Защита от DDoS в Edge

Вы просматриваете документацию Apigee Edge .
Перейдите к документации Apigee X. информация

Распределенные атаки типа «отказ в обслуживании» (DDoS) становятся все более распространенными. Недавние атаки привели к рекордному уровню трафика, и прогнозируется, что он будет продолжать ухудшаться. Масштабы этих атак заставили всех переоценить свою защиту. Благодаря использованию скомпрометированных IoT-устройств DDoS-атаки стали намного масштабнее, чем это было возможно раньше.

Цель защиты от DDoS-атак для Apigee — защитить API-интерфейсы клиентов в центрах обработки данных каждого клиента. Apigee Edge Cloud создан для приема больших объемов трафика и является фильтром, который обеспечивает поступление реальных запросов в центр обработки данных клиентов и их API-интерфейсы, в то же время отсекая вредоносный трафик, отслеживая всплески, управляя ограничением скорости и сохраняя наши клиентов онлайн посредством атаки.

Apigee может обнаруживать всплески объема трафика, но мы не можем определить, является ли этот всплеск атакой, успешной кампанией или новым приложением, выпущенным для конечных пользователей. Apigee не просматривает активно вызовы API, чтобы определить, какие вызовы являются законными, а какие, вероятно, являются атаками. Вызовы API можно просматривать, но это не является частью обычных операций Apigee. Мы не проверяем полезную нагрузку клиентов, поскольку это было бы нарушением конфиденциальности большей части трафика, клиентов и конечных пользователей. Apigee не знает, вызван ли конкретный всплеск во вторник днем ​​атакой или внезапным успешным внедрением приложений и услуг клиентов. Apigee может видеть всплеск, но без дополнительных подробностей и контекста, которые очевидны для клиентов, но недоступны Apigee, мы не знаем, как реагировать. Наихудшим сценарием было бы, если бы Apigee заблокировала атаку только для того, чтобы обнаружить, что это был крупный маркетинговый успех, который Apigee только что убил, заблокировав приложение в «горячий» период.

Как Apigee подходит к защите от DDoS-атак?

Apigee Edge — это инструмент из набора инструментов безопасности. Клиент может настроить этот инструмент по мере необходимости, чтобы блокировать вредоносный трафик, ограничивать допустимый, но чрезмерный трафик или обрабатывать нагрузки быстрее, чем может отреагировать серверная часть клиента, и предотвращать перегрузку центра обработки данных клиента. Apigee Edge предоставляет возможности, которые позволяют нашим клиентам создавать очень специфические политики безопасности для защиты реальных сервисов API, стоящих за Apigee. Edge — это защитный уровень, который можно масштабировать по мере необходимости, чтобы поглощать большие всплески трафика (например, DDoS-атаки), ограничивая при этом воздействие на серверную часть (центры обработки данных клиентов).

Поскольку Apigee не управляет и не опрашивает полезную нагрузку каждого вызова для каждого клиента, возможность идентифицировать атаку остается за клиентом. Но реакция на атаку должна быть согласована как с заказчиком, так и с Apigee. При необходимости Apigee может даже привлечь поставщика облачных услуг (GCP или AWS).

Apigee, GCP и AWS не блокируют трафик, предназначенный клиенту. Если Apigee определит, что трафик является вредоносным, мы свяжемся с клиентом и предложим помощь. Однако из-за масштаба Apigee Edge простой объем трафика не является поводом для блокировки трафика.

Клиенты могут использовать Edge для создания политик защиты от атак (включая DDoS). Эти политики не поставляются готовыми из коробки. Это будет означать, что в API, данных или услугах каждого клиента нет ничего уникального. Apigee не может включить эти политики без участия клиента. Это будет означать, что Apigee просматривает данные клиента и принимает решения о том, что действительно, а что нет.

Edge — это инструмент, который нужно использовать, и его можно использовать для выполнения задач, необходимых клиентам для защиты своих API. Но защита API требует от клиента некоторой работы.

Цель — защитить сервисы клиентского API. Это одна из функций и возможностей Edge Cloud.

