에지의 DDoS 방어

현재 Apigee Edge 문서가 표시되고 있습니다.
Apigee X 문서로 이동 정보

분산 서비스 거부 (DDoS) 공격이 점점 더 일반화되고 있습니다. 최근의 공격으로 기록적인 수준의 트래픽과 예측이 이어졌으며 앞으로 계속 악화될 전망입니다. 이러한 공격의 엄청난 규모로 인해 모두가 방어 능력을 재평가하게 되었습니다. 보안 침해된 IoT 기기를 사용함으로써 DDoS 공격이 이전보다 훨씬 더 많아졌습니다.

Apigee의 DDoS 방어의 목표는 각 고객의 데이터 센터에 있는 고객 API를 보호하는 것입니다. Apigee Edge Cloud는 대량의 트래픽을 수용하도록 설계되었으며, 실제 요청이 고객 데이터 센터와 API 인터페이스로 계속 전달되도록 하는 동시에 악성 트래픽을 제거하고, 급증을 감시하고, 비율 제한을 관리하고, 공격을 통해 고객을 온라인 상태로 유지하는 필터 역할을 합니다.

Apigee는 트래픽 양의 급증을 감지할 수 있지만 급증이 공격인지, 성공적인 캠페인인지, 최종 사용자에게 출시된 새 애플리케이션인지는 판단할 수 없습니다. Apigee는 API 호출 내부를 적극적으로 조사하여 적법한 호출과 공격일 가능성이 있는 호출을 판단하지 않습니다. API 호출을 확인할 수 있지만 이는 Apigee의 일반적인 작업에 포함되지 않습니다. Google에서는 고객 페이로드를 검토하지 않습니다. 이는 대부분의 트래픽, 고객, 최종 사용자에게 개인 정보가 침해될 수 있기 때문입니다. Apigee는 화요일 오후에 급증한 원인이 공격 때문인지 아니면 고객 앱과 서비스의 갑작스러운 성공적인 채택으로 인한 것인지 알 수 없습니다. Apigee에서 급증을 확인할 수 있지만, 고객에게 명확하지만 Apigee에서 확인할 수 없는 추가 세부정보와 맥락이 없다면 어떻게 대응해야 할지 알 수 없습니다. 최악의 시나리오는 Apigee가 공격을 차단해 핫 기간 동안 앱을 차단하여 막을 수 있었던 마케팅 성공이라는 대단한 성공을 거둔 경우입니다.

Apigee는 DDoS 방어에 어떻게 접근하나요?

Apigee Edge는 보안 도구 상자의 도구입니다. 고객은 이 도구를 필요에 따라 구성하여 악성 트래픽을 차단하거나 유효하지만 과도한 트래픽을 제한하거나 고객의 백엔드가 응답할 수 있는 속도보다 더 빠르게 로드를 처리하여 고객 데이터 센터에 과부하가 걸리지 않도록 할 수 있습니다. Apigee Edge는 고객이 Apigee에서 지원하는 실제 API 서비스를 보호하기 위한 매우 구체적인 보안 정책을 만들 수 있는 기능을 제공합니다. Edge는 백엔드 (고객 데이터 센터)에 대한 영향을 제한하면서 대규모 트래픽 급증 (예: DDoS 공격)을 흡수하기 위해 필요에 따라 확장할 수 있는 방어적 레이어입니다.

Apigee는 모든 고객에 대한 모든 호출의 페이로드를 관리하고 조사하지 않으므로 고객이 공격을 식별할 수 있습니다. 하지만 공격에 대한 대응은 고객 및 Apigee 모두와 조율해야 합니다. 필요한 경우 Apigee에서 클라우드 제공업체 (GCP 또는 AWS)를 활용할 수도 있습니다.

Apigee, GCP, AWS에서는 고객을 대상으로 하는 트래픽을 블랙홀로 처리하지 않습니다. Apigee에서 트래픽이 악의적인 것으로 판단하면 고객과 연락하고 지원을 제안합니다. 하지만 Apigee Edge의 규모로 인해 단순한 트래픽 볼륨은 트래픽을 차단하는 트리거가 아닙니다.

고객은 Edge를 사용하여 공격 (DDoS 포함)으로부터 보호하는 정책을 만들 수 있습니다. 이러한 정책은 사전 빌드된 상태로 제공되지 않습니다. 이는 각 고객의 API, 데이터, 서비스에 대해 고유한 것이 없음을 의미합니다. Apigee는 고객의 입력이 없으면 이러한 정책을 사용 설정할 수 없습니다. 즉, Apigee가 고객 데이터를 검토하고 유효한 것과 그렇지 않은 것을 결정하는 것입니다.

Edge는 고객이 API를 보호하는 데 필요한 작업을 수행하는 데 사용할 수 있는 도구입니다. 하지만 API 방어에는 고객의 작업이 필요합니다.

목표는 고객 API 서비스를 보호하는 것입니다. 이는 Edge Cloud의 특징과 기능 중 하나입니다.

실제로는 다양한 유형의 DDoS 트래픽을 실제 API에서 가능한 한 멀리 차단하는 것이 중요합니다.

