การป้องกัน DDoS ใน Edge

คุณกําลังดูเอกสารประกอบของ Apigee Edge
ไปที่เอกสารประกอบของ Apigee X info

การโจมตีแบบปฏิเสธการให้บริการแบบกระจาย (DDoS) มีขนาดใหญ่ขึ้นและพบได้บ่อยขึ้น การโจมตีล่าสุดมีระดับการเข้าชมสูงเป็นประวัติการณ์ และคาดว่าจะยิ่งแย่ลง จำนวนการโจมตีเหล่านี้ทำให้ทุกคนต้องประเมินการป้องกันของตนอีกครั้ง การใช้อุปกรณ์ IoT ที่ถูกบุกรุกทำให้การโจมตี DDoS มีขนาดใหญ่กว่าที่เคยเป็นมา

เป้าหมายของการป้องกัน DDoS สําหรับ Apigee คือปกป้อง API ของลูกค้าในศูนย์ข้อมูลของลูกค้าแต่ละราย Apigee Edge Cloud สร้างขึ้นเพื่อรองรับปริมาณการรับส่งข้อมูลจำนวนมาก และเป็นตัวกรองที่ส่งคำขอจริงไปยังศูนย์ข้อมูลของลูกค้าและอินเทอร์เฟซ API ของลูกค้า ในขณะเดียวกันก็จะกรองการรับส่งข้อมูลที่เป็นอันตราย ตรวจสอบการเพิ่มขึ้นของปริมาณการรับส่งข้อมูล จัดการการจำกัดอัตรา และช่วยให้ลูกค้าออนไลน์ได้อยู่ตลอดแม้ในระหว่างการโจมตี

Apigee สามารถตรวจจับปริมาณการเข้าชมที่เพิ่มขึ้นได้ แต่เราไม่สามารถระบุได้ว่าการเพิ่มขึ้นนั้นเป็นการโจมตี แคมเปญที่ประสบความสำเร็จ หรือแอปพลิเคชันใหม่ที่เผยแพร่แก่ผู้ใช้ปลายทาง Apigee ไม่ได้ตรวจสอบการเรียก API อย่างละเอียดเพื่อพิจารณาว่าการเรียกใดถูกต้องตามกฎหมายและเป็นการโจมตี คุณสามารถดูการเรียก API ได้ แต่การดำเนินการดังกล่าวไม่ได้เป็นส่วนหนึ่งของการดําเนินการปกติของ Apigee เราไม่ตรวจสอบเพย์โหลดของลูกค้า เนื่องจากจะเป็นการละเมิดความเป็นส่วนตัวของการเข้าชม ลูกค้า และผู้ใช้ปลายทางส่วนใหญ่ Apigee ไม่ทราบว่าการเพิ่มขึ้นอย่างฉับพลันในช่วงบ่ายวันอังคารนั้นเกิดจากโจมตีหรือการใช้งานแอปและบริการของลูกค้าที่ประสบความสำเร็จอย่างฉับพลัน Apigee เห็นการเพิ่มขึ้น แต่เราไม่ทราบวิธีตอบสนองหากไม่มีรายละเอียดและบริบทเพิ่มเติมที่เห็นได้ชัดสำหรับลูกค้า แต่ Apigee ไม่ทราบ สถานการณ์ที่เลวร้ายที่สุดคือ Apigee บล็อกการโจมตี แต่กลับพบว่าเป็นการโจมตีที่ประสบความสำเร็จอย่างมากทางการตลาด ซึ่ง Apigee เพิ่งจะบล็อกแอปในช่วงที่ได้รับความนิยม

Apigee ป้องกัน DDoS อย่างไร

Apigee Edge เป็นเครื่องมือในกล่องเครื่องมือด้านความปลอดภัย ลูกค้าสามารถกำหนดค่าเครื่องมือได้ตามต้องการเพื่อบล็อกการเข้าชมที่เป็นอันตราย จำกัดการเข้าชมที่ถูกต้องแต่มากเกินไป หรือประมวลผลที่โหลดเร็วกว่าที่แบ็กเอนด์ของลูกค้าจะตอบสนองได้ และป้องกันไม่ให้ศูนย์ข้อมูลของลูกค้าทำงานหนักเกินไป Apigee Edge มีความสามารถที่ช่วยให้ลูกค้าสร้างนโยบายด้านความปลอดภัยที่เฉพาะเจาะจงมากเพื่อปกป้องบริการ API จริงที่อยู่เบื้องหลัง Apigee Edge เป็นเลเยอร์การป้องกันที่สามารถปรับขนาดได้ตามต้องการเพื่อรองรับการเข้าชมที่เพิ่มขึ้นอย่างรวดเร็ว (เช่น การโจมตี DDoS) ขณะเดียวกันก็จำกัดผลกระทบต่อแบ็กเอนด์ (ศูนย์ข้อมูลของลูกค้า)

