Edge での DDoS 防御

分散型サービス拒否(DDoS)攻撃は拡大の一途をたどっています。最近の攻撃では記録的なレベルのトラフィックが確認され、さらに悪化し続けることが予測されています。こうした大規模の攻撃により、誰もが各自の防御手段の再評価を迫られています。不正侵入された IoT デバイスを使用することで、DDoS 攻撃は以前にも増して規模を拡大しています。

Apigee の DDoS 攻撃に対する防御の目標は、お客様それぞれのデータセンター内でお客様の API を保護することです。Apigee Edge Cloud は、大量のトラフィックを受け入れ、お客様のデータセンターと API インターフェースへの実際のリクエストの流れを維持すると同時に、悪意のあるトラフィックの削除、トラフィックの急増の監視、レート制限の管理を行い、攻撃をかわしてお客様をオンライン状態に維持するフィルタの役割を果たすように構築されています。

Apigee はトラフィック量の急増を検出できますが、それが攻撃によるものか、キャンペーンの成功やエンドユーザーへの新しいアプリケーションのリリースによるものかは判定できません。Apigee は、正当な呼び出しと、攻撃の可能性が高い呼び出しとを判定するために、API 呼び出しの内部を積極的に調べることはしません。API 呼び出しを調べることはできますが、Apigee では通常はそのようなオペレーションを行っていません。Apigee がお客様のペイロードをレビューしないのは、トラフィック、お客様、エンドユーザーの大部分に対するプライバシーの侵害になる可能性があるためです。火曜午後のトラフィック急増が攻撃によるものであるか、お客様の導入したアプリやサービスが急激に人気を博したためであるかは Apigee にはわかりません。Apigee はトラフィックの急増を確認できますが、お客様側では明白な詳細情報や状況が Apigee に共有されていなければ、対応のしようがありません。最悪のシナリオは、Apigee が攻撃を検出してブロックしたものの、実はそれがマーケティングの大成功に由来するものであり、アプリが最も盛況しているときに Apigee がアプリをブロックしてしまったことが判明したというような状況です。

Apigee の DDoS 防御アプローチ

Apigee Edge は、セキュリティ ツールボックスのツールです。このツールは、悪意のあるトラフィックのブロック、過剰な有効トラフィックの制限、お客様のバックエンドでの対応より高速な負荷処理、お客様のデータセンターがパンク状態になることの回避など、必要に応じてお客様が構成できます。Apigee Edge には、Apigee の背後にある実際の API プロダクトを防御するために、お客様が非常に具体的なセキュリティ ポリシーを作成できる機能が用意されています。Edge は、大規模なトラフィック急増(DDoS 攻撃など)を吸収し、バックエンド(お客様のデータセンター)に対する影響を限定的なものにするよう必要に応じてスケーリングできる防御レイヤです。

Apigee は、すべてのお客様のすべての呼び出しのペイロードの管理と調査は行わないため、攻撃を識別する機能はお客様次第となります。ただし、攻撃への対処はお客様と Apigee の両者で調整する必要があります。Apigee は必要に応じてさらにクラウド プロバイダ(GCP または AWS)にも関与を求めることがあります。

Apigee、GCP、AWS は、お客様宛のトラフィックをブラックホール化しません。Apigee でトラフィックに悪意があると判断した場合は、お客様に伝え、支援を申し出ます。ただし、Apigee Edge は規模が大きいため、トラフィック量だけではトラフィックをブロックするトリガーになりません。

お客様は、Edge を使用して、攻撃(DDoS を含む)に対するポリシーを作成できます。これらのポリシーは、そのままで使用できる状態に事前構成されてはいません。このことは、それぞれのお客様の API、データ、サービスに独自性がないことを意味します。Apigee では、お客様の入力なしでポリシーを有効にすることはできません。つまり、Apigee は、お客様のデータを確認して、有効であるものとそうでないものとを判定します。

Edge は、使用するべきツールであり、お客様が API の防御に必要な対応の実行に使用できますが、API の防御にはお客様による一定の作業が必要です。

お客様の API サービスの保護を目標としています。これが Edge Cloud の特長と機能の 1 つです。

実際には、以下のように現行の API からできるだけ離れてさまざまな種類の DDoS トラフィックをブロックすることになります。

  • Cloud のネットワークで不正なネットワーク パケットをブロックする
  • 適切に形成されているものの不完全なパケットのおびただしい流入を Edge プラットフォーム レイヤで吸収する
  • 不正な API 呼び出しを Edge レイヤーでドロップする
  • Edge 内で適切に形成されているものの不正な呼び出しをブロックする
  • Edge 内で適切に形成され、許可されているが過剰な呼び出しをブロックする
  • Sense を使用して、想定外のアクセスまたは許可されたアクセスの範囲外である、適切に形成された有効なキー、有効な API リクエストを検出する
  • 有効な、承認済みの、受け入れ可能な、承認された制限内の API 呼び出しだけをお客様のデータセンターに渡す

よくある質問

Apigee で(ip|country|url)のブラックリストを作成できますか?