  • 클라우드 네트워크에서 잘못된 형식의 네트워크 패킷 차단
  • 에지 플랫폼 레이어에서 올바르게 형성되었지만 불완전한 패킷으로 인한 홍수 흡수
  • 에지 레이어에서 잘못된 형식의 API 호출 삭제
  • Edge 내에서 형식이 올바르지만 승인되지 않은 호출을 차단합니다.
  • 형식이 올바르고 승인되지만 Edge 내에서 과도한 호출 차단
  • Sense를 사용하여 올바른 형식의 올바른 키, 예상 또는 허용된 액세스를 벗어난 유효한 API 요청을 감지합니다.
  • 유효하고 승인되고 허용되는 한도 내에서 API 호출만 고객 데이터 센터에 전달합니다.

기타 자주 묻는 질문

Apigee에서 (ip|country|url) 차단 목록을 생성할 수 있나요?

예. 고객의 Edge 조직 내 Edge에서 정책을 생성, 구성, 사용 설정한 경우

Apigee는 봇 또는 유사한 악의적인 활동을 감지할 수 있나요?

Apigee는 Sense라는 봇 감지 서비스를 제공합니다.

Apigee에서 트래픽을 블랙홀로 처리할 수 있나요?

Apigee는 고객을 대상으로 하는 트래픽을 블랙홀로 처리하지 않습니다. Apigee에서 트래픽이 악성임을 확인할 수 있으면 고객과 소통하여 지원을 제안합니다. 하지만 Apigee Edge 및 클라우드 제공업체 (GCP 및 AWS)의 규모로 인해 순수한 트래픽 양이 트래픽을 차단하는 트리거가 되지는 않습니다.

DoS 또는 DDoS 공격은 Edge에서 처리된 API 호출로 집계되나요?

Apigee Edge는 고객 백엔드 시스템의 악용을 방지하는 데 도움이 되는 솔루션입니다. 따라서 공격이 발생할 경우 Edge는 구성에 따라 할당량/급증 저지/위협 방지 등을 적용하여 Apigee Cloud 레이어의 악용을 흡수합니다. 유효한 API 키가 있고 할당량 한도 미만인 사용자는 해당 API에 계속 액세스할 수 있습니다. 레이어에서 처리되는 모든 API 호출은 처리된 호출로 집계됩니다. Apigee Edge는 DDoS 및 기타 유형의 공격에 대한 고객을 방어할 수 있는 보안 도구 상자의 도구입니다.

DDoS 방어 상세 정보

  1. GCP 및 AWS는 필요에 따라 네트워크 수준에서 DDoS 지원을 제공합니다 (대규모 공격).
    • Apigee는 공격에 대응하기 위해 GCP 또는 AWS 지원이 필요한 경우 에스컬레이션 및 대응을 위해 GCP 및 AWS의 보안 담당자를 유지합니다.
  2. Apigee Edge는 고객 API를 공격으로부터 보호하는 정책을 구현하는 데 사용할 수 있습니다.
    • 비율 제한.
    • 체포 급증.
    • XML 페이로드 공격 감지
    • 특정 공격을 방어하기 위해 다른 정책을 작성할 수도 있습니다.
  3. Edge는 자동 확장을 방어 기능으로 사용합니다.
  4. DDoS 공격 중에 Apigee와 고객 (및 GCP 또는 AWS)이 협력해야 합니다. 개방적인 커뮤니케이션은 중요하며 Apigee에서는 상시 Google 지원팀에 보안 리소스를 대기하고 있습니다.

DDoS에 대한 첫 번째 대응은 Apigee Edge를 사용하여 급증 저지, 비율 제한, 소스 IP 주소 차단 목록을 사용하는 것입니다. Edge에는 DDoS 공격을 방어하는 데 사용할 수 있는 도구가 많이 있습니다.

공격의 규모가 충분할 경우 Apigee는 고객과 협력하여 '업스트림 지원'을 위해 적절한 클라우드 제공업체로 에스컬레이션할 수 있습니다. 각 DDoS 공격은 고유하므로 공격 중에 대응이 결정됩니다. 하지만 에스컬레이션에 도움이 되는 권장사항과 세부정보는 AWS의 서비스 거부 공격 완화에 설명되어 있습니다.

핵심은 다음과 같습니다.

공격 계획을 세웁니다. 잊지 마세요, 우리는 이 여정을 함께합니다 공격을 받고 있다고 의심되는 고객은 티켓을 열고 Apigee 지원을 요청해야 합니다.

GCP

Apigee는 DDoS 방지 및 완화를 위한 권장사항에 명시된 대로 GCP에서 제공하는 다음과 같은 방어 기능을 사용합니다.

  • 가상 네트워크
  • 방화벽 규칙
  • 부하 분산

AWS

AWS는 DDoS 복원력 권장사항공격 표면을 줄여 DDoS 공격에 대비하는 방법을 게시합니다. Apigee는 Google 환경에 적용 가능한 다음 몇 가지를 사용합니다.

  • VPC
  • 보안 그룹
  • ACL
  • Route53
  • 부하 분산