에지의 DDoS 방어

Apigee Edge 문서입니다.
Apigee X 문서로 이동 정보

분산 서비스 거부 (DDoS) 공격이 점점 더 커지고 빈번해지고 있습니다. 최근 공격으로 인해 기록적인 수준의 트래픽이 발생했으며, 앞으로도 계속 악화될 것으로 예상됩니다. 이러한 공격의 규모가 너무 커서 모든 사용자가 방어 조치를 재평가하게 되었습니다. 이제 손상된 IoT 기기를 사용하면 DDoS 공격이 이전보다 훨씬 더 커질 수 있습니다.

Apigee의 DDoS 방어의 목표는 각 고객의 데이터 센터에서 고객 API를 보호하는 것입니다. Apigee Edge Cloud는 대규모 트래픽을 수용하고 실제 요청이 고객 데이터 센터 및 API 인터페이스로 계속 전달되도록 하는 필터 역할을 하면서 동시에 악성 트래픽을 차단하고, 급증을 모니터링하고, 비율 제한을 관리하며, 공격을 통해 고객을 온라인 상태로 유지하도록 설계되었습니다.

Apigee는 트래픽 양의 급증을 감지할 수 있지만, 이러한 급증이 공격인지, 성공적인 캠페인인지, 아니면 최종 사용자에게 출시된 새 애플리케이션인지 확인할 수는 없습니다. Apigee는 API 호출 내부를 적극적으로 살펴보고 어떤 호출이 적법한 호출이고 어떤 호출이 공격일 가능성이 높은지 판단하지 않습니다. API 호출을 확인할 수는 있지만 이는 Apigee의 일반적인 작업에 포함되지 않습니다. Google에서는 고객 페이로드를 검토하지 않습니다. 대부분의 트래픽, 고객, 최종 사용자의 개인 정보가 침해될 수 있기 때문입니다. Apigee는 화요일 오후의 특정 급증이 공격 때문인지 아니면 고객 앱 및 서비스가 갑자기 성공적으로 채택되었기 때문인지 알 수 없습니다. Apigee는 급증을 확인할 수 있지만 고객에게는 명확하지만 Apigee는 확인할 수 없는 추가 세부정보와 맥락이 없으면 어떻게 대응해야 할지 알 수 없습니다. 최악의 시나리오는 Apigee가 공격을 차단했는데, 알고 보니 Apigee가 앱의 인기 시기에 앱을 차단하여 막대한 마케팅 성공을 거둔 것이라는 점이 밝혀지는 경우입니다.

Apigee는 DDoS 방어에 어떻게 접근하나요?

Apigee Edge는 보안 도구 상자의 도구입니다. 고객은 이 도구를 필요에 따라 구성하여 악성 트래픽을 차단하거나, 유효하지만 과도한 트래픽을 제한하거나, 고객의 백엔드가 응답할 수 있는 것보다 더 빠르게 부하를 처리하고 고객의 데이터 센터가 과부하되지 않도록 할 수 있습니다. Apigee Edge는 고객이 Apigee 뒤에 있는 실제 API 서비스를 방어하기 위해 매우 구체적인 보안 정책을 만들 수 있는 기능을 제공합니다. 에지는 필요에 따라 확장하여 대규모 트래픽 급증 (예: DDoS 공격)을 흡수하는 동시에 백엔드 (고객의 데이터 센터)에 미치는 영향을 제한하는 방어 레이어입니다.

Apigee는 모든 고객의 모든 호출의 페이로드를 관리하고 쿼리하지 않으므로 공격을 식별하는 기능은 고객에게 있습니다. 하지만 공격에 대한 대응은 고객과 Apigee 모두와 조정되어야 합니다. 필요한 경우 Apigee는 클라우드 제공업체 (GCP 또는 AWS)를 포함할 수도 있습니다.

Apigee, GCP, AWS는 고객을 대상으로 하는 트래픽을 블랙홀 처리하지 않습니다. Apigee에서 트래픽이 악의적인 것으로 판단되면 고객에게 연락하여 지원을 제공합니다. 그러나 Apigee Edge의 규모로 인해 단순한 트래픽 양은 트래픽 차단을 트리거하지 않습니다.

고객은 Edge를 사용하여 공격 (DDoS 포함)으로부터 보호하는 정책을 만들 수 있습니다. 이러한 정책은 기본적으로 사전 빌드되지 않습니다. 즉, 각 고객의 API, 데이터 또는 서비스에 고유한 것이 없다는 의미입니다. Apigee는 고객의 입력 없이 이러한 정책을 사용 설정할 수 없습니다. 즉, Apigee에서 고객의 데이터를 검토하고 유효한 데이터와 그렇지 않은 데이터를 결정한다는 의미입니다.

Edge는 사용해야 하는 도구이며 고객이 API를 방어하는 데 필요한 작업을 하는 데 사용할 수 있습니다. 하지만 API 방어를 위해서는 고객이 몇 가지 작업을 해야 합니다.

목표는 고객 API 서비스를 보호하는 것입니다. 이는 Edge Cloud의 기능 중 하나입니다.

실제로는 다양한 유형의 DDoS 트래픽을 실제 API에서 최대한 멀리 차단하는 것이 중요합니다.

