Edge'de DDoS savunması

Apigee Edge belgelerini görüntülüyorsunuz.
Apigee X belgelerine gidin.
bilgi

Dağıtılmış hizmet reddi (DDoS) saldırıları giderek yaygınlaşıyor. Son saldırılarda rekor kıran trafik seviyeleri görüldü ve bu saldırıların daha da kötüye gitmeye devam edeceği öngörülüyor. Bu saldırıların boyutu herkesin savunmasını yeniden değerlendirmesine neden oldu. Güvenliği ihlal edilmiş IoT cihazları kullanıldığında, DDoS saldırıları eskisinden çok daha büyük hale geldi.

Apigee için DDoS savunmalarının amacı, her bir müşterinin veri merkezindeki müşteri API'lerini korumaktır. Apigee Edge Cloud, yüksek hacimli trafiği kabul edecek şekilde tasarlanmıştır. Ayrıca müşteri veri merkezine ve API arayüzlerine ulaşan gerçek isteklerin akışını sağlarken aynı zamanda kötü amaçlı trafiği azaltır, ani artışları izler, hız sınırlamalarını yönetir ve saldırı sırasında müşterilerimizi online ortamda tutar.

Apigee, trafik hacmindeki ani artışları tespit edebiliyor ancak bu artışın bir saldırı mı, başarılı bir kampanya mı yoksa son kullanıcılara sunulan yeni bir uygulama mı olduğunu belirleyemeyiz. Apigee, hangi çağrıların meşru olduğunu ve hangilerinin saldırıya uğradığını belirlemek için API çağrılarının içeriğini etkin bir şekilde incelemez. API çağrılarına bakmak mümkündür ancak bu işlem Apigee'nin normal işlemleri kapsamında değildir. Çoğu trafik, müşteri ve son kullanıcı için gizlilik ihlaline yol açacağından müşteri yüklerini incelemeyiz. Apigee, salı günü öğleden sonra gerçekleşen özel bir artışın bir saldırıdan mı yoksa müşterinin uygulama ve hizmetlerinin aniden başarılı bir şekilde benimsenmesinden mi kaynaklandığını bilemez. Apigee, bu ani artışı görebiliyor ancak müşterilerin açıkça görebildiği ancak Apigee'de bulunmayan ek ayrıntılar ve bağlam olmadan nasıl yanıt vereceğimizi bilemeyiz. En kötü senaryo, Apigee'nin bir saldırıyı engelleyerek pazarlama faaliyetlerinde büyük bir başarı elde ettiğini keşfetmesi ve Apigee'nin bu yoğun dönemde uygulamayı engellediği bir durum olabilir.

Apigee, DDoS savunmasına nasıl yaklaşır?

Apigee Edge, güvenlik araç kutusunda sunulan bir araçtır. Müşteri bu araç sayesinde kötü amaçlı trafiği engellemek, geçerli ancak aşırı trafiği sınırlamak veya yüklemeleri müşterinin arka ucunun yanıt verebileceğinden daha hızlı şekilde işleyip veri merkezinin boğulmasını önlemek için gereken şekilde yapılandırma yapabilir. Apigee Edge, müşterilerimizin Apigee'nin arkasındaki gerçek API hizmetlerini savunmak için son derece özel güvenlik politikaları oluşturmasına olanak tanıyan özellikler sunar. Edge, trafikteki büyük artışları (ör. DDoS saldırısı) soğutmak için gerektiğinde ölçeklenebilen ve arka uçtaki (müşterilerin veri merkezleri) etkiyi sınırlayabilen bir savunma katmanıdır.

Apigee, her müşteri için her aramanın yükünü yönetmez ve sorgulamaz. Bu nedenle, bir saldırıyı tespit edebilmek müşteriye bağlıdır. Ancak bir saldırıya yanıt hem müşteri hem de Apigee ile koordine edilmelidir. Apigee, gerekirse bulut sağlayıcıyı da (GCP veya AWS) sürece dahil edebilir.

Apigee, GCP ve AWS, müşteriye gönderilen trafiği kara deliğe atmaz. Apigee, trafiğin kötü amaçlı olduğunu belirlerse müşteriyle iletişime geçerek yardımcı olmayı teklif ederiz. Ancak Apigee Edge'in ölçeği nedeniyle basit trafik hacmi, trafiği engellemek için yeterli değildir.

Müşteriler, Edge'i saldırılara (DDoS dahil) karşı koruma sağlayan politikalar oluşturmak için kullanabilir. Bu politikalar kullanıma hazır olarak sunulmamıştır. Yani her müşterinin API'leri, verileri veya hizmetleri konusunda benzersiz bir şey yoktur. Apigee, müşterinin müdahalesi olmadan bu politikaları etkinleştiremez. Yani Apigee, müşteri verilerini inceliyor ve neyin geçerli olup olmadığıyla ilgili kararlar veriyor.

Kullanılacak bir araç olan Edge, müşterilerin API'lerini savunmak için ihtiyaç duyduğu şeyleri yapmak için de kullanılabilir. Ancak API savunması müşterinin bazı işlemler yapmasını gerektirir.

Amaç, müşterinin API hizmetlerini korumaktır. Bu, Edge Cloud'un özelliklerinden ve özelliklerinden biridir.

