Ngăn chặn DDoS trong Edge

Bạn đang xem tài liệu về Apigee Edge.
Chuyển đến tài liệu về Apigee X. thông tin

Các cuộc tấn công từ chối dịch vụ phân tán (DDoS) ngày càng lớn và phổ biến hơn. Các cuộc tấn công gần đây đã chứng kiến mức lưu lượng truy cập lập kỷ lục và dự đoán là tình hình sẽ tiếp tục xấu đi. Quy mô khổng lồ của các cuộc tấn công này đã khiến mọi người phải đánh giá lại khả năng phòng thủ của mình. Bằng cách sử dụng các thiết bị IoT bị xâm nhập, các cuộc tấn công DDoS hiện có quy mô lớn hơn nhiều so với trước đây.

Mục tiêu của biện pháp phòng thủ DDoS cho Apigee là bảo vệ API của khách hàng trong trung tâm dữ liệu của mỗi khách hàng. Apigee Edge Cloud được xây dựng để chấp nhận lưu lượng truy cập lớn và là bộ lọc giúp các yêu cầu thực sự được chuyển đến trung tâm dữ liệu của khách hàng và giao diện API của họ, đồng thời giảm lưu lượng truy cập độc hại, theo dõi sự gia tăng đột biến, quản lý giới hạn tốc độ và giúp khách hàng của chúng tôi duy trì kết nối mạng trong khi bị tấn công.

Apigee có thể phát hiện sự gia tăng đột biến về lưu lượng truy cập, nhưng chúng tôi không thể xác định liệu sự gia tăng đó là một cuộc tấn công, một chiến dịch thành công hay một ứng dụng mới được phát hành cho người dùng cuối. Apigee không chủ động xem bên trong các lệnh gọi API để xác định lệnh gọi nào hợp lệ và lệnh gọi nào có thể là cuộc tấn công. Bạn có thể xem các lệnh gọi API, nhưng việc này không thuộc phạm vi hoạt động thông thường của Apigee. Chúng tôi không xem xét tải trọng của khách hàng vì đó sẽ là hành vi xâm phạm quyền riêng tư đối với hầu hết lưu lượng truy cập, khách hàng và người dùng cuối. Apigee không biết liệu một sự gia tăng cụ thể vào chiều thứ Ba có phải là do một cuộc tấn công hay do khách hàng đột nhiên sử dụng thành công ứng dụng và dịch vụ của họ hay không. Apigee có thể thấy sự gia tăng đột biến, nhưng nếu không có thông tin chi tiết và bối cảnh bổ sung mà khách hàng thấy rõ nhưng Apigee không thấy được, chúng tôi sẽ không biết cách phản hồi. Trường hợp xấu nhất là nếu Apigee chặn một cuộc tấn công chỉ để phát hiện ra đó là một thành công lớn trong hoạt động tiếp thị mà Apigee vừa huỷ bỏ bằng cách chặn ứng dụng trong thời gian nóng.

Apigee tiếp cận việc phòng thủ DDoS như thế nào?

Apigee Edge là một công cụ trong hộp công cụ bảo mật. Khách hàng có thể sử dụng công cụ này để định cấu hình khi cần nhằm chặn lưu lượng truy cập độc hại, giới hạn lưu lượng truy cập hợp lệ nhưng quá mức hoặc xử lý tải nhanh hơn so với khả năng phản hồi của phần phụ trợ của khách hàng và ngăn trung tâm dữ liệu của khách hàng bị quá tải. Apigee Edge cung cấp các tính năng cho phép khách hàng tạo các chính sách bảo mật rất cụ thể để bảo vệ các dịch vụ API thực tế đằng sau Apigee. Edge là một lớp bảo vệ có thể mở rộng quy mô khi cần để hấp thụ các đợt tăng lưu lượng truy cập lớn (chẳng hạn như cuộc tấn công DDoS) trong khi hạn chế tác động đến phần phụ trợ (trung tâm dữ liệu của khách hàng).

