การป้องกัน DDoS ใน Edge

คุณกำลังดูเอกสารประกอบของ Apigee Edge
ไปที่เอกสารประกอบของ Apigee X ข้อมูล

การโจมตีแบบปฏิเสธการให้บริการแบบกระจาย (DDoS) มีขนาดใหญ่ขึ้นและพบบ่อยมากขึ้น การโจมตีเมื่อเร็วๆ นี้พบว่ามีระดับการเข้าถึงการตั้งค่าระเบียนจำนวนมากและการคาดการณ์จะแย่ลงเรื่อยๆ การโจมตีที่รุนแรงขนาดนี้ทำให้ทุกคนประเมินแนวป้องกันของตนเองอีกครั้ง ด้วยการใช้อุปกรณ์ IoT ที่ถูกบุกรุก ตอนนี้การโจมตีแบบ DDoS จึงมีจำนวนมากกว่าที่เคยเป็นได้

เป้าหมายของการป้องกันแบบ DDoS สำหรับ Apigee คือการปกป้อง API ของลูกค้าในศูนย์ข้อมูลของลูกค้าแต่ละราย Apigee Edge Cloud ได้รับการออกแบบมาเพื่อรองรับการรับส่งข้อมูลจำนวนมากและเป็นตัวกรองที่ช่วยทำให้คำขอจริงไหลผ่านไปยังศูนย์ข้อมูลของลูกค้าและอินเทอร์เฟซ API ในขณะเดียวกันก็กำจัดการเข้าชมที่เป็นอันตราย การเฝ้าดูการเพิ่มขึ้นอย่างฉับพลัน การจัดการการจำกัดอัตรา และการทำให้ลูกค้าออนไลน์ผ่านการโจมตี

Apigee คือการตรวจหาปริมาณการเข้าชมที่เพิ่มขึ้นอย่างฉับพลัน แต่เราไม่สามารถระบุได้ว่าการเพิ่มขึ้นอย่างฉับพลันนั้นเป็นการโจมตี แคมเปญที่ประสบความสำเร็จ หรือแอปพลิเคชันใหม่ที่เปิดตัวแก่ผู้ใช้ปลายทางหรือไม่ Apigee ไม่ได้คอยดูภายในการเรียก API แบบคร่าวๆ เพื่อตัดสินว่าการเรียกใดถูกต้องและแบบใดอาจเป็นการโจมตี คุณดูการเรียก API ได้ แต่การดำเนินการดังกล่าวไม่ได้เป็นส่วนหนึ่งของการดำเนินการตามปกติของ Apigee เราไม่ตรวจสอบเพย์โหลดของลูกค้า เนื่องจากจะเป็นการรุกล้ำความเป็นส่วนตัวสำหรับการเข้าชม ลูกค้า และผู้ใช้ปลายทางส่วนใหญ่ Apigee ไม่รู้ว่าการเพิ่มขึ้นอย่างฉับพลันในช่วงบ่ายวันอังคารนั้นเกิดจากการโจมตีหรือการนำแอปและบริการของลูกค้าไปใช้สำเร็จอย่างกะทันหันหรือไม่ Apigee ทำให้เห็นถึงจุดสูงสุด แต่ไม่มีรายละเอียดและบริบทเพิ่มเติมที่ลูกค้าเห็นชัดเจน แต่ Apigee ไม่พร้อมให้บริการ เราก็ไม่ทราบว่าจะตอบกลับอย่างไร กรณีที่ Apigee คือสถานการณ์ที่เลวร้ายที่สุดคือเมื่อ Apigee บล็อกการโจมตีเพราะพบว่าการโจมตีนั้นเป็นความสำเร็จทางการตลาดครั้งยิ่งใหญ่ที่ Apigee เพิ่งจบลงด้วยการบล็อกแอปในช่วงที่เครื่องมือนี้ทำงานหนัก

Apigee ในวิธีการป้องกันแบบ DDoS เป็นอย่างไร

Apigee Edge เป็นเครื่องมือในกล่องเครื่องมือการรักษาความปลอดภัย เครื่องมือนี้มีไว้ให้ลูกค้ากำหนดค่าตามที่จำเป็นเพื่อบล็อกการรับส่งข้อมูลที่เป็นอันตราย จำกัดการรับส่งข้อมูลที่ถูกต้องแต่มากเกินไป หรือกระบวนการโหลดได้เร็วกว่าที่แบ็กเอนด์ของลูกค้าจะตอบสนองได้ และป้องกันไม่ให้ศูนย์ข้อมูลของลูกค้าทำงานหนักเกินไป Apigee Edge คือความสามารถที่ทำให้ลูกค้าสามารถสร้างนโยบายความปลอดภัยที่เฉพาะเจาะจงมากเพื่อปกป้องบริการ API ที่แท้จริงที่อยู่เบื้องหลัง Apigee Edge เป็นชั้นเกราะป้องกันที่สามารถปรับขนาดได้ตามต้องการเพื่อรองรับการเข้าชมที่พุ่งสูงขึ้น (เช่น การโจมตีแบบ DDoS) และจำกัดผลกระทบที่มีต่อแบ็กเอนด์ (ศูนย์ข้อมูลของลูกค้า) ไปพร้อมๆ กัน

