Defesa contra DDoS no Edge

Você está vendo a documentação do Apigee Edge.
Acesse a documentação da Apigee X.
informações

Os ataques distribuídos de negação de serviço (DDoS) estão cada vez maiores e mais comuns. Os ataques recentes tiveram níveis recordes de tráfego e previsões. Com isso, eles vão continuar piorando. O tamanho desses ataques fez com que todos reavaliassem as defesas. Com o uso de dispositivos de IoT comprometidos, os ataques DDoS agora são muito maiores do que era possível anteriormente.

O objetivo das defesas contra DDoS para a Apigee é proteger as APIs dos clientes nos data centers de cada cliente. O Apigee Edge Cloud foi criado para aceitar grandes volumes de tráfego e ser o filtro que mantém solicitações reais fluindo para um data center do cliente e para as interfaces de API deles, ao mesmo tempo que descarta o tráfego malicioso, vigia picos, gerencia a limitação de taxa e mantém nossos clientes on-line durante o ataque.

A Apigee consegue detectar picos no volume de tráfego, mas não é possível determinar se esse pico é um ataque, uma campanha bem-sucedida ou um novo aplicativo lançado para os usuários finais. A Apigee não examina ativamente as chamadas de API para determinar quais delas são legítimas e quais provavelmente são ataques. É possível observar as chamadas de API, mas isso não faz parte das operações normais da Apigee. Não analisamos os payloads do cliente, porque isso seria uma invasão de privacidade para a maioria do tráfego, dos clientes e dos usuários finais. A Apigee não sabe se um pico específico na terça-feira à tarde foi causado por um ataque ou uma adoção repentina bem-sucedida do app e dos serviços dos clientes. A Apigee consegue ver o pico, mas sem detalhes e contextos extras que são óbvios para os clientes, mas não estão disponíveis para a Apigee, não saberíamos como responder. O pior cenário seria se a Apigee bloqueasse um ataque e descobrisse que ele foi um grande sucesso de marketing que a Apigee acabou de eliminar ao bloquear o app durante esse período.

Como a Apigee aborda a defesa contra DDoS?

O Apigee Edge é uma ferramenta de ferramentas de segurança. A ferramenta está disponível para o cliente configurar conforme necessário para bloquear tráfego malicioso, limitar tráfego válido, mas excessivo ou processar carregamentos mais rápido do que o back-end do cliente pode responder e evitar que o data center do cliente seja sobrecarregado. O Apigee Edge oferece recursos que permitem que nossos clientes criem políticas de segurança muito específicas para defender os serviços de API reais por trás da Apigee. O Edge é uma camada defensiva que pode ser escalonada conforme necessário para absorver grandes picos de tráfego (como um ataque DDoS), limitando o impacto no back-end (data centers dos clientes).

Como a Apigee não gerencia e interroga o payload de cada chamada de cada cliente, a capacidade de identificar um ataque cabe ao cliente. Mas a resposta a um ataque precisa ser coordenada com o cliente e com a Apigee. A Apigee pode até envolver o provedor de nuvem (GCP ou AWS), se necessário.

A Apigee, o GCP e a AWS não vão bloquear o tráfego destinado a um cliente. Se a Apigee determinar que o tráfego é malicioso, vamos nos comunicar com o cliente e oferecer assistência. No entanto, devido à escala do Apigee Edge, o volume simples de tráfego não é um gatilho para bloquear o tráfego.

Os clientes podem usar o Edge para criar políticas de proteção contra ataques (inclusive DDoS). Essas políticas não vêm pré-criadas. Isso implica que não há nada exclusivo sobre as APIs, os dados ou os serviços de cada cliente. A Apigee não pode ativar essas políticas sem a entrada do cliente. Isso significa que a Apigee está analisando os dados do cliente e tomando decisões sobre o que é válido e o que não é.

O Edge é uma ferramenta que pode ser usada para fazer o que os clientes precisam para proteger as APIs. Mas a defesa de APIs exige certo trabalho do cliente.

O objetivo é proteger os serviços de API para clientes. Esse é um dos recursos e funcionalidades do Edge Cloud.