Vì Apigee không quản lý và truy vấn tải trọng của mọi lệnh gọi cho mọi khách hàng, nên khả năng xác định một cuộc tấn công thuộc về khách hàng. Tuy nhiên, việc phản hồi một cuộc tấn công phải được phối hợp với cả khách hàng và Apigee. Apigee thậm chí có thể liên kết với nhà cung cấp dịch vụ đám mây (GCP hoặc AWS) nếu cần.

Apigee, GCP và AWS sẽ không chặn lưu lượng truy cập đến một khách hàng. Nếu Apigee xác định rằng lưu lượng truy cập đó là độc hại, chúng tôi sẽ liên hệ với khách hàng và đề nghị hỗ trợ. Tuy nhiên, do quy mô của Apigee Edge, lưu lượng truy cập đơn thuần không phải là điều kiện kích hoạt để chặn lưu lượng truy cập.

Khách hàng có thể sử dụng Edge để tạo các chính sách bảo vệ khỏi các cuộc tấn công (bao gồm cả DDoS). Các chính sách này không được tạo sẵn. Điều đó có nghĩa là không có gì khác biệt về API, dữ liệu hoặc dịch vụ của từng khách hàng. Apigee không thể bật các chính sách này nếu không có ý kiến đóng góp của khách hàng. Điều đó có nghĩa là Apigee đang xem xét dữ liệu của khách hàng và đưa ra quyết định về những dữ liệu hợp lệ và không hợp lệ.

Edge là một công cụ cần được sử dụng và có thể được dùng để làm những việc mà khách hàng cần để bảo vệ API của họ. Tuy nhiên, khách hàng cần phải thực hiện một số thao tác để bảo vệ API.

Mục tiêu là bảo vệ các dịch vụ API của khách hàng. Đó là một trong những tính năng và khả năng của đám mây cạnh.

Thực sự, vấn đề là chặn các loại lưu lượng truy cập DDoS càng xa các API thực tế càng tốt:

  • Chặn các gói mạng có định dạng không chính xác tại mạng của đám mây
  • Hấp thụ một lượng lớn gói được tạo đúng cách nhưng chưa hoàn chỉnh ở lớp nền tảng Edge
  • Thả các lệnh gọi API có định dạng không chính xác ở lớp Edge
  • Chặn các lệnh gọi được tạo đúng cách nhưng không được uỷ quyền trong Edge
  • Chặn các lệnh gọi được tạo và uỷ quyền đúng cách nhưng quá mức trong Edge
  • Sử dụng Sense để phát hiện các khoá hợp lệ, được tạo đúng cách, các yêu cầu API hợp lệ nằm ngoài quyền truy cập dự kiến hoặc được cho phép của bạn
  • Chỉ chuyển các lệnh gọi API hợp lệ, được uỷ quyền, chấp nhận được và nằm trong giới hạn được phê duyệt đến trung tâm dữ liệu của khách hàng

Các câu hỏi thường gặp khác

Apigee có thể từ chối đưa vào danh sách (ip|country|url) không?

Có, nếu chính sách được tạo, định cấu hình và bật trong Edge trong tổ chức Edge của khách hàng.

Apigee có thể phát hiện bot hoặc các hoạt động độc hại tương tự không?

Apigee cung cấp một dịch vụ phát hiện bot có tên là Sense.

Apigee có chặn lưu lượng truy cập của tôi không?

Apigee sẽ không chặn lưu lượng truy cập đến một khách hàng. Nếu Apigee có thể xác định rằng lưu lượng truy cập đó là độc hại, chúng tôi sẽ liên hệ với khách hàng và đề nghị hỗ trợ. Tuy nhiên, do quy mô của Apigee Edge và các nhà cung cấp dịch vụ đám mây của chúng tôi (GCP và AWS), nên số lượng lưu lượng truy cập khổng lồ không phải là điều kiện kích hoạt để chặn lưu lượng truy cập.

Tấn công DoS hoặc DDoS có được tính là lệnh gọi API đã xử lý trong Edge không?