はい。ただし、お客様の Edge 組織内の Edge でポリシーの作成、構成、有効化が必要です。

Apigee で bot や同様の悪意のある行為を検出できますか?

Apigee には Sense と呼ばれる bot 検出サービスがあります。

Apigee Edge の手前にウェブ アプリケーション ファイアウォールを配置する必要がありますか?

Apigee の前にサードパーティの WAF を配置するお客様も存在しますが、一般的ではありません。このようなお客様のお話では、多くの場合、そうする価値があるからではなく、要件であるから配置しているとのことです。

Apigee はトラフィックをブラックホール化してくれますか?

Apigee はお客様宛のトラフィックをブラックホール化しません。Apigee でトラフィックに悪意があると判定できた場合は、お客様にお伝えし、支援を申し出ます。ただし、Apigee Edge と Apigee のクラウド プロバイダ(GCP と AWS)の規模が大きいため、莫大な量のトラフィックでもトラフィックをブロックするトリガーになりません。

DoS または DDoS 攻撃は Edge で処理された API 呼び出しとしてカウントされますか?

Apigee Edge は、お客様のバックエンド システムの不正使用を防ぐソリューションです。Edge は、攻撃が発生した時点で、構成に基づいて、割り当て / Spike Arrest / 脅威保護などを実施して、Apigee Cloud レイヤで不正使用に対処します。有効な API キーを持ち、割り当て上限未満のユーザーは引き続きその API にアクセスできます。このレイヤで処理された API 呼び出しについては、処理された呼び出しとしてカウントされます。Apigee Edge は、DDoS やその他の種類の攻撃に対してお客様を防御するためのセキュリティ ツールボックスのツールです。

DDoS 防御の詳細情報

  1. GCP と AWS では、必要に応じて、または必要時(非常に大規模の攻撃)にネットワーク レベルで DDoS に対する防御のサポートを提供しています。
    • Apigee は、攻撃への対処に GCP または AWS のサポートが必要な場合のエスカレーションと対応のために GCP と AWS のセキュリティ用連絡先を保持しています。
  2. Apigee Edge は、お客様の API を攻撃から保護するポリシーの実装に使用できます。
    • レート制限。
    • トラフィックの急増阻止。
    • XML ペイロード攻撃の検出。
    • これら以外にも特定の攻撃から防御するためのポリシーを作成できます。
  3. Edge は、防御機能の 1 つとして自動スケーリングを使用します。
  4. DDoS 攻撃発生時には、Apigee とお客様(および GCP、AWS)が連携する必要があります。オープンなコミュニケーションが重要です。Apigee にはセキュリティ リソースがあり、いつでもサポートチームをご利用いただけます。

DDoS への初動対応は、攻撃への対応をサポートするために Apigee Edge を使用することで、トラフィック急増阻止、レート制限をはじめ、ソース IP アドレスのブラックリスト登録も有効化されます。Edge 内には、DDoS 攻撃に対する防御に使用可能なツールが多数あります。

攻撃のボリュームが大きい場合、Apigee はお客様と連携して該当するクラウド プロバイダにエスカレーションし、「上流でのサポート」を求めることができます。DDoS 攻撃はそれぞれ異なるため、対応は攻撃発生時に決定されます。ただし、エスカレーションに必要なベスト プラクティスと詳細については、Denial of Service Attack Mitigation on AWS に記載されています。

重要なことは、以下のとおりです。

攻撃に対するプランを作成する。Apigee もお客様とともに取り組んでいることを忘れないでください。攻撃を受けていることが疑われるお客様は、チケットを開いて、Apigee にサポートをご依頼ください。

GCP

Apigee では、DDoS 対策と軽減のおすすめの方法に記載されている GCP による防御を使用します。

  • 仮想ネットワーク
  • ファイアウォール ルール
  • 負荷分散

AWS

AWS では、DDoS 対策におすすめの方法攻撃を受ける範囲を減らして DDoS 攻撃に対処する方法が公開されています。Apigee は、これらの内容から Apigee 環境に適用可能なものを採用しています。

  • VPC
  • セキュリティ グループ
  • ACL
  • Route53
  • 負荷分散