เนื่องจาก Apigee ไม่ได้จัดการและตรวจสอบเพย์โหลดของการเรียกใช้ทุกรายการสำหรับลูกค้าทุกราย ลูกค้าจึงต้องเป็นผู้ระบุการโจมตี แต่การตอบสนองต่อโจมตีควรประสานงานกับทั้งลูกค้าและ Apigee Apigee ยังอาจดึงผู้ให้บริการระบบคลาวด์ (GCP หรือ AWS) เข้ามาเกี่ยวข้องด้วยหากจำเป็น

Apigee, GCP และ AWS จะไม่บล็อกการรับส่งข้อมูลที่มีปลายทางเป็นลูกค้า หาก Apigee พิจารณาแล้วว่าการเข้าชมนั้นเป็นการโจมตี เราจะสื่อสารกับลูกค้าและเสนอความช่วยเหลือ อย่างไรก็ตาม เนื่องจากขนาดของ Apigee Edge ปริมาณการรับส่งข้อมูลเพียงอย่างเดียวจึงไม่ใช่เงื่อนไขในการบล็อกการรับส่งข้อมูล

ลูกค้าสามารถใช้ Edge เพื่อสร้างนโยบายที่ป้องกันจากการโจมตี (รวมถึง DDoS) นโยบายเหล่านี้ไม่ได้สร้างไว้ล่วงหน้า ซึ่งหมายความว่า API, ข้อมูล หรือบริการของลูกค้าแต่ละรายไม่มีเอกลักษณ์ Apigee เปิดใช้นโยบายเหล่านี้ไม่ได้หากไม่มีข้อมูลจากลูกค้า ซึ่งหมายความว่า Apigee จะตรวจสอบข้อมูลของลูกค้าและตัดสินใจว่าข้อมูลใดถูกต้องหรือไม่ถูกต้อง

Edge เป็นเครื่องมือที่ใช้งานได้ และสามารถใช้ทำสิ่งต่างๆ ที่ลูกค้าจําเป็นต้องปกป้อง API ของตน แต่การป้องกัน API นั้นลูกค้าต้องดำเนินการบางอย่างด้วย

โดยมีเป้าหมายเพื่อปกป้องบริการ API ของลูกค้า ซึ่งเป็นหนึ่งในฟีเจอร์และความสามารถของ Edge Cloud

จริงๆ แล้วการบล็อกการเข้าชม DDoS ประเภทต่างๆ นั้นควรอยู่ห่างจาก API จริงมากที่สุด

  • บล็อกแพ็กเก็ตเครือข่ายที่มีรูปแบบไม่ถูกต้องในเครือข่ายของ Cloud
  • รองรับแพ็กเก็ตจำนวนมากที่มีรูปแบบถูกต้องแต่ยังไม่สมบูรณ์ที่เลเยอร์แพลตฟอร์ม Edge
  • ทิ้งการเรียก API ที่มีรูปแบบไม่ถูกต้องที่เลเยอร์ Edge
  • บล็อกการเรียกใช้ที่ถูกต้องแต่ไม่ได้รับอนุญาตภายใน Edge
  • บล็อกการเรียกใช้ภายใน Edge ที่ถูกต้องและได้รับอนุญาตแต่มีมากเกินไป
  • ใช้ Sense เพื่อตรวจหาคีย์ที่ถูกต้อง อยู่ในรูปแบบที่เหมาะสม และคำขอ API ที่ถูกต้องซึ่งอยู่นอกเหนือการเข้าถึงที่คาดไว้หรืออนุญาต
  • ส่งเฉพาะการเรียก API ที่ถูกต้อง ได้รับอนุญาต ยอมรับได้ และอยู่ภายในขีดจำกัดที่อนุมัติไปยังศูนย์ข้อมูลของลูกค้า

คำถามอื่นๆ ที่พบบ่อย

Apigee ปฏิเสธการระบุ (ip|country|url) ได้ไหม

ใช่ หากสร้าง กำหนดค่า และเปิดใช้นโยบายใน Edge ภายในองค์กร Edge ของลูกค้า

Apigee ตรวจพบบ็อตหรือกิจกรรมที่เป็นอันตรายที่คล้ายกันได้ไหม

Apigee มีบริการตรวจจับบ็อตชื่อ Sense

Apigee จะบล็อกการเข้าชมให้ฉันไหม

Apigee จะไม่บล็อกการรับส่งข้อมูลที่มีปลายทางเป็นลูกค้า หาก Apigee ระบุว่าการเข้าชมนั้นเป็นการโจมตี เราจะติดต่อลูกค้าและเสนอความช่วยเหลือ อย่างไรก็ตาม เนื่องจากขนาดของ Apigee Edge และผู้ให้บริการระบบคลาวด์ของเรา (GCP และ AWS) ปริมาณการรับส่งข้อมูลจำนวนมากจึงไม่ใช่ตัวกระตุ้นให้บล็อกการรับส่งข้อมูล

