Ngăn chặn DDoS trong Edge

Bạn đang xem tài liệu về Apigee Edge.
Chuyển đến tài liệu về Apigee X. thông tin

Các cuộc tấn công từ chối dịch vụ phân tán (DDoS) đang ngày càng trở nên rộng rãi và phổ biến hơn. Các cuộc tấn công gần đây đã cho thấy mức lưu lượng truy cập cao kỷ lục. Lượng lưu lượng truy cập dự đoán sẽ còn tiếp tục tệ hơn. Quy mô to lớn của những cuộc tấn công này khiến mọi người phải đánh giá lại khả năng phòng thủ của mình. Bằng cách sử dụng các thiết bị IoT bị xâm nhập, các cuộc tấn công DDoS hiện đã lớn hơn nhiều so với trước đây.

Mục tiêu của các biện pháp bảo vệ chống DDoS cho Apigee là bảo vệ các API khách hàng trong trung tâm dữ liệu của từng khách hàng. Apigee được xây dựng để chấp nhận lưu lượng truy cập lớn và là bộ lọc giúp giữ cho các yêu cầu thực chuyển tới trung tâm dữ liệu khách hàng và giao diện API của trung tâm đó, đồng thời giảm lưu lượng truy cập độc hại, theo dõi mức tăng đột biến, quản lý giới hạn tốc độ và giúp khách hàng không bị tấn công.

Apigee có thể phát hiện mức tăng đột biến về lưu lượng truy cập, nhưng chúng tôi không thể xác định được liệu mức tăng đột biến đó có phải là một cuộc tấn công, một chiến dịch thành công hay một ứng dụng mới được phát hành cho người dùng cuối hay không. Apigee không chủ động tìm bên trong các lệnh gọi API để xác định xem lệnh gọi nào hợp lệ và có khả năng là cuộc tấn công. Bạn có thể xem các lệnh gọi API, nhưng việc này không phải là một phần của hoạt động thông thường của Apigee. Chúng tôi không xem xét các trọng tải của khách hàng vì đó sẽ xâm phạm quyền riêng tư đối với hầu hết lưu lượng truy cập, khách hàng và người dùng cuối. Apigee không biết liệu mức tăng đột biến cụ thể vào chiều thứ Ba có phải là do một cuộc tấn công hay đột ngột sử dụng thành công ứng dụng và dịch vụ của khách hàng hay không. Apigee có thể thấy mức tăng đột biến, nhưng nếu không có thông tin chi tiết và bối cảnh bổ sung mà khách hàng có thể nắm rõ, nhưng Apigee không dùng được, chúng tôi không biết nên phản hồi như thế nào. Tình huống xấu nhất sẽ xảy ra là nếu Apigee chặn một cuộc tấn công nhưng chỉ phát hiện ra rằng đó là một thành công lớn về mặt tiếp thị mà Apigee vừa chấm dứt bằng cách chặn ứng dụng trong giai đoạn nóng hổi.

Apigee sử dụng biện pháp bảo vệ chống DDoS như thế nào?

Apigee Edge là một công cụ nằm trong bộ công cụ bảo mật. Công cụ này có sẵn để khách hàng định cấu hình khi cần thiết để chặn lưu lượng truy cập độc hại, hạn chế lưu lượng truy cập hợp lệ nhưng quá mức, hoặc xử lý tải nhanh hơn mức mà phần phụ trợ của khách hàng có thể phản hồi và ngăn trung tâm dữ liệu của khách hàng bị quá tải. Apigee Edge cung cấp các chức năng cho phép khách hàng tạo các chính sách bảo mật rất cụ thể để bảo vệ các dịch vụ API thực tế mà Apigee dùng. Edge là một lớp phòng thủ, có thể mở rộng quy mô khi cần thiết để xử lý các mức tăng đột biến về lưu lượng truy cập lớn (chẳng hạn như cuộc tấn công DDoS) trong khi vẫn hạn chế tác động đến phần phụ trợ (trung tâm dữ liệu của khách hàng).