Na verdade, é uma questão de bloquear diferentes tipos de tráfego DDoS o mais longe possível das APIs reais:

  • Bloquear pacotes de rede incorretos na rede do Cloud
  • Absorver vários pacotes corretamente formados, mas incompletos, na camada da plataforma Edge
  • Soltar chamadas de API inválidas na camada da borda
  • Bloquear chamadas corretamente formadas, mas não autorizadas no Edge
  • Bloquear chamadas devidamente formadas e autorizadas, mas em excesso no Edge
  • Use o Sense para detectar chaves válidas e corretamente formadas e solicitações de API válidas que estejam fora do seu acesso esperado ou permitido
  • Transmitir apenas as chamadas de API válidas, autorizadas, aceitáveis e dentro dos limites aprovados para o data center do cliente.

Outras dúvidas comuns

A Apigee pode fazer a lista de bloqueio de (ip|country|url)?

Sim, se a política tiver sido criada, configurada e ativada no Edge dentro da organização de Edge do cliente.

A Apigee detecta bots ou atividades maliciosas semelhantes?

A Apigee oferece um serviço de detecção de bots chamado Sense.

A Apigee vai perder o tráfego para mim?

A Apigee não vai bloquear o tráfego destinado a um cliente. Se a Apigee conseguir determinar que o tráfego é malicioso, vamos nos comunicar com o cliente e oferecer ajuda. No entanto, devido à escala do Apigee Edge e dos nossos provedores de nuvem (GCP e AWS), o grande volume de tráfego não é um gatilho para bloquear o tráfego.

Um ataque de DoS ou DDoS conta como chamadas de API processadas no Edge?

O Apigee Edge é uma solução que ajuda a evitar abusos nos sistemas de back-end de clientes. Portanto, no caso de um ataque, o Edge aplicará a proteção de cota/interrupção de pico/ameaças, entre outras, para absorver o abuso na camada do Apigee Cloud, com base na configuração. Alguém com uma chave de API válida e abaixo do limite da cota pode continuar acessando essa API. Qualquer chamada de API processada na nossa camada será contada como uma chamada processada. O Apigee Edge é uma ferramenta completa de segurança para os clientes na defesa contra DDoS e outros tipos de ataques.

Informações detalhadas sobre a defesa contra DDoS

  1. O GCP e a AWS oferecem assistência contra DDoS no nível da rede conforme/quando necessário (um ataque muito grande).
    • A Apigee mantém contatos de segurança no GCP e na AWS para encaminhamentos e respostas se a assistência do GCP ou da AWS for necessária para responder a um ataque.
  2. O Apigee Edge pode ser usado para implementar políticas que protegem as APIs de clientes contra ataques.
    • Limitação de taxa.
    • Prisãos rápidas.
    • Detecção de ataque de payload XML.
    • Outras políticas podem ser criadas para proteger contra ataques específicos.
  3. O Edge usa o escalonamento automático como um recurso na nossa defesa.
  4. A Apigee e o cliente (e o GCP ou a AWS) precisam trabalhar juntos durante um ataque DDoS. Comunicações abertas são importantes, e a Apigee tem recursos de segurança de plantão para nossa equipe de suporte o tempo todo.

A primeira resposta a um DDoS é usar o Apigee Edge para ajudar no ataque: permitindo a detenção de picos, limitação de taxa e até mesmo listas de bloqueio de endereços IP de origem. Há muitas ferramentas disponíveis no Edge para defesa contra um ataque de DDoS.

Se o ataque for grande o suficiente, a Apigee pode trabalhar com o cliente para encaminhar ao provedor de nuvem apropriado para "assistência upstream". Como cada ataque DDoS é único, a resposta é determinada durante o ataque. No entanto, as práticas recomendadas e os detalhes necessários para ajudar no encaminhamento estão documentados em Redução de ataques de negação de serviço na AWS.

Lembre-se de que a chave é:

Crie um plano para ataques. Lembre-se, estamos juntos nessa. Os clientes que suspeitarem que estão sofrendo ataques devem abrir um tíquete e solicitar a assistência da Apigee.

GCP

A Apigee usa as defesas fornecidas pelo GCP, conforme declarado em Práticas recomendadas para proteção e mitigação de DDoS, por exemplo:

  • Redes virtuais
  • Regras de firewall
  • Balanceamento de carga

AWS

A AWS publica as Práticas recomendadas para resiliência contra DDoS e Como se preparar para ataques DDoS reduzindo sua superfície de ataque. A Apigee usa vários deles aplicáveis ao nosso ambiente:

  • VPC
  • Grupos de segurança
  • ACLs
  • Route53
  • Balanceamento de carga