На самом деле речь идет о блокировке различных типов DDoS-трафика как можно дальше от реальных API:

  • Блокировать некорректные сетевые пакеты в сети Облака
  • Поглотите поток правильно сформированных, но неполных пакетов на уровне Edge-платформы.
  • Отбрасывайте некорректные вызовы API на пограничном уровне.
  • Блокируйте правильно сформированные, но несанкционированные вызовы в Edge
  • Блокируйте правильно сформированные и авторизованные, но чрезмерные вызовы в Edge.
  • Используйте Sense для обнаружения правильно сформированных, действительных ключей и действительных запросов API, которые находятся за пределами вашего ожидаемого или разрешенного доступа.
  • Передавайте в центр обработки данных клиента только действительные, авторизованные, приемлемые и находящиеся в пределах утвержденных ограничений вызовы API.

Другие распространенные вопросы

Может ли Apigee внести в список запретов (ip|country|url)?

Да, если политика создана, настроена и включена в Edge в организации Edge клиента.

Может ли Apigee обнаружить ботов или аналогичные вредоносные действия?

Apigee предлагает службу обнаружения ботов под названием Sense.

Будет ли трафик Apigee черная дыра для меня?

Apigee не будет блокировать трафик, предназначенный клиенту. Если Apigee сможет определить, что трафик является вредоносным, мы свяжемся с клиентом и предложим помощь. Однако из-за масштаба Apigee Edge и наших облачных провайдеров (GCP и AWS) сам объем трафика не является поводом для блокировки трафика.

Считается ли DoS- или DDoS-атака обработанными вызовами API в Edge?

Apigee Edge — это решение, которое помогает предотвратить злоупотребление серверными системами клиентов. Таким образом, в случае атаки Edge будет применять квоты/арест скачков/защиту от угроз и т. д., чтобы поглотить злоупотребления на уровне облака Apigee в зависимости от конфигурации. Кто-то с действительным ключом API и лимитом квоты по-прежнему может продолжать получать доступ к этому API. Любой вызов API, обрабатываемый на нашем уровне, будет считаться обработанным вызовом. Apigee Edge — это инструмент в наборе инструментов безопасности для защиты клиентов от DDoS и других типов атак.

Подробная информация о защите от DDoS

  1. GCP и AWS предлагают помощь от DDoS на сетевом уровне по мере необходимости (очень крупная атака).
    • Apigee поддерживает контакты по вопросам безопасности в GCP и AWS для эскалации и реагирования, если для реагирования на атаку потребуется помощь GCP или AWS.
  2. Apigee Edge можно использовать для реализации политик, защищающих API клиентов от атак.
    • Ограничение скорости.
    • Спайк арестовывает.
    • Обнаружение атак на полезную нагрузку XML.
    • Другие политики могут быть написаны для защиты от конкретных атак.
  3. Edge использует автоматическое масштабирование как возможность нашей защиты.
  4. Apigee и клиент (а также GCP или AWS) должны работать вместе во время DDoS-атаки. Открытое общение очень важно, и у Apigee всегда есть ресурсы по обеспечению безопасности, которые всегда готовы обратиться в нашу службу поддержки.

Первым ответом на DDoS является использование Apigee Edge для помощи в атаке: включение блокировки всплесков, ограничение скорости и даже включение исходных IP-адресов в список запрещенных. В Edge доступно множество инструментов для защиты от DDoS-атак.

Если атака имеет достаточно большой объем, Apigee может работать с клиентом, чтобы передать его соответствующему облачному провайдеру для «восходящей помощи». Поскольку каждая DDoS-атака уникальна, ответ будет определен во время атаки. Однако лучшие практики и подробности, необходимые для оказания помощи в эскалации, описаны в документе «Устранение атак типа «отказ в обслуживании» на AWS» .

Помните, что ключевое слово:

Создайте план атак. Не забывай, мы в этом вместе. Клиенты, подозревающие, что на них напали, должны открыть заявку и обратиться за помощью к Apigee.

GCP

Apigee использует средства защиты, предоставляемые GCP, как указано в « Лучших практиках защиты и смягчения последствий DDoS» , например:

  • Виртуальные сети
  • Правила брандмауэра
  • Балансировка нагрузки

АВС

AWS публикует рекомендации по обеспечению устойчивости к DDoS-атакам и статью «Как подготовиться к DDoS-атакам, сократив поверхность атаки» . Apigee использует несколько из них, применимых к нашей среде:

  • ВКК
  • Группы безопасности
  • списки управления доступом
  • Маршрут53
  • Балансировка нагрузки
,

Вы просматриваете документацию Apigee Edge .
Перейдите к документации Apigee X. информация

Распределенные атаки типа «отказ в обслуживании» (DDoS) становятся все более распространенными. Недавние атаки привели к рекордному уровню трафика, и прогнозируется, что он будет продолжать ухудшаться. Масштабы этих атак заставили всех переоценить свою защиту. Благодаря использованию скомпрометированных устройств Интернета вещей DDoS-атаки стали намного масштабнее, чем это было возможно раньше.