Vì Apigee không quản lý và truy vấn tải trọng của mọi cuộc gọi đối với mọi khách hàng nên khả năng xác định cuộc tấn công là của khách hàng. Tuy nhiên, để ứng phó với một cuộc tấn công, bạn nên phối hợp với cả khách hàng và Apigee. Apigee thậm chí có thể nhờ nhà cung cấp dịch vụ đám mây (GCP hoặc AWS) nếu cần.

Apigee, GCP và AWS sẽ không hướng lưu lượng truy cập vào lỗ hổng bảo mật cho khách hàng. Nếu Apigee xác định rằng lưu lượng truy cập này là độc hại, thì chúng tôi sẽ liên hệ với khách hàng và đề nghị hỗ trợ. Tuy nhiên, do quy mô của Apigee Edge nên lượng lưu lượng truy cập đơn giản không phải là yếu tố gây chặn lưu lượng truy cập.

Khách hàng có thể sử dụng Edge để tạo các chính sách giúp chống lại các cuộc tấn công (bao gồm cả DDoS). Các chính sách này không được tạo sẵn từ đầu. Điều đó có nghĩa là không có gì khác biệt về API/dữ liệu/dịch vụ của từng khách hàng. Apigee không thể bật các chính sách này nếu không có ý kiến của khách hàng. Điều đó có nghĩa là Apigee đang xem xét dữ liệu của khách hàng và đưa ra quyết định xem dữ liệu nào hợp lệ và dữ liệu nào không hợp lệ.

Edge là một công cụ được sử dụng và có thể được dùng để thực hiện những việc mà khách hàng cần để bảo vệ API của họ. Tuy nhiên, biện pháp bảo vệ API đòi hỏi khách hàng phải làm một số việc.

Mục đích là để bảo vệ các dịch vụ API của khách hàng. Đó là một trong những tính năng và chức năng của Edge Cloud.

Trên thực tế, vấn đề là chặn các loại lưu lượng truy cập DDoS khác nhau từ các API thực tế nhất có thể:

  • Chặn các gói mạng không đúng định dạng trên mạng của Đám mây
  • Hấp thụ một lượng lớn các gói được định dạng đúng cách nhưng không hoàn chỉnh ở lớp nền tảng Edge
  • Huỷ các lệnh gọi API không đúng định dạng tại lớp Edge
  • Chặn các lệnh gọi được định dạng đúng cách nhưng trái phép trong Edge
  • Chặn các lệnh gọi được định dạng và uỷ quyền đúng cách nhưng quá nhiều lệnh gọi trong Edge
  • Dùng Sense để phát hiện các khoá hợp lệ, được định dạng đúng cách, các yêu cầu API hợp lệ nằm ngoài quyền truy cập dự kiến hoặc được cho phép của bạn
  • Chỉ chuyển lệnh gọi API đến trung tâm dữ liệu khách hàng hợp lệ, được phép, được chấp nhận và trong giới hạn được phê duyệt

Các câu hỏi thường gặp khác

Apigee có thể đưa (ip|country|url) vào danh sách từ chối không?

Có, nếu chính sách được tạo, định cấu hình và bật trong Edge thuộc tổ chức Edge của khách hàng.

Apigee có thể phát hiện bot hoặc các hoạt động độc hại tương tự không?

Apigee cung cấp một dịch vụ phát hiện bot có tên là Sense.

Liệu lưu lượng truy cập từ lỗ hổng bảo mật Apigee có hỗ trợ tôi không?

Apigee sẽ không gây ra lỗ hổng lưu lượng truy cập cho khách hàng. Nếu Apigee xác định được rằng lưu lượng truy cập này là độc hại, thì chúng tôi sẽ liên hệ với khách hàng và đề nghị hỗ trợ. Tuy nhiên, do quy mô của Apigee Edge và các nhà cung cấp dịch vụ đám mây của chúng tôi (GCP và AWS) nên lưu lượng truy cập tổng thể không phải là yếu tố kích hoạt để chặn lưu lượng truy cập.

Một cuộc tấn công DoS hoặc DDoS có được tính là lệnh gọi API đã xử lý trong Edge không?

