Defesa contra DDoS no Edge

Você está visualizando a documentação do Apigee Edge.
Acesse a documentação da Apigee X. info

Os ataques distribuídos de negação de serviço (DDoS) estão ficando maiores e mais comuns. Ataques recentes tiveram níveis recordes de tráfego, e as previsões indicam que a situação vai piorar. O tamanho desses ataques fez com que todos reavaliassem as defesas. Com o uso de dispositivos IoT comprometidos, os ataques DDoS agora são muito maiores do que antes.

O objetivo das defesas contra DDoS da Apigee é proteger as APIs dos clientes no data center de cada cliente. O Apigee Edge Cloud foi criado para aceitar grandes volumes de tráfego e ser o filtro que mantém as solicitações reais fluindo para um data center do cliente e as interfaces de API, ao mesmo tempo em que descarta o tráfego malicioso, monitora picos, gerencia a limitação de taxa e mantém nossos clientes on-line durante o ataque.

A Apigee pode detectar picos no volume de tráfego, mas não podemos determinar se esse pico é um ataque, uma campanha bem-sucedida ou um novo aplicativo lançado para usuários finais. A Apigee não verifica ativamente as chamadas de API para determinar quais são legítimas e quais são provavelmente ataques. É possível analisar as chamadas de API, mas isso não faz parte das operações normais da Apigee. Não analisamos payloads do cliente, porque isso seria uma invasão de privacidade para a maioria do tráfego, dos clientes e dos usuários finais. A Apigee não sabe se um pico específico na terça-feira à tarde é devido a um ataque ou a uma adoção repentina do app e dos serviços do cliente. A Apigee pode detectar o pico, mas sem detalhes e contexto adicionais que são óbvios para os clientes, mas não estão disponíveis para a Apigee, não saberíamos como responder. O pior cenário seria se o Apigee bloqueasse um ataque e descobrisse que foi um grande sucesso de marketing que o Apigee acabou matando ao bloquear o app durante o período de pico.

Como a Apigee aborda a defesa contra DDoS?

O Apigee Edge é uma ferramenta da caixa de ferramentas de segurança. A ferramenta está disponível para que o cliente a configure conforme necessário para bloquear tráfego malicioso, limitar tráfego válido, mas excessivo, ou processar cargas mais rapidamente do que o back-end do cliente pode responder e evitar que o data center do cliente fique sobrecarregado. O Apigee Edge oferece recursos que permitem aos nossos clientes criar políticas de segurança muito específicas para proteger os serviços de API reais por trás do Apigee. O Edge é uma camada defensiva que pode ser dimensionada conforme necessário para absorver grandes picos de tráfego (como um ataque DDoS), limitando o impacto no back-end (data centers dos clientes).

Como a Apigee não gerencia nem interroga o payload de cada chamada para cada cliente, a capacidade de identificar um ataque fica por conta do cliente. No entanto, a resposta a um ataque precisa ser coordenada com o cliente e a Apigee. A Apigee pode até envolver o provedor de nuvem (GCP ou AWS), se necessário.

A Apigee, o GCP e a AWS não vão bloquear o tráfego destinado a um cliente. Se a Apigee determinar que o tráfego é malicioso, vamos entrar em contato com o cliente e oferecer ajuda. No entanto, devido à escala do Apigee Edge, o volume simples de tráfego não é um gatilho para bloquear o tráfego.

Os clientes podem usar o Edge para criar políticas que protegem contra ataques (incluindo DDoS). Essas políticas não são pré-criadas. Isso implica que não há nada exclusivo nas APIs, nos dados ou nos serviços de cada cliente. A Apigee não pode ativar essas políticas sem a entrada do cliente. Isso significa que a Apigee está analisando os dados do cliente e tomando decisões sobre o que é válido e o que não é.

O Edge é uma ferramenta que pode ser usada para fazer o que os clientes precisam para proteger as APIs. No entanto, a defesa da API exige algum trabalho do cliente.

O objetivo é proteger os serviços de API do cliente. Esse é um dos recursos e capacidades do Edge Cloud.