Apigee Edge là một giải pháp giúp ngăn chặn hành vi lợi dụng hệ thống phụ trợ của khách hàng. Vì vậy, trong trường hợp xảy ra một cuộc tấn công, Edge sẽ thực thi hạn mức/bắt giữ đột biến/bảo vệ mối đe doạ, v.v. để hấp thụ hành vi sai trái ở lớp Apigee Cloud, dựa trên cấu hình. Người có khoá API hợp lệ và nằm trong hạn mức vẫn có thể tiếp tục truy cập vào API đó. Mọi lệnh gọi API được xử lý ở lớp của chúng tôi sẽ được tính là lệnh gọi đã xử lý. Apigee Edge là một công cụ trong hộp công cụ bảo mật giúp khách hàng bảo vệ khỏi các cuộc tấn công DDoS và các loại tấn công khác.

Thông tin chi tiết về biện pháp phòng thủ chống tấn công DDoS

  1. GCP và AWS hỗ trợ chống DDoS ở cấp mạng khi cần (một cuộc tấn công rất lớn).
    • Apigee duy trì thông tin liên hệ về bảo mật tại GCP và AWS để chuyển tiếp và phản hồi nếu cần được GCP hoặc AWS hỗ trợ để phản hồi một cuộc tấn công.
  2. Bạn có thể sử dụng Apigee Edge để triển khai các chính sách bảo vệ API của khách hàng khỏi bị tấn công.
    • Giới hạn tốc độ.
    • Số vụ bắt giữ tăng đột biến.
    • Phát hiện tấn công tải trọng XML.
    • Bạn có thể viết các chính sách khác để chống lại các cuộc tấn công cụ thể.
  3. Edge sử dụng tính năng tự động mở rộng quy mô như một khả năng trong biện pháp bảo vệ của chúng tôi.
  4. Apigee và khách hàng (cùng với GCP hoặc AWS) cần phối hợp với nhau trong một cuộc tấn công DDoS. Việc giao tiếp cởi mở là rất quan trọng và Apigee luôn có các tài nguyên bảo mật để hỗ trợ nhóm hỗ trợ của chúng tôi.

Phản hồi đầu tiên đối với một cuộc tấn công DDoS là sử dụng Apigee Edge để giúp chống lại cuộc tấn công: bật tính năng chặn đột biến, giới hạn tốc độ và thậm chí là đưa địa chỉ IP nguồn vào danh sách từ chối. Có nhiều công cụ trong Edge để chống lại cuộc tấn công DDoS.

Nếu cuộc tấn công có quy mô đủ lớn, Apigee có thể làm việc với khách hàng để chuyển lên nhà cung cấp dịch vụ đám mây thích hợp để "hỗ trợ ngược". Vì mỗi cuộc tấn công DDoS đều khác nhau, nên phản hồi sẽ được xác định trong quá trình tấn công. Tuy nhiên, các phương pháp hay nhất và thông tin chi tiết cần thiết để giúp bạn trong quá trình chuyển tiếp được ghi lại trong bài viết Giảm thiểu cuộc tấn công từ chối dịch vụ trên AWS.

Hãy nhớ rằng chìa khoá là:

Tạo kế hoạch tấn công. Đừng quên rằng chúng ta sẽ cùng nhau vượt qua khó khăn này. Những khách hàng nghi ngờ mình đang bị tấn công nên mở phiếu yêu cầu hỗ trợ và yêu cầu Apigee hỗ trợ.

GCP

Apigee sử dụng các biện pháp phòng thủ do GCP cung cấp như nêu trong Các phương pháp hay nhất để bảo vệ và giảm thiểu các cuộc tấn công DDoS, chẳng hạn như:

  • Mạng ảo
  • Quy tắc tường lửa
  • Cân bằng tải

AWS

AWS xuất bản Các phương pháp hay nhất để tăng khả năng chống chịu DDoSCách chuẩn bị cho các cuộc tấn công DDoS bằng cách giảm bề mặt tấn công. Apigee sử dụng một số trong số này áp dụng cho môi trường của chúng tôi:

  • VPC
  • Nhóm bảo mật
  • ACL
  • Route53
  • Cân bằng tải