Buradaki asıl mesele, farklı DDoS trafiği türlerini gerçek API'lerden mümkün olduğunca uzakta engellemektir:

  • Bulut ağında bozuk biçimli ağ paketlerini engelle
  • Edge platform katmanında düzgün şekilde oluşturulmuş ancak eksik paket taşlarını emme
  • Bozuk API çağrılarını Uç katmanına bırakma
  • Edge'de düzgün şekilde oluşturulmuş ancak yetkisiz çağrıları engelle
  • Düzgün şekilde oluşturulmuş ve yetkilendirilmiş ancak Edge'de çok fazla sayıda çağrıyı engelle
  • Düzgün biçimlendirilmiş, geçerli anahtarları ve beklediğiniz ya da izin verilen erişiminizin dışındaki geçerli API isteklerini algılamak için Sense'i kullanın
  • Yalnızca geçerli, yetkilendirilmiş, kabul edilebilir ve onaylanmış sınırlar dahilinde API çağrılarını müşteri veri merkezine iletin

Sık sorulan diğer sorular

Apigee, (ip|ülke|url) adresini ret listesine ekleyebilir mi?

Evet; politika, müşterinin Edge kuruluşunda Edge'de oluşturulur, yapılandırılmışsa ve etkinleştirilmişse geçerlidir.

Apigee, botları veya benzer kötü amaçlı etkinlikleri tespit edebilir mi?

Apigee, Sense adlı bir bot algılama hizmeti sunmaktadır.

Apigee benim için kara delik oluşturur mu?

Apigee, müşteriye giden trafiği kara delik haline getirmez. Apigee, trafiğin kötü amaçlı olduğunu belirlerse müşteriyle iletişime geçerek yardımcı olmayı teklif ederiz. Ancak Apigee Edge'in ve bulut sağlayıcılarımızın (GCP ve AWS) ölçeği nedeniyle, trafiğin büyük olması trafiği engellemek için yeterli değildir.

DoS veya DDoS saldırısı, Edge'de işlenmiş API çağrısı olarak sayılır mı?

Apigee Edge, müşteri arka uç sistemlerinin kötüye kullanımını önlemeye yardımcı olan bir çözümdür. Bu nedenle Edge, saldırı durumunda yapılandırmaya bağlı olarak Apigee Cloud katmanındaki kötüye kullanımı ortadan kaldırmak için kota/ani artış/tehdit koruması vs. uygular. Geçerli API anahtarına sahip ve kota sınırının altında olan kullanıcılar ilgili API'ye erişmeye devam edebilir. Katmanımızda işlenen her API çağrısı, işlenen çağrı olarak sayılır. Apigee Edge, müşterilerin DDoS ve diğer saldırı türlerine karşı savunma yapmasını sağlayan, güvenlik araç kutusunda bulunan bir araçtır.

Ayrıntılı DDoS savunması bilgileri

  1. GCP ve AWS, gerektiğinde/gerektiğinde ağ düzeyinde DDoS yardımı sunar (çok büyük bir saldırı).
    • Apigee, saldırılara müdahale etmek için GCP veya AWS yardımına ihtiyaç duyulması durumunda üst birime iletme ve yanıt amacıyla GCP ve AWS'de güvenlik kişilerini tutar.
  2. Apigee Edge, müşteri API'lerini saldırıdan koruyan politikaları uygulamak için kullanılabilir.
    • Hız sınırlaması.
    • Ani tutukluluklar.
    • XML yük saldırısı algılama.
    • Belirli saldırılara karşı savunmak için başka politikalar yazılabilir.
  3. Edge, savunmamızda otomatik ölçeklendirmeyi bir özellik olarak kullanır.
  4. Apigee ve müşterinin (ve GCP ya da AWS'nin), DDoS saldırısı sırasında birlikte çalışması gerekir. Açık iletişim önemlidir ve Apigee, destek ekibimize her zaman çağrıda olan güvenlik kaynaklarına sahiptir.

Bir DDoS saldırısına verilen ilk tepki, saldırıda yardımcı olması için Apigee Edge'i kullanmaktır: Ani artış durdurma, hız sınırlama ve hatta kaynak IP adreslerini ret listesine ekleme. Edge'de DDoS saldırısına karşı kendinizi savunmak için kullanabileceğiniz birçok araç vardır.

Saldırı yeterince büyükse Apigee, müşteriyle birlikte çalışarak "yukarı akış desteği" için konuyu uygun bulut sağlayıcısına yönlendirebilir. Her DDoS saldırısı benzersiz olduğundan yanıt, saldırı sırasında belirlenir. Ancak üst birime iletme işlemine yardımcı olmak için gereken en iyi uygulamalar ve ayrıntılar AWS'de Hizmet Saldırısını Azaltma başlıklı makalede belgelenmiştir.

Önemli olan şudur:

Saldırılar için bir plan oluşturma. Unutmayın, bu işte beraberiz. Saldırıya uğradığından şüphelenen müşteriler, destek kaydı açmalı ve Apigee'den yardım istemelidir.

GCP

Apigee, DDoS'yi Koruma ve Azaltma İçin En İyi Uygulamalar'da belirtildiği gibi GCP tarafından sağlanan savunmaları kullanır. Örneğin:

  • Sanal ağlar
  • Güvenlik duvarı kuralları
  • Yük dengeleme

AWS

AWS, DDoS'ye dayanıklılık için en iyi uygulamalar ve Saldırı yüzeyinizi azaltarak DDoS saldırılarına hazırlanma başlıklı makaleleri yayınlar. Apigee, ortamımız için uygun olan şu seçeneklerden birkaçını kullanır:

  • VPC
  • Güvenlik grupları
  • EKL'ler
  • Route53
  • Yük dengeleme