Na verdade, é uma questão de bloquear diferentes tipos de tráfego DDoS o mais longe possível das APIs:

  • Bloquear pacotes de rede com formato incorreto na rede da nuvem
  • Absorva uma grande quantidade de pacotes corretamente formados, mas incompletos, na camada da plataforma Edge
  • Excluir chamadas de API com formato incorreto na camada Edge
  • Bloquear chamadas formadas corretamente, mas não autorizadas no Edge
  • Bloquear chamadas formadas e autorizadas corretamente, mas excessivas no Edge
  • Use o Sense para detectar chaves válidas e formatadas corretamente, bem como solicitações de API válidas que estão fora do seu acesso esperado ou permitido.
  • Transmitir apenas as chamadas de API válidas, autorizadas, aceitáveis e dentro dos limites aprovados para o data center do cliente

Outras perguntas comuns

A Apigee pode fazer a lista de bloqueio de (ip|country|url)?

Sim, se a política for criada, configurada e ativada no Edge na organização do Edge do cliente.

A Apigee pode detectar bots ou atividades maliciosas semelhantes?

A Apigee oferece um serviço de detecção de bots chamado Sense.

O Apigee vai bloquear meu tráfego?

A Apigee não vai bloquear o tráfego destinado a um cliente. Se a Apigee puder determinar que o tráfego é malicioso, vamos entrar em contato com o cliente e oferecer ajuda. No entanto, devido à escala do Apigee Edge e dos nossos provedores de nuvem (GCP e AWS), o volume total de tráfego não é um gatilho para bloquear o tráfego.

Um ataque DoS ou DDoS conta como chamadas de API processadas no Edge?

O Apigee Edge é uma solução que ajuda a evitar abusos nos sistemas de back-end do cliente. Portanto, no caso de um ataque, o Edge vai aplicar a cota/parada de pico/proteção contra ameaças etc. para absorver o abuso na camada da Apigee Cloud com base na configuração. Alguém com uma chave de API válida e abaixo do limite de cota ainda pode continuar acessando essa API. Qualquer chamada de API processada na nossa camada será contada como uma chamada processada. O Apigee Edge é uma ferramenta de segurança para a defesa de clientes contra ataques DDoS e de outros tipos.

Informações detalhadas sobre a defesa contra DDoS

  1. O GCP e a AWS oferecem assistência contra DDoS no nível da rede quando necessário (um ataque muito grande).
    • A Apigee mantém contatos de segurança no GCP e na AWS para encaminhamentos e respostas, caso a assistência do GCP ou da AWS seja necessária para responder a um ataque.
  2. O Apigee Edge pode ser usado para implementar políticas que protegem as APIs dos clientes contra ataques.
    • Limitação de taxa.
    • Detenções de pico.
    • Detecção de ataques de payload XML.
    • Outras políticas podem ser escritas para se defender contra ataques específicos.
  3. O Edge usa o escalonamento automático como um recurso de defesa.
  4. O Apigee e o cliente (e o GCP ou a AWS) precisam trabalhar juntos durante um ataque DDoS. A comunicação aberta é importante, e a Apigee tem recursos de segurança disponíveis para nossa equipe de suporte a qualquer momento.

A primeira resposta a um ataque DDoS é usar o Apigee Edge para ajudar no ataque: ativar a detecção de picos, a limitação de taxa e até mesmo a negação de lista de endereços IP de origem. Há muitas ferramentas disponíveis no Edge para se defender contra um ataque DDoS.

Se o ataque for de um volume grande o suficiente, a Apigee poderá trabalhar com o cliente para encaminhar o problema ao provedor de nuvem apropriado para "assistência upstream". Como cada ataque DDoS é único, a resposta será determinada durante o ataque. No entanto, as práticas recomendadas e os detalhes necessários para ajudar na transferência estão documentados em Mitigation of Denial of Service Attack on AWS (em inglês).

Lembre-se de que a chave é:

Crie um plano para ataques. Não se esqueça, estamos juntos nessa. Os clientes que suspeitam que estão sob ataque devem abrir um tíquete e solicitar a assistência da Apigee.

GCP

A Apigee usa defesas fornecidas pelo GCP, conforme declarado nas Práticas recomendadas para proteção contra DDoS e mitigação, como:

  • Redes virtuais
  • Regras de firewall
  • Balanceamento de carga

AWS

A AWS publica as Práticas recomendadas para resiliência contra DDoS e Como se preparar para ataques DDoS reduzindo a superfície de ataque. A Apigee usa várias dessas que são aplicáveis ao nosso ambiente:

  • VPC
  • Grupos de segurança
  • ACLs
  • Route53
  • Balanceamento de carga