Przeglądasz dokumentację Apigee Edge.
Otwórz dokumentację Apigee X. Informacje
Rozproszone ataki typu DDoS są coraz częstsze. W ostatnich atakach odnotowano rekordowy poziom ruchu, a prognozy wskazują, że będzie się on nadal pogarszać. Ogromna waga tych ataków skłoniła wszystkich do ponownej oceny swojej obrony. Dzięki użyciu zhakowanych urządzeń IoT ataki DDoS są teraz znacznie większe niż było to wcześniej możliwe.
Celem ochrony przed atakami typu DDoS dla Apigee jest ochrona interfejsów API klientów w centrach danych każdego klienta. Apigee Edge Cloud została zaprojektowana do przyjmowania dużych ilości ruchu i stanowi filtr, który sprawia, że prawdziwe żądania docierają do centrum danych klienta i ich interfejsów API, a jednocześnie eliminuje złośliwy ruch, wykrywa wzrosty natężenia ruchu, zarządza ograniczaniem liczby żądań i pozwala uchronić naszych klientów przed atakiem online.
Apigee wykrywa nagłe skoki natężenia ruchu, ale nie jesteśmy w stanie określić, czy jest to atak, udana kampania czy nowa aplikacja udostępniona użytkownikom. Apigee nie sprawdza aktywnie wywołań interfejsu API w celu określenia, które wywołania są prawidłowe, a które prawdopodobnie są atakami. Możliwe jest patrzenie na wywołania interfejsu API, ale nie jest to częścią typowych operacji Apigee. Nie sprawdzamy ładunków klientów, ponieważ byłoby to naruszenie prywatności większości ruchu, klientów i użytkowników. Apigee nie wie, czy nagły wzrost liczby we wtorek po południu jest spowodowany atakiem czy nagłą pomyślnym wdrożeniem aplikacji i usług klienta. Apigee może zauważyć wzrost, ale bez dodatkowych szczegółów i kontekstu, które są oczywiste dla klientów, ale są niedostępne dla Apigee, nie wiemy, jak na nie zareagować. W najgorszej sytuacji Apigee zablokuje atak tylko po to, by odkryć, że był to wielki sukces marketingowy.
W jaki sposób Apigee podchodzi do ochrony przed atakami DDoS?
Apigee Edge to narzędzie z zestawu narzędzi zabezpieczających. Klient może skonfigurować to narzędzie tak, aby blokować złośliwy ruch, ograniczać prawidłowy, ale nadmierny ruch lub ładować procesy szybciej, niż backend klienta jest w stanie odpowiedzieć i zapobiegać przeciążeniu centrum danych klienta. Apigee Edge udostępnia funkcje, które umożliwiają naszym klientom tworzenie bardzo konkretnych zasad zabezpieczeń chroniących rzeczywiste usługi interfejsów API za Apigee. Edge to warstwa ochronna, która może skalować się w zależności od potrzeb, aby wychwytywać duże skoki ruchu (takie jak atak typu DDoS), jednocześnie ograniczając wpływ na backend (centra danych klientów).
Apigee nie zarządza ładunkiem każdego wywołania każdego klienta ani ich nie przeszukuje, dlatego możliwość identyfikacji ataku spoczywa na nim. Reakcję na atak należy jednak skoordynować zarówno z klientem, jak i z Apigee. W razie potrzeby Apigee może nawet zaangażować dostawcę chmury (GCP lub AWS).
Apigee, GCP i AWS nie będą kierować ruchu do klienta na „czarnej dziurze”. Jeśli Apigee stwierdzi, że ruch jest złośliwy, skontaktujemy się z klientem i zaoferujemy pomoc. Jednak ze względu na skalę Apigee Edge proste natężenie ruchu nie powoduje jego zablokowania.
Klienci mogą za pomocą Edge tworzyć zasady chroniące przed atakami (w tym atakami DDoS). Te zasady nie są gotowe do użycia. Oznacza to, że w interfejsach API, danych i usługach poszczególnych klientów nie ma nic wyjątkowego. Apigee nie może włączyć tych zasad bez danych wejściowych klienta. Oznacza to, że Apigee sprawdza dane klienta i podejmuje decyzje o tym, co jest prawidłowe, a co nie.
Edge jest narzędziem, którego można używać do obsługi działań klientów potrzebnych do ochrony interfejsów API. Jednak obrona interfejsów API wymaga od klienta trochę pracy.
Celem jest ochrona usług interfejsu API klientów. To jedna z funkcji i możliwości Edge Cloud.
