Ochrona przed atakami DDoS w Edge

Wyświetlasz dokumentację Apigee Edge.
Otwórz dokumentację Apigee X. Informacje

Ataki typu DDoS (rozproszone ataki typu odmowy usługi) stają się coraz częstsze i coraz bardziej rozległe. Ostatnie ataki spowodowały rekordowe poziomy ruchu, a według prognoz sytuacja będzie się pogarszać. Z powodu ich skali wszyscy musieli ponownie przeanalizować swoje zabezpieczenia. Dzięki skompromitowanym urządzeniom IoT ataki DDoS są teraz znacznie większe niż wcześniej.

Celem zabezpieczeń przed atakami DDoS w usłudze Apigee jest ochrona interfejsów API klientów w każdym centrum danych klienta. Usługa Apigee Edge Cloud została zaprojektowana tak, aby przyjmować duże ilości ruchu i działać jako filtr, który przepuszcza prawdziwe żądania do centrum danych klienta i interfejsów API, a zarazem odrzuca złośliwy ruch, monitoruje skoki, zarządza ograniczeniem szybkości i utrzymuje klientów online podczas ataku.

Apigee może wykrywać wzrosty natężenia ruchu, ale nie możemy określić, czy są one spowodowane atakiem, skuteczną kampanią czy nową aplikacją udostępnioną użytkownikom końcowym. Apigee nie analizuje aktywnie wywołań interfejsu API, aby określić, które z nich są uzasadnione, a które stanowią prawdopodobnie atak. Można przeglądać wywołania interfejsu API, ale nie jest to część normalnych operacji Apigee. Nie sprawdzamy danych klienta, ponieważ naruszałoby to prywatność większości użytkowników, klientów i ruchów. Firma Apigee nie wie, czy wzrost we wtorek po południu był spowodowany atakiem czy nagłym przyjęciem aplikacji i usług przez klientów. Apigee może zobaczyć wzrost, ale bez dodatkowych szczegółów i kontekstu, które są oczywiste dla klientów, ale niedostępne dla Apigee, nie będziemy wiedzieć, jak zareagować. Najgorszym scenariuszem byłoby zablokowanie przez Apigee ataku, a potem odkrycie, że był to wielki sukces marketingowy, który został właśnie zniweczony przez Apigee w skutek zablokowania aplikacji w okresie jej największej popularności.

Jak Apigee radzi sobie z obroną przed atakami DDoS?

Apigee Edge to jedno z narzędzi w skrzynce narzędzi do ochrony. Klient może skonfigurować to narzędzie w celu zablokowania złośliwego ruchu, ograniczenia prawidłowego, ale nadmiernego ruchu lub przetworzenia wczytywania szybszego niż backend klienta może odpowiedzieć, aby zapobiec przeciążeniu centrum danych klienta. Apigee Edge zapewnia funkcje, które umożliwiają naszym klientom tworzenie bardzo szczegółowych zasad zabezpieczeń w celu ochrony rzeczywistych usług interfejsu API w Apigee. Edge to warstwa obronna, która może się skalować w miarę potrzeb, aby pochłaniać duże skoki ruchu (np. ataki DDoS), ograniczając jednocześnie wpływ na zaplecze (centra danych klientów).

Firma Apigee nie zarządza ładunkiem danych każdej wywołania w przypadku każdego klienta ani nie sprawdza ich, dlatego to klient musi być w stanie wykryć atak. Reakcja na atak powinna być jednak koordynowana zarówno z klientem, jak i z Apigee. W razie potrzeby Apigee może nawet zaangażować dostawcę usług w chmurze (GCP lub AWS).

Apigee, GCP i AWS nie będą blokować ruchu kierowanego do klienta. Jeśli Apigee stwierdzi, że ruch jest złośliwy, skontaktujemy się z klientem i zaproponujemy pomoc. Jednak ze względu na skalę usługi Apigee Edge sam wolumen ruchu nie jest powodem do blokowania ruchu.

Klienci mogą używać Edge do tworzenia zasad, które chronią przed atakami (w tym DDoS). Te zasady nie są wstępnie skonfigurowane. Oznacza to, że interfejsy API, dane i usługi każdego klienta nie są unikalne. Apigee nie może włączyć tych zasad bez informacji od klienta. Oznacza to, że Apigee sprawdza dane klienta i podejmuje decyzje o tym, co jest prawidłowe, a co nie.

Edge to narzędzie, które może być używane do wykonywania czynności potrzebnych klientom do ochrony interfejsów API. Jednak ochrona interfejsu API wymaga od klienta pewnego wysiłku.

Celem jest ochrona usług interfejsu API klientów. Jest to jedna z funkcji i możliwości Edge Cloud.

