentasi Apigee Edge.
Buka dokumentasi Apigee X. info

Serangan distributed denial of service (DDoS) semakin besar dan lebih umum terjadi. Serangan terbaru telah mengalami tingkat traffic yang memecahkan rekor dan prediksinya akan terus memburuk. Besarnya serangan ini telah menyebabkan semua orang mengevaluasi ulang pertahanan mereka. Dengan menggunakan perangkat IoT yang disusupi, serangan DDoS kini jauh lebih besar daripada sebelumnya.

Tujuan pertahanan DDoS untuk Apigee adalah melindungi API pelanggan di setiap pusat data pelanggan. Apigee Edge Cloud dibuat untuk menerima traffic dalam jumlah besar dan menjadi filter yang membuat permintaan sebenarnya mengalir ke pusat data pelanggan dan antarmuka API mereka, sekaligus menghapus traffic berbahaya, memantau lonjakan, mengelola pembatasan kapasitas, dan membuat pelanggan kami tetap online selama serangan.

Apigee dapat mendeteksi lonjakan volume traffic, tetapi kami tidak dapat menentukan apakah lonjakan tersebut merupakan serangan, kampanye yang berhasil, atau aplikasi baru yang dirilis kepada pengguna akhir. Apigee tidak secara aktif memeriksa bagian dalam panggilan API untuk menentukan panggilan mana yang sah dan mana yang mungkin merupakan serangan. Anda dapat melihat panggilan API, tetapi tindakan tersebut bukan bagian dari operasi normal Apigee. Kami tidak meninjau payload pelanggan, karena hal itu akan menjadi pelanggaran privasi bagi sebagian besar traffic, pelanggan, dan pengguna akhir. Apigee tidak tahu apakah lonjakan tertentu pada Selasa sore disebabkan oleh serangan atau keberhasilan penerapan aplikasi dan layanan pelanggan secara tiba-tiba. Apigee dapat melihat lonjakan, tetapi tanpa detail dan konteks tambahan yang jelas bagi pelanggan, tetapi tidak tersedia untuk Apigee, kami tidak akan tahu cara meresponsnya. Skenario terburuknya adalah jika Apigee memblokir serangan, tetapi ternyata itu adalah kesuksesan pemasaran besar yang baru saja dihentikan oleh Apigee dengan memblokir aplikasi selama periode panasnya.

Bagaimana pendekatan Apigee terhadap pertahanan DDoS?

Apigee Edge adalah alat di kotak alat keamanan. Alat ini tersedia untuk dikonfigurasi oleh pelanggan sesuai kebutuhan untuk memblokir traffic berbahaya, membatasi traffic yang valid tetapi berlebihan, atau memproses pemuatan lebih cepat daripada yang dapat direspons backend pelanggan dan mencegah pusat data pelanggan kewalahan. Apigee Edge menyediakan kemampuan yang memungkinkan pelanggan kami membuat kebijakan keamanan yang sangat spesifik untuk mempertahankan layanan API sebenarnya di balik Apigee. Edge adalah lapisan defensif yang dapat diskalakan sesuai kebutuhan untuk menyerap lonjakan traffic besar (seperti serangan DDoS) sekaligus membatasi dampaknya ke backend (pusat data pelanggan).

Karena Apigee tidak mengelola dan menginterogasi payload setiap panggilan untuk setiap pelanggan, kemampuan untuk mengidentifikasi serangan ada pada pelanggan. Namun, respons terhadap serangan harus dikoordinasikan dengan pelanggan dan Apigee. Apigee bahkan dapat melibatkan penyedia cloud (GCP atau AWS) jika diperlukan.

Apigee, GCP, dan AWS tidak akan memblokir traffic yang ditujukan kepada pelanggan. Jika Apigee menentukan bahwa traffic tersebut berbahaya, kami akan menghubungi pelanggan dan menawarkan bantuan. Namun, karena skala Apigee Edge, volume traffic yang sederhana bukanlah pemicu untuk memblokir traffic.

Pelanggan dapat menggunakan Edge untuk membuat kebijakan yang melindungi dari serangan (termasuk DDoS). Kebijakan ini tidak dibuat secara otomatis. Hal ini menyiratkan bahwa tidak ada yang unik tentang API, data, atau layanan setiap pelanggan. Apigee tidak dapat mengaktifkan kebijakan ini tanpa input dari pelanggan. Artinya, Apigee meninjau data pelanggan dan membuat keputusan tentang data yang valid dan yang tidak valid.

Edge adalah alat yang akan digunakan, dan dapat digunakan untuk melakukan hal-hal yang diperlukan pelanggan untuk mempertahankan API mereka. Namun, pertahanan API memerlukan beberapa pekerjaan dari pelanggan.

Tujuannya adalah untuk melindungi layanan API pelanggan. Ini adalah salah satu fitur dan kemampuan Edge Cloud.