Цель защиты от DDoS-атак для Apigee — защитить API-интерфейсы клиентов в центрах обработки данных каждого клиента. Apigee Edge Cloud создан для приема больших объемов трафика и является фильтром, который обеспечивает поступление реальных запросов в центр обработки данных клиентов и их API-интерфейсы, в то же время отсекая вредоносный трафик, отслеживая всплески, управляя ограничением скорости и сохраняя наши клиентов онлайн посредством атаки.

Apigee может обнаруживать всплески объема трафика, но мы не можем определить, является ли этот всплеск атакой, успешной кампанией или новым приложением, выпущенным для конечных пользователей. Apigee не просматривает активно вызовы API, чтобы определить, какие вызовы являются законными, а какие, вероятно, являются атаками. Вызовы API можно просматривать, но это не является частью обычных операций Apigee. Мы не проверяем полезную нагрузку клиентов, поскольку это было бы нарушением конфиденциальности большей части трафика, клиентов и конечных пользователей. Apigee не знает, вызван ли конкретный всплеск во вторник днем ​​атакой или внезапным успешным внедрением приложений и услуг клиентов. Apigee может видеть всплеск, но без дополнительных подробностей и контекста, которые очевидны для клиентов, но недоступны для Apigee, мы не знали бы, как реагировать. Наихудшим сценарием было бы, если бы Apigee заблокировала атаку только для того, чтобы обнаружить, что это был крупный маркетинговый успех, который Apigee только что уничтожил, заблокировав приложение в «горячий» период.

Как Apigee подходит к защите от DDoS-атак?

Apigee Edge — это инструмент из набора инструментов безопасности. Клиент может настроить этот инструмент по мере необходимости, чтобы блокировать вредоносный трафик, ограничивать действительный, но чрезмерный трафик или обрабатывать нагрузки быстрее, чем может отреагировать серверная часть клиента, и предотвращать перегрузку центра обработки данных клиента. Apigee Edge предоставляет возможности, которые позволяют нашим клиентам создавать очень специфические политики безопасности для защиты реальных сервисов API, стоящих за Apigee. Edge — это защитный уровень, который можно масштабировать по мере необходимости, чтобы поглощать большие всплески трафика (например, DDoS-атаки), ограничивая при этом воздействие на серверную часть (центры обработки данных клиентов).

Поскольку Apigee не управляет и не опрашивает полезную нагрузку каждого вызова для каждого клиента, возможность идентифицировать атаку остается за клиентом. Но реакция на атаку должна быть согласована как с заказчиком, так и с Apigee. При необходимости Apigee может даже привлечь поставщика облачных услуг (GCP или AWS).

Apigee, GCP и AWS не блокируют трафик, предназначенный клиенту. Если Apigee определит, что трафик является вредоносным, мы свяжемся с клиентом и предложим помощь. Однако из-за масштаба Apigee Edge простой объем трафика не является поводом для блокировки трафика.

Клиенты могут использовать Edge для создания политик защиты от атак (включая DDoS). Эти политики не поставляются готовыми из коробки. Это будет означать, что в API, данных или услугах каждого клиента нет ничего уникального. Apigee не может включить эти политики без участия клиента. Это будет означать, что Apigee просматривает данные клиента и принимает решения о том, что действительно, а что нет.

Edge — это инструмент, который нужно использовать, и его можно использовать для выполнения задач, необходимых клиентам для защиты своих API. Но защита API требует от клиента некоторой работы.

Цель — защитить сервисы клиентского API. Это одна из функций и возможностей Edge Cloud.