เนื่องจาก Apigee ไม่ได้จัดการและสอบสวนเพย์โหลดของทุกการเรียกใช้สำหรับลูกค้าทุกราย ความสามารถในการระบุการโจมตีจึงขึ้นอยู่กับลูกค้า แต่การตอบสนองต่อการโจมตีควรประสานงานกับทั้งลูกค้าและ Apigee นอกจากนี้ Apigee ยังรวมถึงผู้ให้บริการระบบคลาวด์ (GCP หรือ AWS) อีกด้วยหากจำเป็น

Apigee, GCP และ AWS จะไม่ทำบัญชีดำการรับส่งข้อมูลของลูกค้า หาก Apigee พิจารณาว่าการรับส่งข้อมูลดังกล่าวเป็นอันตราย เราจะติดต่อลูกค้าและเสนอให้ความช่วยเหลือ อย่างไรก็ตาม เนื่องจาก Apigee Edge เป็นปัจจัยสำคัญ ปริมาณการรับส่งข้อมูลที่เรียบง่ายจึงไม่ใช่ทริกเกอร์ในการบล็อกการรับส่งข้อมูล

ลูกค้าสามารถใช้ Edge เพื่อสร้างนโยบายที่ป้องกันการโจมตี (รวมถึง DDoS) นโยบายเหล่านี้ไม่ได้สร้างไว้ล่วงหน้าตั้งแต่แกะกล่อง ซึ่งหมายความว่า API หรือข้อมูล หรือบริการของลูกค้าแต่ละรายนั้นไม่ซ้ำกัน Apigee จะเปิดใช้นโยบายเหล่านี้ไม่ได้หากไม่มีการป้อนข้อมูลจากลูกค้า ซึ่งหมายความว่า Apigee จะตรวจสอบข้อมูลลูกค้าและตัดสินใจว่าข้อมูลใดที่ใช้ได้และไม่ถูกต้อง

Edge คือเครื่องมือที่ต้องใช้เพื่อทำสิ่งต่างๆ ที่ลูกค้าต้องการเพื่อปกป้อง API ของตน แต่ลูกค้าจำเป็นต้องใช้การป้องกันด้วย API

เป้าหมายคือการปกป้องบริการ API ของลูกค้า ซึ่งก็คือฟีเจอร์และความสามารถของ Edge Cloud อย่างหนึ่ง

จริงๆ แล้ว การบล็อกการรับส่งข้อมูล DDoS ประเภทต่างๆ ให้ห่างจาก API จริงให้มากที่สุด

  • บล็อกแพ็กเก็ตเครือข่ายที่มีรูปแบบไม่ถูกต้องในเครือข่ายของระบบคลาวด์
  • ดูดซับน้ำท่วมของแพ็กเก็ตที่มีรูปแบบถูกต้องแต่ไม่สมบูรณ์ในเลเยอร์ Edge Platform
  • ยกเลิกการเรียก API ที่ผิดรูปแบบที่เลเยอร์ Edge
  • บล็อกการเรียกใช้ที่มีรูปแบบถูกต้องแต่ไม่ได้รับอนุญาตภายใน Edge
  • บล็อกการเรียกใช้ที่มีรูปแบบและได้รับอนุญาตอย่างเหมาะสม แต่มีการเรียกใน Edge เป็นจำนวนมากเกินไป
  • ใช้ Sense เพื่อตรวจหาคีย์ที่ถูกต้องที่สร้างขึ้นอย่างถูกต้อง รวมถึงคําขอ API ที่ถูกต้อง ซึ่งอยู่นอกเหนือความคาดหมายหรือสิทธิ์เข้าถึงที่ได้รับอนุญาตของคุณ
  • ส่งการเรียก API ที่ถูกต้อง ได้รับอนุญาต ยอมรับ และอยู่ภายในขีดจำกัดที่ได้รับอนุมัติเท่านั้นไปยังศูนย์ข้อมูลของลูกค้า

คำถามอื่นๆ ที่พบบ่อย

Apigee ในรายการที่ไม่อนุญาตของ (ip|country|url) ได้ไหม

ได้ หากมีการสร้าง กำหนดค่า และเปิดใช้นโยบายใน Edge ภายในองค์กร Edge ของลูกค้า

Apigee จะตรวจจับบ็อตหรือกิจกรรมที่เป็นอันตรายที่คล้ายกันได้ไหม

Apigee คือบริการตรวจจับบ็อตชื่อ Sense

Apigee จะทำให้การเข้าชมดังกล่าวทำไม่ได้เลยใช่ไหม

Apigee จะไม่ทำให้การรับส่งข้อมูลของลูกค้าตกเป็นเป้า หาก Apigee ระบุได้ว่าการรับส่งข้อมูลดังกล่าวเป็นอันตราย เราจะติดต่อลูกค้าและเสนอให้ความช่วยเหลือ อย่างไรก็ตาม เนื่องจาก Apigee Edge และผู้ให้บริการระบบคลาวด์ของเรา (GCP และ AWS) มีปริมาณการรับส่งข้อมูลจำนวนมาก จึงไม่ใช่ปัจจัยที่ทำให้บล็อกการรับส่งข้อมูลได้

