Difesa DDoS in Edge

Stai visualizzando la documentazione di Apigee Edge.
Vai alla documentazione di Apigee X. info

Gli attacchi di tipo DDoS (Distributed Denial of Service) stanno diventando sempre più frequenti e di maggiore entità. Gli attacchi recenti hanno registrato livelli record di traffico e le previsioni indicano che la situazione continuerà a peggiorare. Le dimensioni di questi attacchi hanno costretto tutti a rivalutare le proprie difese. Con l'uso di dispositivi IoT compromessi, gli attacchi DDoS ora sono molto più grandi di quanto fosse possibile in precedenza.

Lo scopo delle difese DDoS per Apigee è proteggere le API dei clienti nel data center di ciascun cliente. Apigee Edge Cloud è progettato per accettare grandi volumi di traffico ed essere il filtro che consente alle richieste reali di raggiungere il data center di un cliente e le sue interfacce API, al contempo eliminando il traffico dannoso, monitorando i picchi, gestendo il limite di frequenza e mantenendo i nostri clienti online durante l'attacco.

Apigee è in grado di rilevare picchi nel volume di traffico, ma non può determinare se si tratta di un attacco, di una campagna di successo o di una nuova applicazione rilasciata agli utenti finali. Apigee non esamina attivamente le chiamate API per determinare quali sono legittime e quali sono probabilmente attacchi. È possibile esaminare le chiamate API, ma questa operazione non fa parte delle normali operazioni di Apigee. Non esaminiamo i payload dei clienti, perché ciò costituirebbe un'invasione della privacy per la maggior parte del traffico, dei clienti e degli utenti finali. Apigee non sa se un picco particolare di martedì pomeriggio è dovuto a un attacco o a un'improvvisa adozione di app e servizi dei clienti. Apigee può vedere il picco, ma senza dettagli e contesto aggiuntivi che sono evidenti per i clienti, ma non sono disponibili per Apigee, non sapremmo come rispondere. Lo scenario peggiore sarebbe se Apigee bloccasse un attacco solo per scoprire che si trattava di un grande successo di marketing che Apigee aveva appena eliminato bloccando l'app durante il suo periodo di picco.

In che modo Apigee approccia la difesa contro gli attacchi DDoS?

Apigee Edge è uno strumento della cassetta degli attrezzi per la sicurezza. Lo strumento è disponibile per il cliente, che può configurarlo in base alle proprie esigenze per bloccare il traffico dannoso, limitare il traffico valido ma eccessivo o elaborare i caricamenti più velocemente di quanto il backend del cliente possa rispondere e impedire il sovraccarico del data center del cliente. Apigee Edge offre funzionalità che consentono ai nostri clienti di creare criteri di sicurezza molto specifici per difendere i servizi API effettivi alla base di Apigee. Edge è un livello difensivo che può essere scalato in base alle esigenze per assorbire picchi di traffico elevati (ad esempio un attacco DDoS) limitando al contempo l'impatto sul backend (i data center dei clienti).

Poiché Apigee non gestisce e interroga il payload di ogni chiamata per ogni cliente, la capacità di identificare un attacco è responsabilità del cliente. Tuttavia, la risposta a un attacco deve essere coordinata sia con il cliente sia con Apigee. Se necessario, Apigee può coinvolgere anche il provider cloud (Google Cloud o AWS).

Apigee, Google Cloud e AWS non bloccheranno il traffico destinato a un cliente. Se Apigee stabilisce che il traffico è dannoso, comunicherà con il cliente e gli offrirà assistenza. Tuttavia, a causa delle dimensioni di Apigee Edge, il semplice volume di traffico non è un attivatore per bloccare il traffico.

I clienti possono utilizzare Edge per creare criteri che proteggono dagli attacchi (inclusi i DDoS). Questi criteri non sono predefiniti. Ciò implicherebbe che non c'è nulla di unico nelle API, nei dati o nei servizi di ciascun cliente. Apigee non può attivare questi criteri senza l'intervento del cliente. Ciò significa che Apigee esamina i dati del cliente e prende decisioni su cosa è valido e cosa no.

Edge è uno strumento da utilizzare e può essere utilizzato per eseguire le operazioni necessarie per difendere le API dei clienti. Tuttavia, la difesa dell'API richiede un certo impegno da parte del cliente.

L'obiettivo è proteggere i servizi API dei clienti. Questa è una delle funzionalità di Edge Cloud.