На самом деле речь идет о блокировке различных типов DDoS-трафика как можно дальше от реальных API:

  • Блокировать некорректные сетевые пакеты в сети Облака
  • Поглотите поток правильно сформированных, но неполных пакетов на уровне Edge-платформы.
  • Отбрасывайте некорректные вызовы API на пограничном уровне.
  • Блокируйте правильно сформированные, но несанкционированные вызовы в Edge
  • Блокируйте правильно сформированные и авторизованные, но чрезмерные вызовы в Edge.
  • Используйте Sense для обнаружения правильно сформированных, действительных ключей и действительных запросов API, которые находятся за пределами вашего ожидаемого или разрешенного доступа.
  • Передавайте в центр обработки данных клиента только действительные, авторизованные, приемлемые и находящиеся в пределах утвержденных ограничений вызовы API.

Другие распространенные вопросы

Может ли Apigee внести в список запретов (ip|country|url)?

Да, если политика создана, настроена и включена в Edge в организации Edge клиента.

Может ли Apigee обнаружить ботов или аналогичные вредоносные действия?

Apigee предлагает службу обнаружения ботов под названием Sense.

Будет ли трафик Apigee черная дыра для меня?

Apigee не будет блокировать трафик, предназначенный клиенту. Если Apigee сможет определить, что трафик является вредоносным, мы свяжемся с клиентом и предложим помощь. Однако из-за масштаба Apigee Edge и наших облачных провайдеров (GCP и AWS) сам объем трафика не является поводом для блокировки трафика.

Считается ли DoS- или DDoS-атака обработанными вызовами API в Edge?

Apigee Edge — это решение, которое помогает предотвратить злоупотребление серверными системами клиентов. Таким образом, в случае атаки Edge будет применять квоты/арест скачков/защиту от угроз и т. д., чтобы поглотить злоупотребления на уровне облака Apigee в зависимости от конфигурации. Кто-то с действительным ключом API и лимитом квоты по-прежнему может продолжать получать доступ к этому API. Любой вызов API, обрабатываемый на нашем уровне, будет считаться обработанным вызовом. Apigee Edge — это инструмент в наборе инструментов безопасности для защиты клиентов от DDoS и других типов атак.

Подробная информация о защите от DDoS

  1. GCP и AWS предлагают помощь от DDoS на сетевом уровне по мере необходимости (очень крупная атака).
    • Apigee поддерживает контакты по вопросам безопасности в GCP и AWS для эскалации и реагирования, если для реагирования на атаку потребуется помощь GCP или AWS.
  2. Apigee Edge можно использовать для реализации политик, защищающих API клиентов от атак.
    • Ограничение скорости.
    • Спайк арестовывает.
    • Обнаружение атак на полезную нагрузку XML.
    • Другие политики могут быть написаны для защиты от конкретных атак.
  3. Edge использует автоматическое масштабирование как возможность нашей защиты.
  4. Apigee и клиент (а также GCP или AWS) должны работать вместе во время DDoS-атаки. Открытое общение очень важно, и у Apigee всегда есть ресурсы по обеспечению безопасности, которые всегда готовы обратиться в нашу службу поддержки.

Первым ответом на DDoS является использование Apigee Edge для помощи в атаке: включение блокировки всплесков, ограничение скорости и даже включение исходных IP-адресов в список запрещенных. В Edge доступно множество инструментов для защиты от DDoS-атак.

Если атака имеет достаточно большой объем, Apigee может работать с клиентом, чтобы передать его соответствующему облачному провайдеру для «восходящей помощи». Поскольку каждая DDoS-атака уникальна, ответ будет определен во время атаки. Однако лучшие практики и подробности, необходимые для оказания помощи в эскалации, описаны в документе «Устранение атак типа «отказ в обслуживании» на AWS» .

Помните, что ключевое слово:

Создайте план атак. Не забывай, мы в этом вместе. Клиенты, подозревающие, что на них напали, должны открыть заявку и обратиться за помощью к Apigee.

GCP

Apigee использует средства защиты, предоставляемые GCP, как указано в « Лучших практиках защиты и смягчения последствий DDoS» , например:

  • Виртуальные сети
  • Правила брандмауэра
  • Балансировка нагрузки

АВС

AWS публикует рекомендации по обеспечению устойчивости к DDoS-атакам и статью «Как подготовиться к DDoS-атакам, сократив поверхность атаки» . Apigee использует несколько из них, применимых к нашей среде:

  • ВКК
  • Группы безопасности
  • списки управления доступом
  • Маршрут53
  • Балансировка нагрузки