การโจมตี DoS หรือ DDoS นับเป็นการเรียก API ที่ประมวลผลใน Edge แล้วใช่ไหม

Apigee Edge คือโซลูชันที่ช่วยป้องกันการละเมิดระบบแบ็กเอนด์ของลูกค้า ดังนั้นในกรณีที่มีการโจมตี Edge จะบังคับใช้โควต้า/การจับกุม/การป้องกันภัยคุกคาม และอื่นๆ เพื่อรองรับการละเมิดที่เลเยอร์ Apigee Cloud โดยอิงตามการกำหนดค่า ผู้ใช้ที่มีคีย์ API ที่ถูกต้องและอยู่ภายในขีดจำกัดโควต้าจะยังเข้าถึง API นั้นได้อยู่ สำหรับการเรียก API ที่ได้รับการประมวลผลที่เลเยอร์ของเราจะนับเป็นการเรียกที่ประมวลผลแล้ว Apigee Edge เป็นเครื่องมือในกล่องเครื่องมือการรักษาความปลอดภัยสำหรับลูกค้าที่ใช้ป้องกัน DDoS และการโจมตีประเภทอื่นๆ

ข้อมูลการป้องกัน DDoS โดยละเอียด

  1. GCP และ AWS ให้ความช่วยเหลือ DDoS ในระดับเครือข่ายตามความจำเป็น (การโจมตีขนาดใหญ่มาก)
    • Apigee คือผู้ประสานงานด้านการรักษาความปลอดภัยที่ GCP และ AWS สำหรับการส่งต่อและตอบสนอง หากจำเป็นต้องขอความช่วยเหลือจาก GCP หรือ AWS เพื่อตอบสนองต่อการโจมตี
  2. คุณสามารถใช้ Apigee Edge สำหรับใช้นโยบายที่ปกป้อง API ของลูกค้าจากการโจมตีได้
    • การจำกัดอัตรา
    • การจับกุมที่เพิ่มขึ้น
    • การตรวจจับการโจมตีด้วยเพย์โหลด XML
    • แต่สามารถเขียนนโยบายอื่นๆ เพื่อป้องกันการโจมตีบางอย่างได้
  3. Edge ใช้การปรับขนาดอัตโนมัติเป็นความสามารถในการป้องกันของเรา
  4. Apigee และลูกค้า (และ GCP หรือ AWS) ต้องทำงานร่วมกันระหว่างการโจมตี DDoS การสื่อสารแบบเปิดเป็นสิ่งสำคัญและ Apigee นั้นมีทรัพยากรด้านความปลอดภัยที่พร้อมส่งให้ทีมสนับสนุนของเราได้ตลอดเวลา

การตอบสนอง DDoS อย่างแรกคือการใช้ Apigee Edge เพื่อช่วยในการโจมตี ไม่ว่าจะเป็นการเปิดใช้การจับกุมอย่างฉับพลัน การจำกัดอัตรา และแม้กระทั่งการปฏิเสธที่อยู่ IP ต้นทางในรายการที่ไม่อนุญาต ใน Edge มีเครื่องมือมากมายเพื่อป้องกันการโจมตีแบบ DDoS

หากการโจมตีมีปริมาณมากเพียงพอ Apigee จะทำงานร่วมกับลูกค้าเพื่อส่งต่อไปยังผู้ให้บริการระบบคลาวด์ที่เหมาะสมสำหรับ "ความช่วยเหลืออัปสตรีม" ได้ เนื่องจากการโจมตี DDoS แต่ละครั้งไม่ซ้ำกัน การตอบสนองจะกำหนดระหว่างการโจมตี อย่างไรก็ตาม แนวทางปฏิบัติแนะนำและรายละเอียดที่จำเป็นเพื่อช่วยในการส่งต่อจะมีการบันทึกไว้ในการบรรเทาปัญหาการโจมตีบริการบน AWS

และอย่าลืมว่า

วางแผนการโจมตี อย่าลืมว่าเราอยู่ด้วยกัน ลูกค้าที่สงสัยว่ากำลังถูกโจมตีควรเปิดคำขอแจ้งปัญหาและขอความช่วยเหลือจาก Apigee

GCP

Apigee คือการป้องกันที่ GCP มีให้ตามที่ระบุไว้ในแนวทางปฏิบัติแนะนำสำหรับการป้องกันและการบรรเทาปัญหา DDoS เช่น

  • เครือข่ายเสมือน
  • กฎไฟร์วอลล์
  • การจัดสรรภาระงาน

AWS

AWS เผยแพร่แนวทางปฏิบัติแนะนำสำหรับความสามารถในการรับมือ DDoS และวิธีเตรียมพร้อมสำหรับการโจมตี DDoS โดยการลดพื้นที่ในการโจมตี Apigee เป็นเครื่องมือหลายประการที่เกี่ยวข้องกับสภาพแวดล้อมของเรา

  • VPC
  • กลุ่มความปลอดภัย
  • ACL
  • Route53
  • การจัดสรรภาระงาน