Edge'de DDoS savunması

Apigee Edge belgelerini görüntülüyorsunuz.
Apigee X belgelerine gidin. info

Dağıtılmış hizmet reddi (DDoS) saldırıları daha büyük ve daha yaygın hale geliyor. Son saldırılarda rekor düzeyde trafik seviyeleri görüldü ve bu durumun daha da kötüye gideceği tahmin ediliyor. Bu saldırıların büyüklüğü, herkesin savunmalarını yeniden değerlendirmesine neden oldu. Güvenliği ihlal edilmiş IoT cihazları kullanılarak yapılan DDoS saldırıları artık daha büyük.

Apigee'nin DDoS savunmalarının amacı, her müşterinin veri merkezindeki müşteri API'lerini korumaktır. Apigee Edge Cloud, büyük miktarlarda trafik kabul etmek ve gerçek isteklerin müşteri veri merkezine ve API arayüzlerine akmasını sağlarken aynı zamanda kötü amaçlı trafiği düşüren, ani artışları izleyen, hız sınırlamasını yöneten ve müşterilerimizi saldırı sırasında çevrimiçi tutan filtre işlevi görecek şekilde tasarlanmıştır.

Apigee, trafik hacmindeki ani artışları algılayabilir ancak bu artışın saldırı, başarılı bir kampanya veya son kullanıcılara sunulan yeni bir uygulamadan kaynaklanıp kaynaklanmadığını belirleyemez. Apigee, hangi çağrıların meşru, hangilerinin muhtemelen saldırı olduğunu belirlemek için API çağrılarının içine aktif olarak bakmaz. API çağrılarına bakmak mümkündür ancak bu, Apigee'nin normal işlemlerinin bir parçası değildir. Müşteri yükü, trafik, müşteriler ve son kullanıcıların çoğu için gizlilik ihlali olacağından müşteri yüklerini incelemeyiz. Apigee, Salı günü öğleden sonra yaşanan belirli bir ani artışa neden olanın bir saldırı mı yoksa müşterinin uygulama ve hizmetlerinin ani bir şekilde başarılı bir şekilde benimsenmesi mi olduğunu bilemez. Apigee, ani artışları görebilir ancak müşteriler tarafından bilinen ancak Apigee'nin erişemediği ek ayrıntılar ve bağlam olmadan nasıl yanıt vereceğimizi bilemeyiz. En kötü durum senaryosu, Apigee'nin bir saldırıyı engelledikten sonra, uygulamanın en popüler döneminde engellenerek büyük bir pazarlama başarısının sona erdiğini fark etmesidir.

Apigee, DDoS savunmasına nasıl yaklaşır?

Apigee Edge, güvenlik araç kutusunda yer alan bir araçtır. Müşteri, bu aracı kötü amaçlı trafiği engellemek, geçerli ancak aşırı trafiği sınırlamak veya yüklemeleri müşterinin arka uç sunucusunun yanıt verebileceğinden daha hızlı işlemek ve müşterinin veri merkezinin aşırı yüklenmesini önlemek için gerektiği gibi yapılandırabilir. Apigee Edge, müşterilerimize Apigee'nin arkasındaki gerçek API hizmetlerini korumak için çok özel güvenlik politikaları oluşturma olanağı tanıyan özellikler sunar. Edge, arka uçtaki (müşterilerin veri merkezleri) etkiyi sınırlarken büyük trafik artışlarını (ör. DDoS saldırısı) absorbe etmek için gerektiğinde ölçeklendirilebilen savunma katmanıdır.

Apigee, her müşteri için her çağrının yükü yönetip sorgulamadığından, saldırıyı tespit etme yetkisi müşteriye aittir. Ancak saldırıya verilen yanıt hem müşteri hem de Apigee ile koordine edilmelidir. Apigee gerekirse bulut sağlayıcıyı (GCP veya AWS) bile dahil edebilir.

Apigee, GCP ve AWS, bir müşteriye yönelik trafiği silemez. Apigee, trafiğin kötü amaçlı olduğunu belirlerse müşteriyle iletişime geçerek yardım sunarız. Ancak Apigee Edge'in ölçeği nedeniyle, trafiğin hacmi tek başına trafiğin engellenmesine neden olmaz.

Müşteriler, saldırılara (DDoS dahil) karşı koruma sağlayan politikalar oluşturmak için Edge'i kullanabilir. Bu politikalar, kullanıma hazır olarak sunulmaz. Bu, her müşterinin API'leri, verileri veya hizmetlerinde benzersiz bir şey olmadığı anlamına gelir. Apigee, müşteriden bilgi almadan bu politikaları etkinleştiremez. Bu durumda Apigee, müşterinin verilerini inceleyip nelerin geçerli nelerin geçersiz olduğuna karar verir.

Edge, kullanılacak bir araçtır ve müşterilerin API'lerini korumak için yapması gerekenleri yapmak amacıyla kullanılabilir. Ancak API savunması için müşterinin de çalışması gerekir.

Amaç, müşteri API hizmetlerini korumaktır. Bu, Edge Cloud'un özelliklerinden ve olanaklarından biridir.