  • Cloud의 네트워크에서 잘못된 형식의 네트워크 패킷 차단
  • Edge 플랫폼 레이어에서 올바르게 형성되었지만 불완전한 패킷의 대량을 흡수합니다.
  • Edge 레이어에서 잘못된 형식의 API 호출 삭제
  • Edge 내에서 올바르게 형성되었지만 승인되지 않은 호출 차단
  • 올바르게 형성되고 승인되었지만 Edge 내에서 과도한 호출 차단
  • Sense를 사용하여 올바르게 형성된 유효한 키, 예상되거나 허용된 액세스 범위를 벗어난 유효한 API 요청을 감지합니다.
  • 유효하고 승인되었으며 허용되며 승인된 한도 내의 API 호출만 고객 데이터 센터에 전달합니다.

기타 일반적인 질문

Apigee에서 (ip|country|url)의 차단 목록을 생성할 수 있나요?

예. 고객의 Edge 조직 내에서 Edge에서 정책을 만들고, 구성하고, 사용 설정하는 경우

Apigee에서 봇 또는 유사한 악의적인 활동을 감지할 수 있나요?

Apigee는 Sense라는 봇 감지 서비스를 제공합니다.

Apigee에서 트래픽을 블랙홀 처리하나요?

Apigee는 고객을 대상으로 하는 트래픽을 블랙홀 처리하지 않습니다. Apigee에서 트래픽이 악의적이라고 판단할 수 있는 경우 고객에게 연락하여 지원을 제공합니다. 하지만 Apigee Edge와 Google 클라우드 제공업체 (GCP 및 AWS)의 규모로 인해 트래픽의 양이 많다고 해서 트래픽을 차단하지는 않습니다.

DoS 또는 DDoS 공격이 Edge에서 처리된 API 호출로 집계되나요?

Apigee Edge는 고객 백엔드 시스템의 악용을 방지하는 데 도움이 되는 솔루션입니다. 따라서 공격이 발생하면 Edge는 구성에 따라 할당량/급증 감지/위협 보호 등을 적용하여 Apigee Cloud 레이어에서 악용을 흡수합니다. 유효한 API 키를 보유하고 할당량 한도 미만인 사용자는 계속해서 해당 API에 액세스할 수 있습니다. Google 레이어에서 처리되는 모든 API 호출은 처리된 호출로 집계됩니다. Apigee Edge는 DDoS 및 기타 유형의 공격으로부터 고객을 방어하기 위한 보안 도구 상자의 도구입니다.

상세 DDoS 방어 정보

  1. GCP와 AWS는 필요에 따라 네트워크 수준에서 DDoS 지원을 제공합니다 (대규모 공격).
    • Apigee는 공격에 대응하기 위해 GCP 또는 AWS의 지원이 필요한 경우 에스컬레이션 및 대응을 위해 GCP 및 AWS의 보안 담당자를 유지합니다.
  2. Apigee Edge는 고객 API를 공격으로부터 보호하는 정책을 구현하는 데 사용할 수 있습니다.
    • 비율 제한
    • 급증하는 체포 건수
    • XML 페이로드 공격 감지
    • 특정 공격을 방어하기 위해 다른 정책을 작성할 수도 있습니다.
  3. Edge는 방어 기능으로 자동 확장을 사용합니다.
  4. DDoS 공격이 발생하는 동안 Apigee와 고객 (및 GCP 또는 AWS)이 협력해야 합니다. 개방적인 커뮤니케이션이 중요하며 Apigee는 언제든지 지원팀에 문의할 수 있는 보안 리소스를 보유하고 있습니다.

DDoS에 대한 첫 번째 대응은 Apigee Edge를 사용하여 공격을 방지하는 것입니다. 급증 감지, 비율 제한, 소스 IP 주소 차단 목록 추가 등을 사용 설정합니다. Edge에는 DDoS 공격을 방어하는 데 사용할 수 있는 여러 도구가 있습니다.

공격 규모가 충분히 큰 경우 Apigee는 고객과 협력하여 적절한 클라우드 제공업체에 에스컬레이션하여 '업스트림 지원'을 받을 수 있습니다. DDoS 공격은 각각 고유하므로 응답은 공격 중에 결정됩니다. 하지만 에스컬레이션에 도움이 되는 권장사항과 세부정보는 AWS의 서비스 거부 공격 완화에 설명되어 있습니다.

다음 사항을 기억하세요.

공격 계획을 수립합니다. YouTube는 여러분과 함께 합니다. 공격을 받고 있다고 의심되는 고객은 티켓을 열고 Apigee의 지원을 요청해야 합니다.

GCP

Apigee는 DDoS 방지 및 완화 권장사항에 명시된 대로 GCP에서 제공하는 방어 수단(예:

  • 가상 네트워크
  • 방화벽 규칙
  • 부하 분산

AWS

AWS는 DDoS 회복력 권장사항공격 노출 영역을 줄여 DDoS 공격에 대비하는 방법을 게시합니다. Apigee는 Google 환경에 적용되는 다음과 같은 여러 도구를 사용합니다.

  • VPC
  • 보안 그룹
  • ACL
  • Route53
  • 부하 분산