การโจมตี DoS หรือ DDoS จะนับเป็นการเรียก API ที่ประมวลผลใน Edge ไหม

Apigee Edge เป็นโซลูชันที่ช่วยป้องกันการละเมิดระบบแบ็กเอนด์ของลูกค้า ดังนั้นในกรณีที่มีการโจมตี Edge จะบังคับใช้โควต้า/การหยุดการเพิ่มขึ้นอย่างฉับพลัน/การป้องกันภัยคุกคาม ฯลฯ เพื่อรับมือกับการละเมิดที่เลเยอร์ Apigee Cloud โดยอิงตามการกําหนดค่า ผู้ที่มีคีย์ API ที่ถูกต้องและอยู่ภายใต้ขีดจํากัดโควต้าจะยังคงเข้าถึง API นั้นได้ การเรียก API ทั้งหมดที่ประมวลผลที่เลเยอร์ของเราจะนับเป็นการเรียกที่ประมวลผลแล้ว Apigee Edge เป็นเครื่องมือในกล่องเครื่องมือด้านความปลอดภัยสำหรับการป้องกันลูกค้าจากการโจมตี DDoS และการโจมตีประเภทอื่นๆ

ข้อมูลการป้องกัน DDoS โดยละเอียด

  1. GCP และ AWS ให้ความช่วยเหลือเกี่ยวกับ DDoS ที่ระดับเครือข่ายตาม/เมื่อจำเป็น (การโจมตีครั้งใหญ่มาก)
    • Apigee ดูแลผู้ติดต่อด้านความปลอดภัยที่ GCP และ AWS เพื่อส่งต่อและตอบกลับหากต้องการความช่วยเหลือจาก GCP หรือ AWS เพื่อรับมือกับการโจมตี
  2. Apigee Edge สามารถใช้เพื่อใช้นโยบายที่ปกป้อง API ของลูกค้าจากการโจมตี
    • การจำกัดอัตรา
    • การจับกุม Spike
    • การตรวจจับการโจมตีด้วยเพย์โหลด XML
    • นโยบายอื่นๆ สามารถเขียนขึ้นเพื่อป้องกันการโจมตีที่เฉพาะเจาะจง
  3. Edge ใช้การปรับขนาดอัตโนมัติเป็นความสามารถในการป้องกันการโจมตี
  4. Apigee และลูกค้า (รวมถึง GCP หรือ AWS) จะต้องทำงานร่วมกันในระหว่างการโจมตี DDoS การสื่อสารอย่างเปิดเผยเป็นสิ่งสำคัญ และ Apigee มีทรัพยากรด้านความปลอดภัยที่พร้อมให้ทีมสนับสนุนของเราติดต่อได้ทุกเมื่อ

การตอบสนองครั้งแรกต่อ DDoS คือการใช้ Apigee Edge เพื่อช่วยในการโจมตี ซึ่งก็คือการเปิดใช้การหยุดการเพิ่มขึ้นอย่างฉับพลัน การจำกัดอัตราการเข้าชม และแม้แต่การปฏิเสธที่อยู่ IP ต้นทาง มีเครื่องมือมากมายใน Edge ที่ช่วยป้องกันจากการโจมตี DDoS

หากการโจมตีมีปริมาณมากพอ Apigee สามารถทํางานร่วมกับลูกค้าเพื่อส่งต่อไปยังผู้ให้บริการระบบคลาวด์ที่เหมาะสมเพื่อรับ "ความช่วยเหลือจากต้นทาง" เนื่องจากการโจมตี DDoS แต่ละครั้งไม่เหมือนกัน การตอบสนองจึงจะกำหนดขึ้นในระหว่างการโจมตี อย่างไรก็ตาม แนวทางปฏิบัติแนะนำและรายละเอียดที่จำเป็นในการส่งต่อมีอยู่ในการบรรเทาอันตรายจากการโจมตีแบบปฏิเสธการให้บริการใน AWS

โปรดทราบว่าหัวใจสำคัญคือ

สร้างแผนรับมือการโจมตี อย่าลืมว่าเรากำลังเผชิญปัญหานี้ด้วยกัน ลูกค้าที่ต้องสงสัยว่าถูกโจมตีควรเปิดคำขอแจ้งปัญหาและขอความช่วยเหลือจาก Apigee

GCP

Apigee ใช้การป้องกันที่ GCP มีให้ตามที่ระบุไว้ในแนวทางปฏิบัติแนะนำสำหรับการปกป้องและบรรเทา DDoS เช่น

  • เครือข่ายเสมือน
  • กฎไฟร์วอลล์
  • การจัดสรรภาระงาน

AWS

AWS เผยแพร่แนวทางปฏิบัติแนะนำเพื่อเพิ่มความยืดหยุ่นต่อ DDoS และวิธีเตรียมพร้อมรับมือกับการโจมตี DDoS ด้วยการลดพื้นที่ในการโจมตี Apigee ใช้ข้อกำหนดเหล่านี้หลายข้อที่สอดคล้องกับสภาพแวดล้อมของเรา

  • VPC
  • กลุ่มความปลอดภัย
  • ACL
  • Route53
  • การจัดสรรภาระงาน