Sebenarnya, ini adalah masalah pemblokiran berbagai jenis traffic DDoS sejauh mungkin dari API yang sebenarnya:

  • Memblokir paket jaringan yang salah format di jaringan Cloud
  • Menyerap banjir paket yang terbentuk dengan benar tetapi tidak lengkap di lapisan platform Edge
  • Menghapus panggilan API yang salah format di lapisan Edge
  • Memblokir panggilan yang dibuat dengan benar, tetapi tidak sah dalam Edge
  • Memblokir panggilan yang dibuat dengan benar dan diizinkan, tetapi berlebihan dalam Edge
  • Gunakan Sense untuk mendeteksi kunci yang valid dan dibentuk dengan benar, permintaan API yang valid yang berada di luar akses yang diharapkan atau diizinkan
  • Hanya teruskan panggilan API yang valid, sah, dapat diterima, dan dalam batas yang disetujui ke pusat data pelanggan

Pertanyaan umum lainnya

Dapatkah Apigee melakukan daftar tolak (ip|country|url)?

Ya, jika kebijakan dibuat, dikonfigurasi, dan diaktifkan di Edge dalam organisasi Edge pelanggan.

Dapatkah Apigee mendeteksi bot atau aktivitas berbahaya serupa?

Apigee menawarkan layanan deteksi bot yang disebut Sense.

Apakah Apigee akan memblokir traffic saya?

Apigee tidak akan memblokir traffic yang ditujukan ke pelanggan. Jika Apigee dapat menentukan bahwa traffic bersifat berbahaya, kami akan menghubungi pelanggan dan menawarkan bantuan. Namun, karena skala Apigee Edge dan penyedia cloud kami (GCP dan AWS), volume traffic yang besar bukanlah pemicu untuk memblokir traffic.

Apakah serangan DoS atau DDoS dihitung sebagai panggilan API yang diproses di Edge?

Apigee Edge adalah solusi yang membantu mencegah penyalahgunaan sistem backend pelanggan. Jadi, jika terjadi serangan, Edge akan menerapkan kuota/pembatasan lonjakan/perlindungan terhadap ancaman, dll. untuk menyerap penyalahgunaan di lapisan Apigee Cloud, berdasarkan konfigurasi. Pengguna dengan kunci API yang valid dan berada di bawah batas kuota masih dapat terus mengakses API tersebut. Untuk setiap panggilan API yang diproses di lapisan kami, panggilan tersebut akan dihitung sebagai panggilan yang diproses. Apigee Edge adalah alat dalam toolbox keamanan untuk pertahanan pelanggan terhadap DDoS dan jenis serangan lainnya.

Informasi pertahanan DDoS mendetail

  1. GCP dan AWS menawarkan bantuan DDoS di tingkat jaringan jika/saat diperlukan (serangan yang sangat besar).
    • Apigee memiliki kontak keamanan di GCP dan AWS untuk melakukan eskalasi dan respons jika bantuan GCP atau AWS diperlukan untuk merespons serangan.
  2. Apigee Edge dapat digunakan untuk menerapkan kebijakan yang melindungi API pelanggan dari serangan.
    • Pembatasan kapasitas.
    • Penahanan lonjakan.
    • Deteksi serangan payload XML.
    • Kebijakan lain dapat ditulis untuk mempertahankan diri dari serangan tertentu.
  3. Edge menggunakan penskalaan otomatis sebagai kemampuan dalam pertahanan kami.
  4. Apigee dan pelanggan (serta GCP atau AWS) harus bekerja sama selama serangan DDoS. Komunikasi terbuka sangat penting, dan Apigee memiliki referensi keamanan yang dapat dihubungi tim dukungan kami kapan saja.

Respons pertama terhadap DDoS adalah menggunakan Apigee Edge untuk membantu dalam serangan: mengaktifkan penghentian lonjakan, pembatasan kapasitas, dan bahkan daftar yang ditolak untuk alamat IP sumber. Ada banyak alat yang tersedia dalam Edge untuk mempertahankan diri dari serangan DDoS.

Jika serangan memiliki volume yang cukup besar, Apigee dapat bekerja sama dengan pelanggan untuk mengeskalasikan ke penyedia cloud yang sesuai untuk mendapatkan "bantuan upstream". Karena setiap serangan DDoS bersifat unik, respons akan ditentukan selama serangan. Namun, praktik terbaik dan detail yang diperlukan untuk membantu dalam eskalasi didokumentasikan dalam Mitigasi Serangan Denial of Service di AWS.

Ingat bahwa kuncinya adalah:

Buat rencana untuk serangan. Jangan lupa, kita menghadapi hal ini bersama-sama. Pelanggan yang mencurigai bahwa mereka sedang diserang harus membuka tiket dan meminta bantuan Apigee.

GCP

Apigee menggunakan pertahanan yang disediakan oleh GCP seperti yang dinyatakan dalam Praktik Terbaik untuk Perlindungan dan Mitigasi DDoS, seperti:

  • Jaringan virtual
  • Aturan firewall
  • Load balancing

AWS

AWS memublikasikan Praktik terbaik untuk ketahanan DDoS dan Cara mempersiapkan diri menghadapi serangan DDoS dengan mengurangi permukaan serangan. Apigee menggunakan beberapa dari API ini yang berlaku untuk lingkungan kita:

  • VPC
  • Grup keamanan
  • ACL
  • Route53
  • Load balancing