In realtà, si tratta di bloccare diversi tipi di traffico DDoS il più lontano possibile dalle API effettive:

  • Bloccare i pacchetti di rete con formato non corretto sulla rete del cloud
  • Assorbire una serie di pacchetti formattati correttamente, ma incompleti, a livello di piattaforma Edge
  • Eliminare le chiamate API con formato non corretto a livello di edge
  • Bloccare le chiamate formattate correttamente, ma non autorizzate, all'interno di Edge
  • Bloccare le chiamate formattate correttamente e autorizzate, ma eccessive, all'interno di Edge
  • Utilizza Sense per rilevare chiavi valide formattate correttamente e richieste API valide che non rientrano nell'accesso previsto o consentito
  • Trasmettere al data center del cliente solo le chiamate API valide, autorizzate, accettabili e nei limiti approvati

Altre domande comuni

Apigee può inserire nella lista negativa (ip|country|url)?

Sì, se il criterio viene creato, configurato e attivato in Edge all'interno dell'organizzazione Edge del cliente.

Apigee può rilevare bot o attività dannose simili?

Apigee offre un servizio di rilevamento dei bot chiamato Sense.

Apigee bloccherà il traffico per me?

Apigee non bloccherà il traffico destinato a un cliente. Se Apigee può stabilire che il traffico è dannoso, comunicherà con il cliente e offrirà assistenza. Tuttavia, a causa della scalabilità di Apigee Edge e dei nostri fornitori di servizi cloud (Google Cloud e AWS), l'elevato volume di traffico non è un fattore che attiva il blocco del traffico.

Un attacco DoS o DDoS viene conteggiato come chiamate API elaborate in Edge?

Apigee Edge è una soluzione che aiuta a prevenire gli abusi dei sistemi di backend dei clienti. Pertanto, in caso di attacco, Edge applicherà la quota, l'arresto degli picchi, la protezione dalle minacce e così via per assorbire l'abuso a livello di Apigee Cloud, in base alla configurazione. Un utente con una chiave API valida e che non supera il limite di quota può comunque continuare ad accedere all'API. Ogni chiamata API elaborata nel nostro livello verrà conteggiata come chiamata elaborata. Apigee Edge è uno strumento della cassetta degli attrezzi per la sicurezza per la difesa dei clienti da attacchi DDoS e di altri tipi.

Informazioni dettagliate sulla difesa dagli attacchi DDoS

  1. GCP e AWS offrono assistenza per i DDoS a livello di rete, se e quando necessario (attacco di grandi dimensioni).
    • Apigee gestisce i contatti per la sicurezza in Google Cloud e AWS per le riassegnazioni e la risposta se è necessaria l'assistenza di Google Cloud o AWS per rispondere a un attacco.
  2. Apigee Edge può essere utilizzato per implementare criteri che proteggono le API dei clienti dagli attacchi.
    • Limitazione di frequenza.
    • Arresti di picco.
    • Rilevamento di attacchi di payload XML.
    • È possibile scrivere altri criteri per difendersi da attacchi specifici.
  3. Edge utilizza la scalabilità automatica come funzionalità di difesa.
  4. Apigee e il cliente (e Google Cloud o AWS) devono collaborare durante un attacco DDoS. Le comunicazioni aperte sono importanti e Apigee ha risorse di sicurezza sempre a disposizione del nostro team di assistenza.

La prima risposta a un attacco DDoS è utilizzare Apigee Edge per contribuire a contrastarlo: attivando l'arresto degli picchi, la limitazione della frequenza e persino la lista negativa degli indirizzi IP di origine. In Edge sono disponibili molti strumenti per difendersi da un attacco DDoS.

Se l'attacco ha un volume sufficientemente elevato, Apigee può collaborare con il cliente per eseguire la riassegnazione al fornitore cloud appropriato per "assistenza a monte". Poiché ogni attacco DDoS è unico, la risposta verrà determinata durante l'attacco. Tuttavia, le best practice e i dettagli necessari per contribuire alla riassegnazione sono documentati in Denial of Service Attack Mitigation on AWS.

Ricorda che la chiave è:

Creare un piano per gli attacchi. Non dimenticare che siamo tutti sulla stessa barca. I clienti che sospettano di essere sotto attacco devono aprire un ticket e richiedere l'assistenza di Apigee.

Google Cloud

Apigee utilizza le difese fornite da Google Cloud come indicato nelle Best Practice per la protezione dagli attacchi DDoS e la mitigazione dei rischi correlati, ad esempio:

  • Reti virtuali
  • Regole firewall
  • Bilanciamento del carico

AWS

AWS pubblica le sue best practice per la resilienza agli attacchi DDoS e Come prepararsi agli attacchi DDoS riducendo la superficie di attacco. Apigee utilizza diversi di questi tipi di API applicabili al nostro ambiente:

  • VPC
  • Gruppi di sicurezza
  • ACL
  • Route53
  • Bilanciamento del carico