Difesa DDoS in Edge

Stai visualizzando la documentazione di Apigee Edge.
Vai alla documentazione di Apigee X. informazioni

Gli attacchi Distributed Denial of Service (DDoS) stanno diventando più vasti e comuni. Gli attacchi recenti hanno registrato livelli da record di traffico e le previsioni continueranno a peggiorare. L'entità di questi attacchi ha spinto tutti a rivalutare le proprie difese. Grazie all'utilizzo di dispositivi IoT compromessi, gli attacchi DDoS sono ora molto più gravi di quanto fosse possibile in precedenza.

L'obiettivo delle difese DDoS per Apigee è proteggere le API dei clienti nel data center di ogni cliente. Apigee Edge Cloud è progettato per accettare grandi volumi di traffico ed essere il filtro che fa passare le richieste reali attraverso il data center del cliente e le sue interfacce API, eliminando al contempo il traffico dannoso, osservando i picchi, gestendo la limitazione della frequenza e mantenendo i clienti online durante l'attacco.

Apigee è in grado di rilevare picchi nel volume di traffico, ma non possiamo determinare se si tratta di un attacco, di una campagna riuscita o di una nuova applicazione rilasciata agli utenti finali. Apigee non controlla attivamente le chiamate API per determinare quali chiamate sono legittime e quali probabilmente sono attacchi. È possibile esaminare le chiamate API, ma farlo non fa parte delle normali operazioni di Apigee. Non esaminiamo i payload dei clienti, perché comporterebbe una violazione della privacy per la maggior parte del traffico, dei clienti e degli utenti finali. Apigee non sa se un particolare picco di martedì pomeriggio sia dovuto a un attacco o a un'adozione improvvisa e riuscita dell'app e dei servizi dei clienti. Apigee può vedere il picco, ma senza ulteriori dettagli e contesto che sono evidenti per i clienti ma non è disponibile per Apigee, non sapremmo come rispondere. Uno scenario peggiore sarebbe se Apigee bloccasse un attacco per poi scoprire che si trattava di un grande successo di marketing che Apigee aveva appena ucciso bloccando l'app durante il suo periodo caldo.

Qual è l'approccio di Apigee alla difesa DDoS?

Apigee Edge è uno strumento molto sicuro. Lo strumento può essere configurato dal cliente in base alle esigenze della sua configurazione per bloccare il traffico dannoso, limitare il traffico valido ma eccessivo o i caricamenti dei processi più velocemente di quanto il backend del cliente possa rispondere e impedire il sovraccarico del data center. Apigee Edge fornisce funzionalità che consentono ai nostri clienti di creare criteri di sicurezza molto specifici per difendere gli effettivi servizi API alla base di Apigee. Edge è un livello difensivo che può scalare in base alle esigenze per assorbire grandi picchi di traffico (come un attacco DDoS), limitando al contempo l'impatto sul backend (data center dei clienti).

Poiché Apigee non gestisce e non interroga il payload di ogni chiamata per ogni cliente, la capacità di identificare un attacco spetta al cliente. Tuttavia, la risposta a un attacco dovrebbe essere coordinata sia con il cliente che con Apigee. Apigee può anche coinvolgere il cloud provider (GCP o AWS), se necessario.

Apigee, GCP e AWS non eseguiranno il blackhole del traffico destinato a un cliente. Se Apigee determina che il traffico è dannoso, comunicheremo con il cliente e offriremo la sua assistenza. Tuttavia, a causa della scalabilità di Apigee Edge, il semplice volume di traffico non è un trigger per bloccare il traffico.

I clienti possono utilizzare Edge per creare criteri che proteggono dagli attacchi (inclusi gli attacchi DDoS). Questi criteri non sono predefiniti. Ciò significa che le API, i dati o i servizi di ciascun cliente non sono unici. Apigee non può abilitare questi criteri senza input del cliente. Ciò significa che Apigee sta esaminando i dati del cliente e prenderà decisioni su ciò che è valido e ciò che non lo è.

Edge è uno strumento da utilizzare e può essere utilizzato per fare le cose di cui i clienti hanno bisogno per difendere le loro API. Tuttavia, la difesa delle API richiede un po' di lavoro da parte del cliente.

L'obiettivo è proteggere i servizi API dei clienti. Questa è una delle funzionalità di Edge Cloud.