Apigee Edge là một giải pháp giúp ngăn chặn hành vi lợi dụng các hệ thống phụ trợ của khách hàng. Vì vậy, trong trường hợp có cuộc tấn công, Edge sẽ thực thi biện pháp bảo vệ hạn mức/tăng cường bảo vệ/biện pháp bảo vệ mối đe doạ, v.v. để ngăn chặn hành vi sử dụng sai mục đích ở lớp Apigee Cloud, dựa trên cấu hình. Người có khoá API hợp lệ và thấp hơn hạn mức vẫn có thể tiếp tục truy cập vào API đó. Đối với mọi lệnh gọi API được xử lý ở lớp của chúng tôi sẽ được tính là lệnh gọi được xử lý. Apigee là một công cụ nằm trong bộ công cụ bảo mật giúp khách hàng chống lại các cuộc tấn công DDoS và các loại hình tấn công khác.

Thông tin chi tiết về biện pháp bảo vệ chống DDoS

  1. GCP và AWS cung cấp dịch vụ hỗ trợ DDoS ở cấp mạng khi cần (một cuộc tấn công rất lớn).
    • Apigee giữ các đầu mối liên hệ về bảo mật tại GCP và AWS để báo cáo lên cấp trên và phản hồi nếu cần có sự hỗ trợ của GCP hoặc AWS để ứng phó với một cuộc tấn công.
  2. Apigee có thể được dùng để triển khai các chính sách giúp bảo vệ API của khách hàng khỏi các cuộc tấn công.
    • Giới hạn tốc độ.
    • Bắt giữ đột ngột.
    • Phát hiện các cuộc tấn công tải trọng XML.
    • Bạn có thể viết các chính sách khác để ngăn chặn các cuộc tấn công cụ thể.
  3. Edge sử dụng phương pháp tự động cấp tài nguyên bổ sung như một tính năng phòng vệ.
  4. Apigee và khách hàng (và GCP hoặc AWS) cần phải hợp tác với nhau trong một cuộc tấn công DDoS (tấn công từ chối dịch vụ phân tán). Việc trao đổi thông tin mở rất quan trọng và Apigee có tài nguyên bảo mật mà chúng tôi luôn gọi cho nhóm hỗ trợ của mình.

Cách phản hồi đầu tiên trước một cuộc tấn công DDoS là sử dụng Apigee Edge để hỗ trợ cuộc tấn công: cho phép bắt giữ tăng đột biến, giới hạn tốc độ và thậm chí là lập danh sách từ chối các địa chỉ IP nguồn. Có nhiều công cụ có sẵn trong Edge để chống lại các cuộc tấn công DDoS.

Nếu cuộc tấn công có quy mô đủ lớn, Apigee có thể làm việc với khách hàng để chuyển lên nhà cung cấp dịch vụ đám mây thích hợp để "hỗ trợ tiếp theo". Vì mỗi cuộc tấn công DDoS là duy nhất nên phản hồi sẽ được xác định trong cuộc tấn công. Tuy nhiên, các phương pháp hay nhất và thông tin chi tiết cần thiết để hỗ trợ quá trình chuyển lên cấp trên được nêu trong bài viết Giảm thiểu cuộc tấn công từ chối dịch vụ trên AWS.

Hãy nhớ rằng chìa khoá là:

Lập kế hoạch tấn công. Đừng quên rằng chúng ta luôn sát cánh bên nhau. Những khách hàng nghi ngờ rằng họ đang bị tấn công nên mở một phiếu yêu cầu hỗ trợ và yêu cầu sử dụng Apigee.

Google Cloud Platform (GCP)

Apigee sử dụng các biện pháp bảo vệ do GCP cung cấp như đã nêu trong Các phương pháp hay nhất để giảm thiểu và bảo vệ chống DDoS, chẳng hạn như:

  • Mạng ảo
  • Quy tắc tường lửa
  • Cân bằng tải

AWS

AWS xuất bản Các phương pháp hay nhất để tăng khả năng chống lại DDoSCách chuẩn bị cho các cuộc tấn công DDoS bằng cách giảm bề mặt tấn công. Apigee sử dụng một số cách sau phù hợp với môi trường của chúng tôi:

  • VPC
  • Nhóm bảo mật
  • ACL
  • Route53
  • Cân bằng tải