Aslında, farklı DDoS trafik türlerini gerçek API'lerden olabildiğince uzakta engellemektir:

  • Cloud'un ağında hatalı ağ paketlerini engelleme
  • Edge platform katmanında düzgün şekilde oluşturulmuş ancak eksik paketlerin akışına sahip olma
  • Edge katmanında hatalı biçimlendirilmiş API çağrılarını bırakma
  • Edge'de düzgün oluşturulmuş ancak yetkisiz aramaları engelleme
  • Edge'de düzgün şekilde oluşturulmuş ve yetkilendirilmiş ancak aşırı sayıdaki çağrıları engelleme
  • Doğru oluşturulmuş, geçerli anahtarları ve beklenen veya izin verilen erişiminizin dışındaki geçerli API isteklerini algılamak için Sense'i kullanın.
  • Yalnızca geçerli, yetkili, kabul edilebilir ve onaylanmış sınırlar dahilinde API çağrılarını müşteri veri merkezine iletin

Sık sorulan diğer sorular

Apigee, (ip|country|url) için engellenmesini reddedebilir mi?

Evet, politika müşterinin Edge kuruluşunda Edge'de oluşturulur, yapılandırılır ve etkinleştirilirse.

Apigee, bot'ları veya benzer kötü amaçlı etkinlikleri algılayabilir mi?

Apigee, Sense adlı bir bot algılama hizmeti sunar.

Apigee, trafiğimi kara deliğe gönderir mi?

Apigee, müşteriye yönelik trafiği silemez. Apigee, trafiğin kötü amaçlı olduğunu belirleyebilirse müşteriyle iletişime geçerek yardım sunarız. Ancak Apigee Edge'in ve bulut sağlayıcılarımızın (GCP ve AWS) ölçeği nedeniyle, trafiğin hacmi trafiğin engellenmesine neden olmaz.

DoS veya DDoS saldırıları Edge'de işlenen API çağrıları olarak sayılır mı?

Apigee Edge, müşteri arka uç sistemlerinin kötüye kullanımını önlemeye yardımcı olan bir çözümdür. Bu nedenle, saldırı durumunda Edge, yapılandırmaya bağlı olarak kötüye kullanımı Apigee Cloud katmanında absorbe etmek için kota/ani artış durdurma/tehdit koruması vb. uygular. Geçerli API anahtarına sahip ve kota sınırının altında olan kullanıcılar söz konusu API'ye erişmeye devam edebilir. Katmanımızda işlenen tüm API çağrıları, işlenen çağrı olarak sayılır. Apigee Edge, müşterilerin DDoS ve diğer saldırı türlerine karşı savunması için güvenlik araç kutusunda bulunan bir araçtır.

Ayrıntılı DDoS savunması bilgileri

  1. GCP ve AWS, gerektiğinde/gerektiği zaman ağ düzeyinde DDoS yardımı sunar (çok büyük bir saldırı).
    • Apigee, bir saldırıya yanıt vermek için GCP veya AWS yardımına ihtiyaç duyulması durumunda üst birime iletme ve yanıt verme için GCP ve AWS'de güvenlik iletişim bilgilerini tutar.
  2. Apigee Edge, müşteri API'lerini saldırılara karşı koruyan politikaları uygulamak için kullanılabilir.
    • Sıklık sınırlaması.
    • Ani artış anları.
    • XML yükü saldırısı algılama.
    • Belirli saldırılara karşı savunma yapmak için başka politikalar da yazılabilir.
  3. Edge, savunmamızda bir özellik olarak otomatik ölçeklendirmeyi kullanır.
  4. Apigee'nin, müşterinin (ve GCP veya AWS'nin) DDoS saldırısı sırasında birlikte çalışması gerekir. Açık iletişim önemlidir ve Apigee'nin destek ekibine her zaman ulaşabilecek güvenlik kaynakları vardır.

DDoS'ye ilk yanıt, saldırıya yardımcı olmak için Apigee Edge'i kullanmaktır: ani artışları durdurma, hız sınırlama ve hatta kaynak IP adreslerini engelleme özelliklerini etkinleştirebilirsiniz. Edge'de DDoS saldırılarına karşı savunma yapmak için kullanılabilecek birçok araç vardır.

Saldırı yeterince büyükse Apigee, müşteriyle birlikte çalışarak "yukarı yönlü yardım" için uygun bulut sağlayıcıya iletebilir. Her DDoS saldırısı benzersiz olduğundan yanıt, saldırı sırasında belirlenir. Ancak üst birime iletme sürecinde yardımcı olacak en iyi uygulamalar ve ayrıntılar AWS'de Hizmet Reddi Saldırısı Azaltma başlıklı makalede açıklanmıştır.

Anahtar noktaları hatırlayabilirsiniz:

Saldırılar için bir plan oluşturun. Bu süreçte birlikte olduğumuzu unutmayın. Saldırı altında olduklarından şüphelenen müşteriler bir destek kaydı açarak Apigee'den yardım istemelidir.

GCP

Apigee, DDoS Saldırılarını Önleme ve Etkilerini Azaltma Konusundaki En İyi Uygulamalar bölümünde belirtildiği gibi GCP tarafından sağlanan savunmaları kullanır. Örneğin:

  • Sanal ağlar
  • Güvenlik duvarı kuralları
  • Yük dengeleme

AWS

AWS, DDoS'ye karşı dayanıklılık için en iyi uygulamaları ve Saldırı yüzeyinizi azaltarak DDoS saldırılarına hazırlanma başlıklı makalelerini yayınlamaktadır. Apigee, ortamımız için geçerli olan bu özelliklerin birkaçını kullanır:

  • VPC
  • Güvenlik grupları
  • EKL'ler
  • Route53
  • Yük dengeleme