Si tratta davvero di bloccare diversi tipi di traffico DDoS il più lontano possibile dalle API vere e proprie:

  • Blocca i pacchetti di rete non corretti nella rete del cloud
  • Assorbi un flusso di pacchetti correttamente formati ma incompleti al livello della piattaforma perimetrale
  • Elimina le chiamate API non corrette a livello perimetrale
  • Blocca le chiamate formattate correttamente ma non autorizzate in Edge
  • Blocca le chiamate formattate correttamente e autorizzate ma eccessive all'interno di Edge
  • Usa Sense per rilevare chiavi valide e formattate correttamente e richieste API valide che esulano dall'accesso previsto o consentito
  • Passare al data center del cliente solo le chiamate API valide, autorizzate, accettabili e entro i limiti approvati

Altre domande comuni

Apigee può inserire nella lista bloccata (ip|country|url)?

Sì, se il criterio viene creato, configurato e abilitato in Edge all'interno dell'organizzazione Edge del cliente.

Apigee è in grado di rilevare bot o attività dannose simili?

Apigee offre un servizio di rilevamento dei bot chiamato Sense.

Il traffico di Apigee verrà oscurato per me?

Apigee non eseguirà il blackhole del traffico destinato a un cliente. Se Apigee riesce a determinare che il traffico è dannoso, comunicheremo con il cliente e offriremo assistenza. Tuttavia, a causa della scalabilità di Apigee Edge e dei nostri cloud provider (GCP e AWS), l'enorme volume di traffico non determina il blocco del traffico.

Gli attacchi DoS o DDoS vengono conteggiati come chiamate API elaborate in Edge?

Apigee Edge è una soluzione che aiuta a prevenire l'abuso dei sistemi di backend dei clienti. Quindi, in caso di attacco, Edge applicherà la protezione da quota/arresto di picchi/minacce ecc. per assorbire gli abusi a livello di Apigee Cloud in base alla configurazione. Un utente con una chiave API valida e al di sotto del limite della quota può comunque continuare ad accedere all'API. Ogni chiamata API elaborata al nostro livello verrà conteggiata come chiamata elaborata. Apigee Edge è uno strumento molto utile per la difesa dei clienti dagli attacchi DDoS e altri tipi di attacchi.

Informazioni dettagliate sulla difesa dagli attacchi DDoS

  1. GCP e AWS offrono assistenza DDoS a livello di rete quando è necessario (un attacco di grandi dimensioni).
    • Apigee mantiene i contatti per la sicurezza presso GCP e AWS per le riassegnazioni e la risposta nel caso in cui sia necessaria l'assistenza di Google Cloud o AWS in caso di attacco.
  2. Apigee Edge può essere utilizzato per implementare criteri che proteggono le API dei clienti dagli attacchi.
    • Limitazione di frequenza.
    • Picchi degli arresti.
    • Rilevamento degli attacchi al payload XML.
    • Altre norme possono essere scritte per difendersi da attacchi specifici.
  3. Edge utilizza la scalabilità automatica come funzionalità per la nostra difesa.
  4. Apigee e il cliente (e GCP o AWS) devono collaborare durante un attacco DDoS. Le comunicazioni aperte sono importanti e Apigee offre sempre risorse di sicurezza al nostro team di assistenza.

La prima risposta a un DDoS è utilizzare Apigee Edge come aiuto nell'attacco, consentendo l'arresto dei picchi, la limitazione della frequenza e persino la possibilità di inserire gli indirizzi IP di origine in una lista bloccata. In Edge hai a disposizione molti strumenti per difenderti dagli attacchi DDoS.

Se l'attacco è di volume sufficientemente elevato, Apigee può collaborare con il cliente per riassegnare il problema al cloud provider appropriato per "assistenza upstream". Poiché ogni attacco DDoS è unico, la risposta verrà determinata durante l'attacco. Tuttavia, le best practice e i dettagli necessari per aiutare nell'escalation sono documentati in Denial of Service Attack Mitigation on AWS.

Ricorda che la chiave è:

Crea un piano per gli attacchi. Non dimenticate, siamo qui insieme. I clienti che sospettano di essere sotto attacco devono aprire un ticket e richiedere l'assistenza di Apigee.

GCP

Apigee utilizza le difese fornite da Google Cloud, come indicato nelle best practice per la protezione dagli attacchi DDoS e mitigazione degli attacchi DDoS, quali:

  • Reti virtuali
  • Regole firewall
  • Bilanciamento del carico

AWS

AWS pubblica le sue best practice per la resilienza DDoS e come prepararsi agli attacchi DDoS riducendo la superficie di attacco. Apigee ne utilizza molti di questi applicabili al nostro ambiente:

  • VPC
  • Gruppi di sicurezza
  • ACL
  • Route53
  • Bilanciamento del carico