您正在查看的是 Apigee Edge 文档。
转到 Apigee X 文档。 信息
分布式拒绝服务 (DDoS) 攻击越来越普遍,也越来越普遍。近期的流量创下新高,而且预测其还会继续恶化。这些攻击的规模如此之大,使每个人都在重新评估自己的防御机制。现在,通过使用被破解的 IoT 设备,DDoS 攻击的规模比以前大得多。
Apigee 的 DDoS 防御的目标是保护每个客户数据中心内的客户 API。Apigee Edge Cloud 可接受大量流量,并且可以充当过滤器,使实际请求流经客户数据中心及其 API 接口,同时丢弃恶意流量,监控高峰、管理速率限制,并在攻击期间确保客户在线。
Apigee 可以检测到流量高峰,但我们无法确定该高峰是属于攻击、成功的活动,还是向最终用户发布的新应用。Apigee 不会主动查看 API 调用以确定哪些调用是合法的,哪些调用可能是攻击。您可以查看 API 调用,但这样做不属于 Apigee 的正常操作。我们不会审核客户载荷,因为对于大多数流量、客户和最终用户来说,这会对隐私造成侵犯。Apigee 不知道周二下午出现特定峰值是由于攻击,还是客户应用和服务突然成功采用。Apigee 可以看到这一峰值,但如果没有客户显而易见但 Apigee 无法掌握的其他详细信息和上下文,我们将无从应对该如何应对。最糟糕的情况是,Apigee 阻止了一次攻击,结果却发现 Apigee 刚刚在热门时期屏蔽应用,从而终止了这一重大营销成功。
Apigee 如何防御 DDoS 攻击?
Apigee Edge 是安全工具箱中的工具。客户可根据需要配置该工具,以屏蔽恶意流量、限制有效但过多的流量,或者处理负载的速度超过客户后端的响应速度,并防止客户的数据中心不堪重负。Apigee Edge 提供的功能使我们的客户能够制定非常具体的安全政策,以保护 Apigee 背后的实际 API 服务。边缘是一个可按需扩缩的防御层,可按需扩缩以吸收大量流量高峰(例如 DDoS 攻击),同时将对后端(客户的数据中心)的影响限制在一定范围内。
由于 Apigee 不会管理和查询每个客户每次调用的载荷,因此识别攻击的能力取决于客户。但是,应对攻击的响应应该由客户和 Apigee 共同协调。如果需要,Apigee 甚至可以与云服务提供商(GCP 或 AWS)合作。
Apigee、GCP 和 AWS 不会黑洞流向客户的流量。如果 Apigee 确定流量是恶意流量,我们将与客户沟通并提供协助。但是,由于 Apigee Edge 的可扩缩性,简单流量并不能触发阻止流量。
客户可以使用 Edge 创建用于防范攻击(包括 DDoS)的政策。这些政策并非开箱即用。这意味着每个客户的 API、数据或服务都有什么独特之处。如果没有客户输入,Apigee 将无法启用这些政策。这意味着 Apigee 正在审核客户数据,并判断哪些有效、哪些无效。
Edge 是一款可以使用的工具,可用于执行客户保护 API 所需的操作。但是,API 防护需要客户进行一些工作。
目的是保护客户的 API 服务。这是 Edge Cloud 的特性和功能之一。
事实上,重要的是阻止不同类型的 DDoS 流量,使其尽可能远离实际的 API:
- 屏蔽 Cloud 网络中格式有误的网络数据包
- 在 Edge 平台层吸收大量格式正确但不完整的数据包
- 在边缘层丢弃格式错误的 API 调用
- 在 Edge 中屏蔽格式正确但未经授权的调用
- 在 Edge 中屏蔽格式正确且已授权但过多的调用
- 使用 Sense 检测格式正确、有效的密钥、超出预期或允许访问的有效 API 请求
- 仅将有效、已授权、可接受的且在批准的限制 API 调用传递到客户数据中心
其他常见问题
Apigee 能将 (ip|country|url) 列入拒绝名单吗?
是,如果在客户的 Edge 组织内通过 Edge 创建、配置并启用此政策,那么就可以。
Apigee 能检测漫游器或类似恶意活动吗?
Apigee 提供了一项名为 Sense 的机器人检测服务。
Apigee 会帮助我黑洞吗?
Apigee 不会黑洞流向客户的流量。如果 Apigee 能够确定流量是恶意的,我们将与客户沟通并提供协助。但是,由于 Apigee Edge 和我们的云服务商(GCP 和 AWS)的规模庞大,大量流量并不是阻止流量的触发因素。
DoS 或 DDoS 攻击是否会在 Edge 中计为已处理的 API 调用?
Apigee Edge 是帮助防止客户后端系统被滥用的解决方案。因此,如果受到攻击,Edge 将根据配置强制执行配额/高峰控制/威胁防护等措施来消减 Apigee Cloud 层的滥用行为。拥有有效 API 密钥且未达到配额限制的用户仍可继续访问该 API。对于在我们的层处理的任何 API 调用,都将计为已处理的调用。Apigee Edge 是安全工具箱中的一款工具,可帮助客户防御 DDoS 攻击和其他类型的攻击。
详细的 DDoS 防御信息
- GCP 和 AWS 会根据需要在网络级别提供 DDoS 协助(一种非常大规模的攻击)。
- Apigee 会与 GCP 和 AWS 的安全联系人保持联络,以便在需要 GCP 或 AWS 协助来应对攻击时上报和响应。
- Apigee Edge 可用于实现保护客户 API 免遭攻击的政策。
- 速率限制。
- 逮捕人数。
- XML 载荷攻击检测。
- 还可以编写其他政策来防范特定攻击。
- Edge 将自动扩缩作为我们的防御功能。
- 在 DDoS 攻击期间,Apigee 与客户(以及 GCP 或 AWS)需要协同工作。开放的沟通至关重要,而 Apigee 随时可呼叫我们的支持团队来获得安全资源。
对 DDoS 攻击的首要响应是使用 Apigee Edge 协助攻击:启用高峰控制、速率限制,甚至将来源 IP 地址列入拒绝名单。Edge 中有许多用于防御 DDoS 攻击的工具。
如果攻击量足够大,Apigee 可以与客户合作,上报给适当的云提供商,以获取“上游协助”。由于每次 DDoS 攻击都是唯一的,因此在攻击过程中将确定响应。但是,AWS 的拒绝服务攻击缓解措施中介绍了有助于进行上报的最佳做法和详细信息。
请记住,关键是:
制定攻击计划。别忘了,我们一起来了。 怀疑自己受到攻击的客户应提出工单并请求 Apigee 的协助。
GCP
Apigee 使用 GCP 提供的防御机制(如 DDoS 防护和缓解最佳做法中所述),例如:
- 虚拟网络
- 防火墙规则
- 负载平衡
AWS
AWS 发布了有关 DDoS 弹性的最佳实践和如何通过减少攻击面来准备 DDoS 攻击。Apigee 使用了一些适用于我们的环境的方案:
- VPC
- 安全组
- ACL
- Route53
- 负载平衡