W istocie chodzi o blokowanie różnych typów ruchu DDoS tak daleko od rzeczywistych interfejsów API, jak to tylko możliwe:

  • Blokowanie nieprawidłowych pakietów sieciowych w sieci chmury
  • Przetwarzanie na platformie Edge napływu prawidłowo utworzonych, ale niekompletnych pakietów
  • odrzucanie nieprawidłowych wywołań interfejsu API na poziomie Edge.
  • Blokowanie prawidłowo sformowanych, ale nieautoryzowanych wywołań w Edge
  • Blokowanie prawidłowo sformułowanych i autoryzowanych, ale nadmiernych wywołań w Edge
  • Używaj Sense do wykrywania prawidłowo sformułowanych, prawidłowych kluczy i prawidłowych żądań interfejsu API, które wykraczają poza oczekiwany lub dozwolony dostęp.
  • Przesyłać do centrum danych klienta tylko prawidłowe, autoryzowane, akceptowalne i mieszczące się w zatwierdzonych limitach wywołania interfejsu API.

Inne najczęstsze pytania

Czy Apigee może dodać adres IP, kraj lub adres URL do listy zablokowanych?

Tak, jeśli polityka została utworzona, skonfigurowana i włączona w Edge w organizacji klienta.

Czy Apigee może wykrywać boty lub podobne złośliwe działania?

Apigee oferuje usługę wykrywania botów o nazwie Sense.

Czy Apigee będzie blokować ruch?

Apigee nie będzie blokować ruchu kierowanego do klienta. Jeśli Apigee stwierdzi, że ruch jest złośliwy, skontaktujemy się z klientem i zaoferujemy pomoc. Jednak ze względu na skalę Apigee Edge i naszych dostawców usług w chmurze (GCP i AWS) sam wolumen ruchu nie jest powodem do blokowania ruchu.

Czy atak DoS lub DDoS jest liczony jako przetworzone wywołania interfejsu API w Edge?

Apigee Edge to rozwiązanie, które pomaga zapobiegać nadużyciom systemów backendowych klientów. W przypadku ataku Edge będzie egzekwować ochronę przed przekroczeniem limitu, szczytem, zagrożeniami itp., aby pochłaniać nadużycia na poziomie Apigee Cloud zgodnie z konfiguracją. Osoba z ważnym kluczem interfejsu API i bez przekroczenia limitu kvót nadal może korzystać z tego interfejsu API. Każde wywołanie interfejsu API przetwarzane na naszym poziomie będzie liczone jako przetworzone wywołanie. Apigee Edge to narzędzie z zestawu narzędzi bezpieczeństwa, które pomaga klientom bronić się przed atakami typu DDoS i innymi rodzajami ataków.

szczegółowe informacje o ochronie przed atakami DDoS;

  1. GCP i AWS oferują pomoc w zakresie ataków DDoS na poziomie sieci, gdy jest ona potrzebna (bardzo duży atak).
    • Apigee utrzymuje kontakty do zespołu ds. bezpieczeństwa w GCP i AWS w celu eskalacji i odpowiedzi, jeśli potrzebna jest pomoc GCP lub AWS w reakcji na atak.
  2. Apigee Edge można używać do wdrażania zasad, które chronią interfejsy API klientów przed atakami.
    • Ograniczenie szybkości.
    • Spike zostaje aresztowany.
    • wykrywanie ataków z wykorzystaniem ładunku XML;
    • Inne zasady mogą być pisane w celu ochrony przed konkretnymi atakami.
  3. Edge używa automatycznego skalowania jako funkcji w ramach naszej obrony.
  4. Podczas ataku DDoS Apigee i klient (oraz GCP lub AWS) muszą współpracować. Otwarte komunikowanie jest ważne, a Apigee ma zasoby bezpieczeństwa, które są zawsze dostępne dla naszego zespołu pomocy.

Pierwszą reakcją na atak DDoS jest użycie Apigee Edge, aby pomóc w zwalczaniu ataku: włączanie blokowania skoku, ograniczanie szybkości i nawet dodawanie adresów IP źródłowych do listy zablokowanych. W Edge jest wiele narzędzi do obrony przed atakiem DDoS.

Jeśli atak jest na tyle duży, że wymaga od nas przekazania sprawy do odpowiedniego dostawcy usług w chmurze, Apigee może współpracować z klientem w celu uzyskania pomocy od tego dostawcy. Ponieważ każdy atak typu DDoS jest niepowtarzalny, odpowiedź na niego jest określana w trakcie ataku. Sprawdzone metody i szczegóły potrzebne do przeprowadzenia eskalacji znajdziesz w artykule Zapobieganie atakom typu DoS w AWS.

Pamiętaj, że kluczowe jest:

Utwórz plan ataku. Pamiętaj, że jesteśmy razem w tej samej sytuacji. Klienci, którzy podejrzewają, że są atakowani, powinni otworzyć zgłoszenie i poprosić o pomoc Apigee.

GCP

Apigee korzysta z systemów ochrony oferowanych przez GCP zgodnie ze sprawdzonymi metodami ochrony przed atakami DDoS i ograniczaniem ich skutków, takimi jak:

  • Sieci wirtualne
  • Reguły zapory sieciowej
  • Równoważenie obciążenia

AWS

AWS publikuje sprawdzone metody zwiększania odporności na ataki DDoS oraz artykuł Jak przygotować się na ataki DDoS poprzez zmniejszenie powierzchni ataku. Apigee używa kilku z nich w naszym środowisku:

  • VPC
  • Grupy zabezpieczeń
  • Listy ACL
  • Route53
  • Równoważenie obciążenia