Tak naprawdę chodzi o blokowanie różnych typów ruchu DDoS jak najdalej od rzeczywistych interfejsów API:
- Blokuj uszkodzone pakiety sieciowe w sieci Cloud
- Wchłanianie zalewu prawidłowo uformowanych, ale niekompletnych pakietów w warstwie platformy brzegowej
- Upuść nieprawidłowe wywołania interfejsu API w warstwie brzegowej
- Blokuj prawidłowo sformułowane, ale nieautoryzowane połączenia w Edge
- Blokuj prawidłowo sformułowane i autoryzowane, ale nadmierne połączenia w Edge
- Za pomocą Sense wykrywaj prawidłowo utworzone, prawidłowe klucze i prawidłowe żądania API, które nie spełniają Twoich oczekiwań lub możliwości dostępu
- Przekazuj do centrum danych klienta tylko prawidłowe, autoryzowane, akceptowane i w zatwierdzonych limitach wywołania interfejsu API
Inne częste pytania
Czy Apigee może umieszczać adresy IP (ip|country|url) na listach odrzuconych?
Tak, jeśli zasada została utworzona, skonfigurowana i włączona w Edge w organizacji Edge klienta.
Czy Apigee może wykrywać boty i podobne złośliwe działania?
Apigee oferuje usługę wykrywania botów o nazwie Sense.
Czy będę mieć dostęp do ruchu z czarnej dziury w Apigee?
Apigee nie będzie docierać do klientów za pomocą czarnej dziury. Jeśli Apigee ustali, że ruch jest złośliwy, skontaktujemy się z klientem i zaoferujemy pomoc. Jednak ze względu na skalę Apigee Edge i naszych dostawców usług w chmurze (GCP i AWS) ogromny ruch nie jest powodem do zablokowania.
Czy atak DoS lub DDoS jest liczony jako przetworzone wywołania interfejsu API w Edge?
Apigee Edge to rozwiązanie, które pomaga zapobiegać nadużywaniu systemów backendu klientów. Dlatego w przypadku ataku Edge egzekwuje limity, aresztowanie, ochronę przed zagrożeniami itp., aby wychwycić nadużycia w warstwie Apigee Cloud (w zależności od konfiguracji). Osoba, która ma prawidłowy klucz interfejsu API, ale nie przekracza limitu, może nadal mieć dostęp do tego interfejsu API. Każde wywołanie interfejsu API przetwarzane w naszej warstwie będzie liczone jako przetworzone wywołanie. Apigee Edge to pakiet narzędzi zabezpieczających dla klientów przed atakami DDoS i innymi typami ataków.
Szczegółowe informacje o ochronie przed atakami typu DDoS
- GCP i AWS oferują w razie potrzeby pomoc DDoS na poziomie sieci (bardzo duży atak).
- Apigee utrzymuje kontakty ds. bezpieczeństwa w GCP i AWS na potrzeby eskalacji i odpowiedzi, jeśli do odpowiedzi na atak potrzebna jest pomoc GCP lub AWS.
- Apigee Edge można używać do wdrażania zasad chroniących interfejsy API klientów przed atakami.
- Ograniczenie liczby żądań.
- Dochodzi do gwałtownych aresztowań.
- Wykrywanie ataku ładunku XML.
- Można też opracować inne zasady chroniące przed konkretnymi atakami.
- Podczas naszej obrony Edge korzysta z autoskalowania.
- Apigee i klient (oraz GCP lub AWS) muszą współpracować podczas ataku DDoS. Otwarta komunikacja jest ważna, a Apigee ma dostęp do zasobów dotyczących bezpieczeństwa, aby skontaktować się z naszym zespołem pomocy przez cały czas.
Pierwszą odpowiedzią na DDoS jest użycie Apigee Edge jako pomocy w ataku: włączenie nagłego aresztowania, ograniczenia liczby żądań, a nawet umieszczenie źródłowych adresów IP na liście odrzuconych. W Edge dostępnych jest wiele narzędzi ułatwiających ochronę przed atakami DDoS.
Jeśli atak ma wystarczająco dużą liczbę, Apigee może we współpracy z klientem przekazać tę sprawę do odpowiedniego dostawcy chmury w celu uzyskania pomocy „upstream”. Każdy atak DDoS jest unikalny, dlatego odpowiedź zostanie określona podczas ataku. Sprawdzone metody i szczegółowe informacje potrzebne do przeprowadzenia eskalacji są jednak opisane w artykule Odrzucanie ataków na usługę w AWS.
Pamiętaj, że klucz to:
Przygotuj plan ataków. Nie zapominaj, że jesteśmy w tym razem. Klienci, którzy podejrzewają, że są atakowani, powinni wysłać zgłoszenie i poprosić o pomoc Apigee.
GCP
Apigee korzysta z zabezpieczeń udostępnianych przez GCP zgodnie ze sprawdzonymi metodami ochrony przed atakami typu DDoS i ich łagodzenia, takimi jak:
- Sieci wirtualne
- Reguły zapory sieciowej
- Równoważenie obciążenia
AWS
Zespół AWS publikuje sprawdzone metody dotyczące odporności na atak DDoS i artykuł Jak przygotować się na ataki DDoS przez zmniejszenie powierzchni ataku. Apigee korzysta z kilku z nich, które mają zastosowanie w naszym środowisku:
- VPC
- Grupy zabezpieczeń
- Listy ACL
- Route53
- Równoważenie obciążenia